Il nuovo Regolamento Europeo si preannuncia una vera e propria rivoluzione. Presentato alla Commissione Europea lo scorso 25 Gennaio 2012, il testo ha subito emendamenti pubblicati a fine gennaio 2013, e si presenta sempre più come un ambizioso progetto considerato che sarà valido in tutta l’Unione andando a cambiare radicalmente i presenti scenari, depauperando per molti aspetti, del suo ruolo il vigente Codice privacy.
Tra gli argomenti attualmente in fase di definizione, uno dei più importanti riguarda proprio il margine di autonomia decisionale che manterranno gli Stati Membri nell’applicazione di alcune regole specifiche sul proprio territorio. Secondo quanto previsto dal Regolamento saranno conservate alcune norme nazionali.
Il principale risultato del Regolamento sul lungo periodo dovrebbe essere quello di garantire una maggiore semplificazione nei rapporti intracomunitari, non fosse altro che per l’applicazione di una normativa unica valida in tutta Europa. Certo è che prima di adeguarsi alle novità introdotte dai nuovi adempimenti sorgeranno non poche difficoltà, soprattutto in ambito di applicazione pratica delle neonate normative.
In questo clima di attesa crescente e grande fermento, la domanda che tutti si pongono è: cosa cambierà – sul piano concreto – con il nuovo Regolamento?
Le definizioni fondamentali rimangono invariate, ma contano alcune aggiunte significative come quella relativa al dato genetico e quella del dato biometrico. Il Regolamento introduce inoltre il principio dell’applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o servizi ai cittadini UE o tali da permettere il monitoraggio dei comportamenti dei cittadini dell’Unione Europea.
Non di secondaria importanza l’introduzione del diritto degli interessati alla “portabilità del dato” da un provider all’altro, in formato neutro e quello del “diritto all’oblio”, vale a dire la facoltà per ogni interessato di decidere e richiedere la rimozione di informazioni e dati personali per motivi legittimi dopo un determinato periodo di tempo, questione riferita soprattutto alla realtà digitale. L’esercizio di tale diritto deve tuttavia rispettare alcune esigenze specifiche come quella della libertà di espressione o la possibilità di condurre ricerche storiche.
Tra le novità più rilevanti ricordiamo l’obbligo per talune aziende e per gli enti pubblici di nominare un “data protection officer”. Figura interessante, considerato che una volta acquisita dovrà essere “mantenuta” per alcuni anni all’interno della struttura, ed il rapporto potrà essere interrotto solo ed esclusivamente per cause tassativamente riportate dal legislatore europeo, proprio per garantire continuità della protezione ed oggettività e trasparenza del soggetto.
Oltre all’introduzione del cosiddetto principio generale di “privacy by design” – disposizione che impone la previsione di misure a protezione dei dati già al momento della progettazione di un software o di un prodotto, il Regolamento introduce anche il requisito del “privacy impact assessment”, vale a dire la valutazione dell’impatto privacy con riferimento all’avvio di un nuovo trattamento per talune tipologie di dati (videosorveglianza, sanitari, biometrici ecc). Un concetto completamente stravolto rispetto al nostro attuale sistema: preventivare i rischi, preliminarmente adottare soluzioni che già in sede di raccolta del primo dato siano capaci di tutelarlo, con una “anticipazione” di responsabilità già sulla parte di progettazione.
Sanzioni altissime per i trasgressori, fino ad un milione di euro o al 2 per cento del fatturato annuale di un’azienda a livello globale. Tra le misure preventive preme menzionare l’obbligo di notifica di qualunque violazione di dati personali all’Autorità di controllo (nuova istituzione) e ai diretti interessati se a rischio di danno. Non meno rilevante l’introduzione della figura del “Joint Controller” o responsabile congiunto: nello specifico potranno sussistere due responsabili i quali – per un medesimo trattamento di dati personali – saranno tenuti a concordare in un contratto il perimetro delle rispettive responsabilità privacy. Il loro accordo avrà valore anche in caso di controllo da parte dell’autorità giudiziaria o amministrativa.
Non resta che attendere l’approvazione, e verificare il testo finale. Alcuni passaggi rinvenibili nel testo attualmente fanno comunque sorgere qualche dubbio: recentemente l’ambito di applicazione del Regolamento con riferimento alle strutture destinatarie è passato dall’avere almeno 250 dipendenti, al gestire 500 interessati (con alcuni criteri a corredo). La questione dunque è in corsa. Appare quanto mai opportuno, però, per le grandi realtà aziendali e nel pubblico, cominciare a familiarizzare con l’argomento, perché non sarà certamente indolore passare da quattro adempimenti cartacei e qualche misura di sicurezza, ad una vera e propria organizzazione della sicurezza con reperimento di figure preparate sia sotto il profilo informatico che organizzativo e non in ultimo, normativo.
Avv. Valentina Frediani
www.consulentelegaleinformatico.it
Coordinatore Nazionale ABIRT ( www.abirt.it )