Viterbo, martedì 20 marzo 2018 – Sarà una vera e propria rivoluzione per le aziende italiane e la Pubblica Amministrazione il Regolamento europeo in materia di protezione di dati personali che entrerà in vigore il prossimo 25 maggio. Scadono infatti i due anni di tempo che l’Unione europea ha dato agli Stati membri per adeguare le norme interne ai nuovi standard e per sensibilizzare le aziende e la PA, sulle quali graverà l’onere di adeguarsi al Regolamento Ue 2016/679.
Se ne è discusso oggi a Viterbo, in occasione di un convegno promosso dall’Unione industriali a pochi mesi dalla piena applicazione del Regolamento europeo. Sebbene il Regolamento, al contrario della Direttiva europea, non abbia necessità di atti normativi nazionali per essere recepito, gli Stati membri hanno avuto due anni di tempo per adeguarsi. Ora il tempo è scaduto e quindi si tratterà di vedere quale impatto avrà la nuova normativa, che tra l’altro prevede una figura appositamente deputata a garantire la protezione dei dati, il Data Protection Officer (Dpo): una figura che alcuni vedono come un ulteriore aggravio di responsabilità per le aziende, mentre altri interpretano come una professionalità in grado di aprire nuove opportunità di lavoro.
Il Dpo andrà ad affiancarsi ai soggetti già previsti dal nostro Codice Privacy: il titolare, il responsabile e l’incaricato della protezione dei dati. «I termini “Titolare del trattamento” e “Responsabile del trattamento”, già presenti nel Codice privacy italiano – aveva reso noto in una nota l’ufficio del Garante già alla vigilia dell’approvazione della nuova normativa europea, due anni fa -, compariranno anche nei testi italiani del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola i settori di prevenzione, contrasto e repressione dei crimini. Si tratta di un adattamento terminologico caldeggiato dal Garante per la protezione dei dati personali preoccupato di non veder sottoposti gli operatori del nostro Paese ad un inutile sforzo adattativo e interpretativo. L’iniziativa del Garante ha trovato anche il sostegno dei giuristi-linguisti di lingua italiana presso il Consiglio e il Parlamento Ue».
Le precedenti versioni italiane del Regolamento, infatti, riportavano i termini “responsabile del trattamento” (data controller) e “incaricato del trattamento” (data processor). Tuttavia, trattandosi, di fatto, di figure identiche quanto a caratteristiche soggettive a quelle che nel Codice privacy italiano sono indicate rispettivamente come “titolare” e “responsabile”, l’Autorità italiana ha chiesto ed ottenuto che i nuovi testi mantenessero tali diciture in modo da evitare a imprese, enti, professionisti e cittadini ogni possibile problema di interpretazione giuridica ed eventuali costi, anche materiali, connessi al cambiamento terminologico.
«Il Regolamento europeo – ha spiegato al convegno di Unidustria Viterbo l’avvocato Paolo La Bollita, rappresentante di Gesca Srl, società che opera nel settore – ha previsto l’obbligo in capo a tutte le pubbliche amministrazioni di nominare un Dpo (o, in italiano, Rpd: Responsabile protezione dati). Tale obbligo sussiste anche quando le attività principali del titolare o del responsabile del trattamento dei dati consistono in trattamenti di dati che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; o quando le attività principali del titolare e/o del responsabile del trattamento consistono nel trattamento su larga scala di categorie di dati personali “sensibili” o di dati relativi a condanne penali e a reati».
Altre novità introdotte dalla normativa europea sono la tenuta di un registro delle attività di trattamento, l’obbligo di monitoraggio dell’impatto della conservazione, il diritto all’oblio, ovvero alla cancellazione dei dati non più necessari, strumenti adeguati per assicurare la “portabilità” dei dati da un titolare all’altro nel caso ciò si renda necessario per l’esecuzione di un contratto.
Il Regolamento parla anche di “misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. Ad esempio la cifratura dei dati; in caso di incidente la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati; una procedura per testare verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative. Altro obbligo importante è quello della tenuta di un registro dei trattamenti, che riguarda sia il titolare sia il responsabile del trattamento. L’obbligo non sussiste nei casi in cui l’impresa o l’organizzazione abbiano meno di 250 dipendenti, a meno che il trattamento che viene effettuato presenti un rischio per i diritti e libertà dell’interessato, non sia occasionale o includa il trattamento di dati sensibili e biometrici o i dati personali relativi a condanne penali e a reati».
La violazione delle norme europee sulla privacy può costare molto care alle aziende: le sanzioni previste vanno fino a un massimo di 20 milioni di euro o fino al 4% del fatturato annuo, lasciando ogni Stato membro libero di adottare norme relative ad altre sanzioni. Un elemento importante, quindi, sarà una corretta informativa ai soggetti interessati.
«In sostanza – ha detto l’avvocato La Bollita (a destra nella foto a fianco, insieme a Luca Pennetti, dipendente della Gesca Srl) – ogni trattamento deve trovare un’idonea base giuridica. Il consenso deve essere libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito o presunto. L’informativa costituisce, pertanto, uno dei documenti più rilevanti ai fini di verificare la correttezza dell’operato del titolare del trattamento. Secondo quanto prescritto dall’art. 12, paragrafo 1, l’informativa deve avere una forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; il linguaggio deve essere chiaro e semplice, soprattutto nel caso di informazioni destinate ai minori».