PRIVACY ?…… WHAT’S PRIVACY?...Il nuovo Regolamento Europeo protezione dati personali

Dopo un lunghissimo iter politico parlamentare che non ha nulla da invidiare al nostrano modello di legiferare, la Commissione Europea, lo scorso 15 dicembre 2015, ha finalmente approvato il Regolamento Europeo sulla protezione dei dati personali.
Preceduto da una elencazione di “consideranda” - più corposa dell’intero testo regolamentare - questo è il documento che, opportunamente tradotto, verrà adottato da tutti i Paesi aderenti all’UE con l’obiettivo, nel più ampio contesto della tutela delle persone fisiche, di regolamentare il trattamento dei dati personali finalizzato anche alla libera circolazione di tali dati.
Il nostro titolo introduce un fondamentale assunto di chiarezza di questo documento: la totale assenza del vocabolo “privacy” … finalmente la terminologia in tema di dati personali sgombra il campo da qualsiasi riferimento impropriamente abusato nel linguaggio corrente!
La necessità di adottare un modello comune di norma per la tutela dei diritti delle persone che, per obbligo o per volontà, mettono a disposizione di terzi i propri dati personali, costituisce una delle priorità individuate dal sistema sociale mondiale per lo sviluppo delle “relazioni via web” che, qualora fosse utile ricordarlo, costituiscono lo scenario su cui si stanno realizzando progetti di profonda innovazione e semplificazione di servizi e mercati.
Il Regolamento Europeo avrà quindi un notevole impatto sull’operatività delle organizzazioni che, per finalità di legge o del proprio business, gestiscono dati personali. Le sanzioni previste, in caso di violazione, possono elevarsi fino al 4% del fatturato.
Il testo, precludendo ogni altra interpretazione, individua anche requisiti organizzativi, gestionali e comportamentali che devono essere soddisfatti per garantire la protezione e la libera circolazione di dati personali.
Alcuni di questi requisiti trovano fondamento e pratica applicazione nei modelli applicativi del noto ciclo PDCA (Plan, Do, Check, Act) e possono quindi rientrare nel concetto di certificazione da parte di organismi di parte terza. In questa ottica riportiamo alcune considerazioni rimandando ogni ulteriore informazione ad una più approfondita lettura del Regolamento.
Con riferimento agli aspetti organizzativi, il Regolamento individua i soggetti che all’interno di una organizzazione assumono importanti responsabilità giuridiche. Dopo aver confermato soggetti già noti, quali il Data Controller equivalente del nostrano “Titolare” e il Data Processor che di fatto coincide con il “Responsabile del trattamento”, il Regolamento individua il Data Protection Officer , soggetto che non ha equivalenti nel vigente sistema nazionale ma che avrà l’importante ruolo di adottare sistemi e strumenti per proteggere i dati personali da usi impropri e illegittimi. Si tratta di una figura cui il Regolamento destina ampio potere decisionale e profonda autonomia estesa alla possibilità di segnalare direttamente al Data Protection Authority (ndr Garante Nazionale) la mancata attuazione delle sue disposizioni da parte degli altri soggetti responsabili. Il Data Protection Officer è quindi particolarmente tutelato dal Regolamento che prevede la sua nomina attraverso un contratto di servizio della durata minima di quattro anni e la disponibilità delle risorse necessarie alla sua funzione. La presenza del Data Protection Officer sarà obbligatoria per tutti i soggetti giuridici equiparati a pubbliche amministrazioni, per i titolari che abbiano come principale attività quella di trattamento di dati personali che richiedono un monitoraggio continuo nonché titolari che trattino particolari categorie di dati personali. Il Regolamento fa emergere nel suo articolato le elevate competenze richieste in capo al Data Protection Officer e che spaziano negli ambiti giuridici, organizzativi e tecnici con particolare riguardo all’analisi dei rischi, all’information technology e connesse tematiche di security e business continuity. Non a caso lo stesso Regolamento stabilisce che il Data Protection Officer dovrà essere selezionato in base al livello di conoscenza specifica commisurato alla protezione richiesta per i dati oggetto dei trattamenti.
Nel novero del sistema delle certificazioni, quella delle competenze delle persone che assumono le responsabilità di Data Processor e di Data Protection Officer, potrà risultare uno degli strumenti di sviluppo e di tutela delle attività.
Fra gli aspetti gestionali, il Regolamento individua alcuni strumenti di pianificazione e controllo della protezione dei dati e dei trattamenti. Fra questi quelli di particolare interesse sono individuati nel data protection by design e data protection by default; il primo impone di attuare misure gestionali e tecniche considerando l’intero ciclo di vita della gestione dei dati personali, dal momento della raccolta fino al trattamento e alla cancellazione; il secondo impone simili misure per assicurare che vengano elaborati solo i dati personali che sono necessari e che non vengono resi accessibili senza l'intervento di un soggetto responsabile.
La conformità di questi strumenti alle disposizioni regolamentari può essere dimostrata attraverso lo strumento della certificazione cui il Regolamento dedica un intero articolo. E’ previsto il ricorso alla certificazione volontaria rilasciata da organismi di certificazione accreditati dalla Data Protection Authority e/o dagli enti di accreditamento nazionali istituiti ai sensi del Regolamento CE 765/2008, quale Accredia nel nostro Paese. Si evidenzia che il possesso della certificazione costituisce un elemento che consentono al Data Protection Authority di contenere gli importi delle sanzioni nel caso di acclarate inadempienze.

« indietro