Adempimenti

La nuova privacy aggiorna le procedure interne

di Giovanni Comandé


Tempo quasi scaduto per adeguarsi al regolamento Ue sul trattamento dei dati. Le imprese e le pubbliche amministrazioni possono almeno avviare il cambio di passo. Il 25 maggio, infatti, entrerà in vigore il nuovo Regolamento Ue 679/2016 per la Protezione dei dati (o Gdpr), portando con sé profonde novità dal notevole impatto per le imprese, le associazioni, gli enti, la pubblica amministrazione e i soggetti individuali. Tuttavia, non è stata ancora data attuazione alla legge 163/2017 di «Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea - Legge di delegazione europea 2016-2017» – che attribuisce al Governo il compito di adottare uno o più decreti legislativi al fine di adeguare il quadro normativo nazionale alle disposizioni del Regolamento e per dare attuazione alle disposizioni non direttamente applicabili contenute nello stesso.

Ciononostante, il Regolamento sta per entrare in vigore con le sue molte novità immediatamente obbligatorie. Tra queste, una di quelle più rilevanti riguarda la funzione di «Responsabile per la Protezione dei dati» (Data protection officer o Dpo), una nuova figura professionale di cui dovranno dotarsi tutte le Pppa e la maggior parte delle imprese italiane e per cui è richiesta una «conoscenza specialistica» in tema di diritto dei dati personali.

Si tratta di una figura molto importante sotto due profili: da un lato, per informare e fornire consulenza al titolare e al responsabile del trattamento in merito agli obblighi di legge in materia di data protection; dall’altro lato, per fungere da raccordo tra il titolare o responsabile del trattamento e l’Autorità Garante competente. Assai di frequente imprese e Ppaa, che non hanno usato i due anni avuti per adeguarsi, pensano di risolvere il problema procedendo alla nomina di un Dpo, magari a prescindere dall’obbligo. Questo potrebbe essere una soluzione ma solo se corrisponde a un reale processo di adeguamento in corso.

Un cammino virtuoso prevederebbe di procedere prima alla mappatura dei trattamenti e all’adeguamento, soprattutto dove la nomina del Dpo non sia obbligatoria. In altri termini, la mera nomina del Dpo, uno solo degli adempimenti e per di più non obbligatorio per tutti, non mette di per sé al riparo dalle sanzioni previste.

Il Regolamento prevede, infatti, un cambiamento radicale di filosofia cui adeguarsi: esso passa da un approccio da adempimento burocratico a meccanismi di auto-responsabilizzazione che danno maggiore autonomia ai titolari dei trattamenti. Ma da maggiore autonomia discendono anche maggiori responsabilità se i poteri non sono esercitati in modo appropriato.

Tra le opportunità offerte dal Regolamento vi è, per esempio, l’apertura a trattamenti ulteriori rispetto a quelli per cui i dati sono acquisiti (articolo 6). È il titolare a dover «verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti». I margini di discrezionalità tecnica e le opportunità economiche che si possono aprire sono notevoli, ma se male esercitati possono condurre a risultati assai sgradevoli anche se è difficile immaginare piccole e medie imprese o enti locali - alle prese con i loro problemi - sanzionati fino a 20 milioni di euro o al 4 per cento del fatturato globale annuale (la massima sanzione pecuniaria prevista).

Ciò non toglie che la data protection non possa più essere percepita come un balzello burocratico, giacché non lo è più, ma è diventata una preziosa occasione per la revisione dei processi interni alle organizzazioni. Se ciò (opportunità e sanzioni) non bastasse a convincere aziende e Ppaa a prendere sul serio il Regolamento, basterebbe forse ricordare le vicende recenti che dominano i media, a partire dall’affaire Cambridge analytica.

Per approfondire:

Manuale per il trattamento dei dati personali di Giovanni Comandé e Gianclaudio Malgieri

Per saperne di piùRiproduzione riservata ©