Il 25 Maggio è, finalmente, entrato in pieno vigore il Regolamento Europeo per la Protezione dei Dati Personali (GDPR). Come non accorgersene, visto che il primo concreto risultato è stato il massiccio invio di email con nuove informative, richieste di rinnovare il consenso al trattamento dei propri dati (o, in alcuni casi, di dare un consenso che in verità doveva già essere stato precedentemente acquisito) che hanno contribuito ad intasare le caselle di posta elettronica.
Delle novità introdotte si è già ampiamente parlato: estensione dei diritti degli interessati, includendo anche il diritto all’oblio e il diritto alla portabilità, l’introduzione del principio di responsabilità (accountability) che impone la formalizzazione di rilevanti atti aziendali di valutazioni svolte e razionale delle conseguenti azioni, la figura del Data Protection Officer, l’obbligo di segnalazione delle violazioni dei dati personali (data breach), la Data Protection Impact Analysis (DPIA), ecc.
Ci sembra importante invece sottolineare in questa sede come, nonostante i due anni passati dall’approvazione del Regolamento, la sua entrata in vigore rappresenti per molti versi un punto di inizio e non di completamento dell’evoluzione della materia.
In primo luogo, le difficoltà della politica italiana hanno avuto i suoi effetti anche sul Decreto di adeguamento legislativo, con un primo testo affondato dalle ipotesi di incostituzionalità ed un secondo testo governativo arenatosi tra i ritardi, la campagna elettorale ed un Parlamento per tre mesi quasi “fantasma”. La nuova scadenza del 21 Agosto come termine ultimo per il Decreto di adeguamento ci pone oggi in una fase transitoria in cui non è chiara la situazione del “glorioso” D.Lgs 196/2003. Completamente abrogato? Sembra di no, visto che è stato obiettato che neanche il Governo aveva tale facoltà, avendo ricevuto mandato per una sua “modifica” e per abrogazioni solo parziali degli articoli in contrasto con il Regolamento.
Superato in alcune parti dal Regolamento? Certamente sì, visto che nella gerarchia delle fonti giuridiche i Regolamenti Europei hanno prevalenza sulle leggi ordinarie e che in diversi punti è inevitabile la sovrapposizione tra le due norme. Ma allora che cosa sopravvive del 196/2003? Qualcosa, ma nel dettaglio bisognerà attendere il testo definitivo che sarà approvato.
Eppure, non stiamo parlando di temi secondari. Il primo testo di Decreto, ad esempio, prevedeva e motivava l’abrogazione delle connesse sanzioni penali. Il secondo testo, al contrario, continua a prevederne (ed in verità la Legge Delega parla di adeguamento e non eliminazione delle sanzioni, civili e penali). Vedremo quale sarà l’orientamento definitivo, tenendo anche conto che nel frattempo è intervenuta una nuova legislatura ed un nuovo Governo, di colore diverso dal precedente. Ci sembra però di poter condividere un’argomentazione del primo testo del Decreto in tema di misure di sicurezza: in assenza di quadro normativo certo (come, pur nelle loro limitazioni, assicuravano le “misure minime di sicurezza dell’Allegato B”) è difficile ipotizzare sanzioni penali basate sull’eventuale “valutazione di inadeguatezza” delle “valutazioni di adeguatezza” (il gioco di parole sarà perdonato).
Anche su altri temi, il cammino è da iniziare: quali sono le caratteristiche oggettive di competenza che un DPO deve possedere? Esisterà un riferimento comunitario che possa, ad esempio, inglobare le qualifiche nazionali come la italianissima UNI 11697 e rendere ipotizzabile un albo europeo dei DPO?
E sulla base di quali schemi sarà possibile, per le Aziende, dotarsi di Certificazioni di conformità?
In definitiva, “stay tuned”, perché il meglio deve ancora arrivare.
Per approfondire: