L’articolo “Nuovo Regolamento Ue sulla privacy: dubbi sui termini usati dal Garante”, riportato dalla vostra edizione online dello scorso 5 aprile, propone vari spunti interessanti. Tuttavia, riteniamo possa essere utile un intervento del Garante per chiarire proprio i dubbi terminologici di cui si parla, offrendo, al contempo, anche qualche informazione aggiuntiva sul percorso del Regolamento e sui modi della sua futura applicazione anche nel nostro Paese.
E’ vero – come giustamente nota l’autore dell’articolo – che la traduzione italiana del Regolamento pubblicata dal Consiglio dell’Unione europea (che, sebbene sia l’unica versione ufficiale attualmente disponibile, risale ormai allo scorso gennaio) riporta i termini di “responsabile del trattamento” e “incaricato del trattamento”, mentre la scheda di presentazione della figura del Data Protection Officer (DPO), pubblicata sul sito web del Garante a marzo, parla di “Titolare del trattamento” e “Responsabile del trattamento”. Tuttavia, la terminologia corretta è proprio quella contenuta nella nostra scheda, che volutamente usa i termini di “Titolare del trattamento” e “Responsabile del trattamento”.
Infatti, possiamo anticipare che nelle nuove versioni italiane del Regolamento in materia di protezione dei dati e della Direttiva sulle attività di prevenzione e contrasto dei crimini, che saranno prossimamente disponibili in forma ufficiale, i termini “data controller” e “data processor” saranno resi rispettivamente con “titolare del trattamento” e “responsabile del trattamento”.
Si tratta di un adattamento terminologico caldeggiato proprio dall’Autorità italiana per evitare un inutile sforzo adattativo e interpretativo agli operatori del nostro Paese, trattandosi, di fatto, di figure identiche in termini di caratteristiche soggettive. La scheda del Garante sul DPO, quindi, è stata formulata in questa ottica, utilizzando cioè termini che, come detto, saranno confermati nel testo italiano del Regolamento.
Ci rendiamo conto ovviamente che, al momento, possono insorgere dubbi sulla terminologia, legati anche ai necessari “aggiustamenti” lessicali che intervengo sui testi giuridici ancora in fase di formazione; tuttavia, dovendo scegliere, abbiamo optato per l’utilizzo di quelli che saranno le definizioni terminologiche corrette definitive.
Un ultimo appunto sulla figura dell’”incaricato di trattamento”, cioè “la persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal responsabile” in base al nostro Codice (Art. 4, comma 1, lettera h) ). Questa figura non è rilevante ai fini della descrizione dei compiti del DPO contenuta nella scheda del Garante, e non risulta direttamente implicata nei dubbi terminologici da cui scaturisce l’articolo.
Come l’articolo stesso riconosce, tuttavia, vi sono nel testo del Regolamento spazi per configurare un “incaricato del trattamento” nei termini noti agli operatori italiani, in particolare riguardo ai requisiti oggettivi (ad esempio, nel quadro delle “misure di sicurezza” che il titolare del trattamento o il responsabile del trattamento sono tenuti ad adottare). Quale sarà la denominazione di tale figura, non è al momento possibile stabilirlo e non spetta al Garante farlo.