Ormai ci siamo: il nuovo Regolamento europeo sulla Protezione dei dati personali, che sostituisce la vecchia Direttiva 45/96 e supera l’attuale Codice della Privacy (D. Lgs.vo 196/03), è al nastro di partenza.
Infatti, il 16 dicembre il Comitato dei rappresentanti permanenti di Commissione, Parlamento e Consiglio UE ha approvato il testo congiunto (qui la versione in inglese, qui quella in Italiano).
Entro alcuni mesi (prima dell’estate, sembra) il testo, allineato con la nuova numerazione definitiva degli articoli e dei commi convenuti, dopo esseer stato formalmente approvato verrà pubblicato sulla Gazzetta ufficiale dell’Unione Europea.
Da quel momento, vi saranno due anni di tempo per adottare la nuova normativa e, dalla scadenza, le precedenti normative nazionali saranno considerate superate dal Regolamento che, lo ricordiamo, è direttamente cogente come avesse forza di Legge.
Nel contempo la Commissione europea, il Comitato europeo per la protezione dei dati (composto dai garanti di ogni paese) e ogni specifica Autorità di controllo (ad es,: il nostro Garante italiano) emaneranno/adotteranno specifici provvedimenti che consentono di dare applicazione pratica ad una materia così vasta, come quella sulla Privacy, che in ogni caso è già concepita di essere applicata da subito, come infatti succederà.
Quali saranno le principali novità? Molte.
Non possiamo riassumerle in una sola notizia e sicuramente ci torneremo in futuro, ma fin da subito segnaliamo che, mentre sul piano “statico” i principali istituti introdotti dal Regolamento sono simili a quelli della Direttiva 45/96, sul piano “dinamico” la normativa in materia di Protezione dei dati viene rivoluzionata descritta come se si trattasse di un “Sistema di gestione”, anche con molte novità rispetto a quello tipico della Sicurezza delle informazioni descritte sulla ISO 27001.
Attenzione a un primo “impiccio” tecnico e lessicale che deve essere chiarito. Con il varo del nuovo Regolamento, infatti, le definizioni subiranno un “upgrade”. Spieghiamo meglio.
Purtroppo il nostro Codice della Privacy utilizza la definizione di Titolare del trattamento, mentre il nuovo Regolamento (così come nelle versioni previste dalla Direttiva 45/96) utilizzerà per lo stesso soggetto (apicale) il termine di “Responsabile del trattamento” (“Data controller”, in inglese). Quindi il termine di “titolare” è destinato a sparire, a vantaggio di quello di “responsabile”.
Conseguentemente, il “Responsabile del trattamento”, secondo il termine definito dal Codice della Privacy, verrà attribuito a un soggetto (intermedio) definito “incaricato del trattamento” (“Data processor”, in inglese).
E per finire, il vecchio “incaricato del trattamento”, il cui termine veniva utilizzato per indicare le figure come mansioni esecutive, non troverà più una esatta definizione, se non quella di “chiunque agisca sotto l’autorità del Responsabile o dell’Incaricato del trattamento”. Quindi quest’ultima definizione sostituirà quella di incaricato.
Una specifica “tabella” (TabellaCorrispondenzaRespInc)può aiutare a comprendere come utilizzare correttamente la terminologia adottata.
Per introdurre con una carrellata le pricipali novità, le indichiamo di seguito:
– l’obbligo di trattare i dati secondo la progettazione “by design” (cioè analizzando il trattamento per tutto il ciclo di vita dei dati) e “by default” (cioè il partire da configurazioni “chiuse” dei sistemi informatici, per poi gradualmente ampliarle solo dopo avere valutato l’impatto di eventuali aperture);
– la nascita del Data Protection Officer (DPO), che sarà obbligatorio nella Pubblica Amministrazione e nelle aziende private che processano dati a rischio (ad es.: il trattamento su larga scala di speciali categorie di dati quali quelli sensibili);
– l’obbligo di svolgere il Data Protection Impact Assessment (DPIA), per i trattamenti delicati e ad alto rischio (ad es.. il monitoraggio sistematico e su larga scala);
– l’obbligo di rispettare il “Data breach”, ccioè la segnalazione al Garante e all’interessato di eventuali fughe o compromissioni di dati;
– la nascita della procedura di “Prior consultation”, cioè la presentazione di una istanza al Garante qualora il DPIA non produca risultati positivi;
– la nascita del Registro delle attività di trattamento, sia per il Responsabile che per l’Incaricato, dove vanno conservate numerose informazioni sul trattamento (è sostanzialmente una estensione del vecchio DPS);
l’agevolazione di processi di “certificazione” o l’acquisizione di “marchi” o “bollini” che garantiscano la correttezza e serietà del trattamento.
Tutto qui? Molto di più.
Ci torneremo nelle prossime settimane, per informarvi con maggiore dettaglio su queste novità.
Nel contempo, vogliamo avvisarvi che il2 marzo, a Milano, e il 15 marzo, a Roma, Adeia Consulting, in collaborazione con AIPROS e con Prevenzione Rapine e Furti come media parner, terrà un seminario (qui il link per le iscrizioni) ognuno di due mezze giornate così organizzato:

  • la mattina con tema:”Nasce il nuovo Regolamento europeo – Business e nuovi adempimenti: sfida ad armi pari”;
  • il pomeriggio con tema: “Videosorveglianza e Privacy: una partita europea”.

I professionisti e i consulenti di Adeia Consulting restano a disposizione per ogni chiarimento.