Il nuovo regolamento europeo sulla privacy è destinato ad incidere significativamente sulle attività delle imprese e dei professionisti. E’ indubbia l’opportunità professionale rappresentata dalla nuova figura del consulente in materia di tutela dei dati personali. Per le imprese non si ravvisa un significativo aggravio degli adempimenti anche a seguito dell’introduzione del ruolo del data protection officer: il nuovo testo comunitario introduce, infatti, taluni importanti adempimenti, ma ne limita l’applicazione ad alcune ipotesi specifiche. Quali potrebbero essere le potenziali ricadute?
Il 4 maggio 2016 è stato pubblicato in Gazzetta Ufficiale Europea il regolamento UE n. 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che abroga la direttiva 95/46/CE. Il testo è entrato in entrerà in vigore il 24 maggio 2016, ma per l’applicabilità dello stesso bisognerà attendere ulteriori ventiquattro mesi, durante i quali le varie legislazioni nazionali – unitamente alle locali autorità garanti – saranno chiamate a recepire le nuove prescrizioni, dettagliandole in indicazioni operative per imprese e cittadini.
La genesi del testo è stata alquanto travagliata e complessa. Già nel gennaio 2012 la Commissione europea aveva proposto l’adozione di un regolamento in grado di sostituire la direttiva 95/46/CE. Il testo del provvedimento aveva ricevuto dal Parlamento l’approvazione in prima lettura nel 2014, per essere successivamente emendato dal Consiglio nel giugno 2015 e, infine, assumere la sua veste definitiva nel dicembre dello stesso anno. Si è indubbiamente trattato di una lunga gestazione, apparentemente incompatibile con la necessaria tempestività di un provvedimento destinato a incidere significativamente in un settore – quello delle tecnologie digitali – in rapido e costante mutamento. Bisogna, tuttavia, osservare come lo sforzo del legislatore comunitario sia stato di non poco momento, attesa la notevole frammentazione applicativa delle disposizioni di cui alla precedente direttiva presso i vari Stati membri. Il testo del regolamento appare, peraltro, attestarsi su un elevato livello di astrazione, incentrandosi sull’affermazione di principi e diritti e sull’individuazione di prescrizioni di carattere generale che potranno efficacemente adattarsi nel tempo ai mutevoli scenari dell’information technology per opera delle singole legislazioni nazionali.
Quanto al nuovo ambito di applicazione territoriale delle disposizioni comunitarie, esso si connota per una maggiore inclusività rispetto alla precedente direttiva. E’ sufficiente che lo stabilimento del titolare o del responsabile del trattamento sia localizzato nel territorio dell’Unione, indipendentemente dal fatto che il trattamento sia materialmente effettuato sul suolo comunitario. In alternativa – ed è questa la principale novità – è sufficiente che l’interessato si trovi nell’Unione, allorquando si intenda offrire beni o prestare servizi a quest’ultimo; o nel caso in cui l’oggetto del trattamento sia il monitoraggio di un comportamento dell’interessato che abbia luogo all’interno dell’Unione.
In merito alle potenziali ricadute che le disposizioni contenute nel nuovo regolamento avranno sulla quotidiana attività delle imprese italiane, non si ravvisa un significativo aggravio degli adempimenti rispetto alle prescrizioni del vigente Codice della Privacy, quantomeno non per la maggior parte degli operatori economici stabiliti nel territorio nazionale. Il nuovo testo comunitario introduce, infatti, taluni importanti adempimenti – quali la redazione di un registro delle attività di trattamento, la valutazione di impatto sulla protezione dei dati e la designazione del responsabile della protezione dei dati (data protection officer) – limitandone, tuttavia, l’applicazione ad alcune ipotesi specifiche.
Il registro delle attività di trattamento ricalca, sotto alcuni profili, il Documento Programmatico per la Sicurezza (D.P.S.) previsto dal Codice della Privacy fino al 2012. Tra le informazioni che dovranno essere obbligatoriamente riportate in tale documento figurano gli estremi del titolare o del responsabile del trattamento e, ove presente, del responsabile della protezione dei dati; le finalità del trattamento; una descrizione delle categorie di interessati e di dati oggetto del trattamento e delle categorie di destinatari cui i dati vengono comunicati; una descrizione delle misure di sicurezza tecniche e organizzative poste a tutela degli interessati. Le imprese con meno di 250 dipendenti sono, tuttavia, esentate da tale adempimento, a meno che il trattamento rappresenti un rischio per i diritti e le libertà dell’interessato o includa i cosiddetti “dati sensibili”, tra cui quelli relativi allo stato di salute della persona.
La valutazione di impatto sulla protezione dei dati impone al titolare del trattamento una dettagliata analisi in merito alla necessità e alla proporzionalità dei trattamenti rispetto alle finalità perseguite, ai rischi per i diritti e le libertà degli interessati e alle misure da intraprendere per contenerli. Si tratta di un adempimento obbligatorio allorquando il trattamento sia automatizzato e conduca a decisioni che abbiano effetti giuridici o una analoga significativa incidenza; o il trattamento avvenga su larga scala e includa dati sensibili o relativi a condanne penali; o il trattamento consista nella sorveglianza sistematica e su larga scala di zone accessibili al pubblico. Per una più dettagliata elencazione dei trattamenti soggetti a valutazione di impatto bisognerà, comunque, attendere le determinazioni dei singoli garanti nazionali che potranno, per maggiore chiarezza, pubblicare anche elenchi di trattamenti non soggetti alla valutazione di impatto.
La figura del data protection officer, cui sono richieste competenze trasversali in aree giuridiche e informatiche, avrà la responsabilità di sorvegliare sull’effettiva applicazione delle disposizioni del regolamento ai trattamenti applicati dall’impresa o dall’organizzazione, collaborando – ove prevista – alla valutazione di impatto e fungendo da punto di contatto con le autorità di controllo. Il responsabile della protezione dei dati è, dunque, un supervisore indipendente, che riferisce direttamente ai vertici aziendali, con competenze e responsabilità del tutto assimilabili a quelle degli altri manager. La sua nomina è obbligatoria nelle pubbliche amministrazioni e negli enti pubblici; nel settore privato essa è richiesta allorquando i trattamenti richiedano il monitoraggio regolare e sistematico degli interessati su larga scala o riguardi dati sensibili o relativi a condanne penali.
In conclusione, va osservato come il legislatore comunitario abbia inteso contemperare le esigenze di semplificazione degli adempimenti amministrativi per gli operatori economici con la necessaria tutela delle libertà e dei diritti della persona, limitando l’applicazione di specifici obblighi alle grandi imprese, agli enti pubblici e ai soggetti che trattino abitualmente dati sensibili – primi fra tutti quelli operanti nel settore della sanità.
Quanto al mondo delle professioni, è opinione comune che l’approvazione del regolamento possa offrire significative opportunità di sviluppo per un settore di recente formazione, quale quello dei consulenti in materia di tutela dei dati personali. Se, infatti, è vero che gli obblighi di cui al nuovo testo comunitario riguardano da vicino soltanto alcune categorie di operatori economici, non v’è dubbio che molte imprese saranno chiamate a valutare la natura e il contenuto dei propri trattamenti al fine di comprendere se le stesse debbano essere assoggettate alle disposizioni di cui al regolamento, prima fra tutte la nomina del data protection officer. Proprio con riferimento a tale figura ci si attende – anche per mezzo delle ulteriori prescrizioni che saranno fornite dal legislatore nazionale – che il ruolo del responsabile della protezione dei dati venga svolto, nella realtà operativa, in condizioni di effettiva indipendenza e in totale conformità ai principi del regolamento, data la rilevanza dei diritti e delle libertà in gioco facenti capo a cittadini quotidianamente soggetti alle molteplici attività di trattamento dei dati applicabili con le moderne tecnologie digitali.