Protezione dei dati personali: quale normativa si deve applicare?

Protezione dei dati personali: quale normativa si deve applicare?

Come conciliare il Regolamento generale europeo sulla protezione dei dati 2016/679 e decreto legislativo 196/2003. Alcune disposizioni potrebbero portare a differenti modalità applicative: quale è il comportamento più appropriato? Di Adalberto Biasiotti.

Pubblicità

Modelli di documenti - Procedure per la gestione della Security nei luoghi di lavoro Tutti i modelli di procedure pronti all'uso per il responsabile della security (Security Manager)

I lettori ricordano perfettamente che la commissione europea ha pubblicato il regolamento generale sulla protezione dei dati, che è entrato in vigore, dopo la sua pubblicazione sulla Gazzetta Ufficiale europea, il 24 maggio 2016. La data ultima entro la quale tutti i paesi europei devono dare piena applicazione ai dettati del regolamento è il 24 maggio 2018.

In questo arco di tempo tutti i paesi europei, che nel frattempo hanno già emesso delle disposizioni legislative, riferite a precedenti direttive ed indicazioni europee, si trovano quindi a dover fare riferimento a due diverse disposizioni legislative.

In Italia, in particolare, è in vigore, nella ultima sua versione, il decreto legislativo 196 barra 2003.

Alcuni lettori si sono chiesti se, in presenza di un approccio diverso fra le due disposizioni legislative in vigore, una delle due abbia la prevalenza sull’altra.

Poiché la data ultima per dare piena attuazione al  nuovo regolamento è, come detto in precedenza, il 24 maggio 2018, nulla impedirebbe ad un titolare del trattamento di continuare a rispettare il decreto legislativo italiano, anziché il regolamento europeo.

Ci si potrebbe però chiedere come questo titolare potrebbe essere in grado di rispettare pienamente il regolamento europeo, dalla mezzanotte del 24 maggio 2018, senza aver fatto nulla in precedenza.

Ecco la ragione per la quale il consiglio che viene dato a tutti i titolari del trattamento, nonché ai loro collaboratori, è quello di cominciare fin da adesso ad applicare le indicazioni del regolamento europeo, in modo da sostituire gradualmente le disposizioni nazionali con quelle europee e non giungere troppo tardi all’appuntamento inderogabile del 24 maggio 2018.

Ad esempio, chi scrive sta già sostituendo tutti i moduli di informativa e di raccolta di consenso, afferenti al trattamento di dati personali, con nuovi moduli in cui si dà puntuale applicazione alle indicazioni del regolamento europeo, invece che alle indicazioni del decreto legislativo.

Tra l’altro, il grande vantaggio che si ha nel fare riferimento al regolamento europeo è la estrema puntualità e la illustrazione analitica di molti adempimenti, che nel decreto legislativo italiano sono sì illustrati, ma non in modo oltremodo dettagliato.

Ad esempio, per elaborare un modulo di informativa, è sufficiente leggere l’articolo specifico numero 13 del regolamento europeo, che illustra punto per punto quali sono le informazioni che devono essere fornite all’interessato.

Parimenti, in vista dell’obbligo che per ogni trattamento venga sviluppata una analisi di protezione dei dati fin dalla progettazione e protezione per impostazione predefinita, come indica l’articolo 25 del regolamento, nulla impedisce fin da adesso di provvedere a sviluppare queste analisi, senza aspettare l’ultimo giorno.

Un altro esempio interessante riguarda l’obbligo, imposto dal nuovo regolamento, di sviluppare dei registri delle attività di trattamento, come puntualmente indicato dall’articolo 30. Un tale registro delle attività di trattamento, che si realizza impostando una scheda, che raccoglie tutti gli elementi significativi di uno specifico trattamento, è tanto utile oggi, facendo riferimento al decreto legislativo italiano, quanto sarà utile domani, facendo riferimento al regolamento generale europeo.

Infine, e i lettori ci perdonino per questa puntuale analisi, ricordo che alcuni particolari trattamenti richiedono che venga svolta una valutazione d’impatto sulla protezione dei dati, in conformità all’articolo 35 del regolamento.

Anche in questo caso, ci si può domandare quale ostacolo possa porsi al titolare del trattamento nello sviluppare questa valutazione di impatto fin da adesso, senza dover attendere la mezzanotte dell’ultimo giorno, entro il quale egli comunque dovrà sviluppare questa valutazione di impatto.

Ecco la ragione per la quale si raccomanda caldamente a tutti i titolari del trattamento, supportati dai responsabili da loro designati, di analizzare tutte le attività di trattamento svolte e vedere quali, fin da oggi, possono essere modificate e, mi si consenta, migliorate, facendo riferimento alle puntuali indicazioni del regolamento europeo.

Una attenta lettura di questo regolamento mette in evidenza come in realtà esso sia più uno strumento di puntualizzazione miglioramento di disposizioni esistenti, piuttosto che uno strumento di “contrasto” al decreto legislativo oggi in vigore.

La Bibbia raccomanda a tutte le sagge persone di essere preparate, perché esse non sapranno quando sarà la loro ora, ma nella fattispecie l’ora la conosciamo già tutti ed è precisamente la mezzanotte del 24 maggio 2018!

Adalberto Biasiotti

Regolamento (Ue) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

Decreto legislativo 30 giugno 2003, n. 196 - Codice in materia di protezione dei dati personali – versione aggiornata al D.Lgs. del 14 settembre 2015 con tavola di corrispondenza.

Vai alla BANCA DATI SULLA PROTEZIONE DEI DATI PERSONALI

Questo articolo è pubblicato sotto una Licenza Creative Commons.

I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.