Per visualizzare questo banner informativo è necessario accettare i cookie della categoria 'Marketing'
stampa articolo  esporta articolo in PDF

Il 25 maggio 2018 è finalmente arrivato!

Il 25 maggio 2018 è finalmente arrivato!
Adalberto Biasiotti
 Adalberto Biasiotti
 Privacy
25/05/2018: Il regolamento generale europeo sulla protezione dei dati, che era entrato in vigore già dal 25 maggio 2016, dal 25 maggio 2018 sostituisce integralmente precedenti disposizioni nazionali, fatte alcune eccezioni. Facciamo il punto della situazione.

La commissione europea ha dato due anni di tempo a tutte le nazioni europee per allineare le disposizioni nazionali in materia di protezione dei dati con le nuove indicazioni del regolamento. Per molte nazioni europee questo allineamento ha rappresentato un intervento di impegno significativo, ma non eccezionale, in quanto molte delle disposizioni del regolamento erano già state attuate, perfino prima della pubblicazione del regolamento stesso.

Cito, fra le tante, la figura del responsabile della protezione dei dati, figura affatto sconosciuta in Italia, ma già ben noto in molti altri paesi.

 

Purtroppo, anche questa volta l’Italia è arrivata in ritardo all’appuntamento con il destino, tanto è vero che solo negli ultimi due mesi si sono intensificate le attenzioni su questo regolamento, che è stato del tutto ignorato nei 22 mesi precedenti. Ho partecipato recentemente al Forum sulla pubblica amministrazione, al centro congressi di Roma, e praticamente ogni azienda presente sviluppava dei moduli formativi o informativi sul regolamento in questione. Sto parlando del 22 maggio 2018!

 

D’altro canto, occorre dire che anche la pubblica amministrazione, in particolare il Governo, si è mosso senza troppa fretta, tant’è vero che il decreto legislativo, che dovrebbe dare indicazioni su quelle aree del regolamento, per le quali è stata data libertà di azione ai vari paesi europei, è stato presentato il 10 maggio ad un parlamento, che sembra abbia ben altri problemi da affrontare.

Un rappresentante dell’autorità Garante, proprio durante una presentazione, avvenuta il 22 maggio, ha manifestato le sue perplessità circa il fatto che questo decreto legislativo possa essere pubblicato in tempo.

 

Giova anche mettere in evidenza come, in una prima versione, questa bozza di decreto legislativo all’articolo 101 prevedeva l’abrogazione del decreto legislativo 196/2003, mentre nella successiva versione, all’articolo 27, è prevista l’abrogazione non dell’intero decreto, ma di una lunga serie di titoli, sezioni, articoli e commi.

 

 

Pubblicità
Blumatica GDPR: Account Base - Canone 12 mesi
Il software completo per la gestione della protezione dei dati personali (privacy) ai sensi del GDPR 2016/679.

 

Si tratta quindi di fare una sorta di collage tra le disposizioni del regolamento e le disposizioni residue del decreto legislativo 196/2003 e non invidio davvero chi deve fare questa operazione!

Ciò significa che le aree discrezionali, che il regolamento mette a disposizione dei paesi nazionali, non verranno valorizzate, finché questo decreto legislativo non verrà pubblicato.

Ad esempio, i codici di condotta già approvate dall’autorità Garante, se non esplicitamente confermati, non avranno più valore. Parimenti, numerose altre aree di discrezionalità, nel complesso più di 50, che sono appunto a disposizione delle autorità nazionali, non verranno riempite.

 

Cade ad esempio l’applicazione di sanzioni penali, perché tali sanzioni devono essere esplicitamente approvate da un documento legislativo nazionale. Parimenti decadono tutte le sanzioni precedentemente stabilite dalla autorità Garante, ed entra in vigore la nuova modalità di applicazione delle sanzioni, non solo a livello di importo, ma soprattutto a livello di processo valutativo e decisionale, che porta all’applicazione della sanzione. L’autorità Garante oggi è composta di 120 persone, che faranno certamente il possibile per recepire ed attuare le disposizioni del regolamento, ma vi sono seri dubbi sul fatto che queste risorse possano essere sufficienti. Anche l’accordo con le strutture specializzate per comando generale della Guardia di Finanza potrà senz’altro essere d’aiuto, ma sembra difficile poter valutare non tanto l’efficienza, quanto l’efficacia di questo supporto.

 

Aggiungiamo un’altra considerazione: il regolamento prevede che un titolare, che abbia designato un responsabile della protezione dei dati, deve inviare una appropriata notificazione all’autorità Garante.

Il Garante ha pubblicato un documento, estratto dalle considerazioni dell’articolo 29 Working party, dove elenca tutte le attività di trattamento, con relativi titolari, che devono designare un responsabile della protezione dei dati.

A una domanda specifica, circa quante notificazioni siano state ricevute alla data del 22 maggio, non è stata data risposta.

Faccio presente che, ove tutte le organizzazioni indicate avessero davvero inviato tale notificazione, l’autorità Garante si sarebbe trovata davanti ad alcune decine di migliaia di notificazioni!

Per queste ragioni ritengo che non vi siano certamente motivi per ritardare l’attuazione pratica dei dettati del regolamento, ma che forse non sia il caso di drammatizzare la situazione.

Mi preoccupa invece il fatto che, ove si verifichi dopo il 25 maggio una qualche violazione dei dati o altra violazione del regolamento, che venga investigata dall’autorità Garante, non vi sarà alcun dubbio sul fatto che il titolare si troverà in una situazione oltremodo difficile, perché il mancato rispetto delle disposizioni del regolamento costituirà una aggravante significativa.

 

Un altro aspetto, sul quale non tutti i titolari si sono ancora concentrati a sufficienza, riguarda il fatto che dal 25 maggio non sarà più sufficiente adottare le misure minime di sicurezza, previste dagli allegati al decreto legislativo 196/2003, ma occorrerà adottare idonee misure di sicurezza, qualunque cosa questo aggettivo significhi. Se vogliamo, la disponibilità di un elenco di misure minime costituiva una sorta di salvaguardia o rete di sicurezza per i titolari, che perlomeno potevano far riferimento a una indicazione oggettiva dell’autorità Garante.

 

Nel momento in cui si deve fare riferimento alle indicazioni del regolamento, che parla invece di idonee misure di sicurezza, si entra in un campo di valutazione soggettiva, che lascia ampio spazio per valutazioni e contro valutazioni, con elevato tasso di opinabilità e di sviluppo di contenzioso.

Prima di chiudere, mi permetto di ricordare ai lettori che da oggi la parola privacy deve scomparire dal nostro vocabolario, sostituita dalla espressione “protezione dei dati”.

 

Con l’occasione, ricordo anche che è ormai defunto il “ricorso”, vale a dire quella procedura che permetteva un interessato di avanzare un’istanza all’autorità nazionale per vedere riconosciuti i propri diritti in tema di diritto di accesso rettifica e simili. Oggi è possibile rivolgersi all’autorità nazionale solo mediante un reclamo, per un motivo qualsiasi che coinvolga l’interessato presenta, ed una segnalazione, che fa riferimento a una situazione di presunto illecito, che però non coinvolgere direttamente l’interessato che rappresenta.

 

Resta comunque valida l’esortazione a tutti i titolari coinvolti di attuare quanto prima possibile le indicazioni del regolamento, cercando di recuperare i ben 24 mesi messi a disposizione della commissione europea e, in molti casi, poco e male utilizzati!

 

 

Adalberto Biasiotti

 

Regolamento (Ue) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

Creative Commons License Questo articolo è pubblicato sotto una Licenza Creative Commons.

Hai qualcosa da dire su questo articolo? Aggiungi ora il tuo commento


Ad oggi, nessun commento è ancora stato inserito.
Nome e cognome: (obbligatorio)
Email (se vuoi ricevere l'avviso di altri commenti)
Inserisci il tuo commento:(obbligatorio)

Leggi anche altri articoli sullo stesso argomento:

Per utilizzare questa funzionalità di condivisione sui social network è necessario accettare i cookie della categoria 'Marketing'
Forum di PuntoSicuro Entra

FORUM

Quesiti? Proponili nel FORUM!