Lo tempo fugge e l’uomo non se n’avvede, diceva il poeta

Lo tempo fugge e l’uomo non se n’avvede, diceva il poeta

Nella stragrande maggioranza delle aziende l’attenzione posta alla attuazione dei dettati del regolamento europeo sulla protezione dei dati personali 679/2016 è minima. Di Adalberto Biasiotti.

Pubblicità

Vai alla BANCA DATI SULLA PROTEZIONE DEI DATI PERSONALI

Girando per vari paesi europei, mi sono reso conto che all’estero gli impegni relativi all’attuazione dei dettati del regolamento europeo sulla protezione dei dati personali vengono presi molto più seriamente che in Italia.

Probabilmente i nostri titolari dei trattamenti ritengono che qualche santo potrà intervenire all’ultimo minuto e sposterà la data ultima di piena attuazione di questo regolamento che è, lo ripetiamo ancora il 25 maggio 2018.

Questa non è la data nella quale il regolamento comincerà ad entrare in vigore, ma è la data ultima nella quale tutte le disposizioni del regolamento dovranno essere già state attuate.

I lettori che hanno la bontà di collegarsi a questo sito Internet  www.eugdpr.org.

potranno vedere un orologio che scandisce il tempo mancante alla data ultima di piena attuazione dei dettati del regolamento.

Non è affatto vero che chi è già in regola con l’attuale decreto legislativo 196/2003 non deve preoccuparsi del nuovo regolamento, in quanto quest’ultimo prevede tutta una serie di interventi migliorativi, in tema di informazione, consenso, raccolta e trattamento di dati personali, che non sempre possono essere attuati a tempi brevissimi.

Ad esempio, tutti i modelli di informativa e raccolta di consenso oggi in essere devono essere modificati per renderli aderenti a quanto puntualmente indica il regolamento generale europeo. Un dato di estrema importanza, che nelle attuali informative praticamente inesistente, fa riferimento, ad esempio, alla durata di conservazione dei dati.

Il fatto che per ogni trattamento sia indispensabile avviare un processo di analisi di protezione dei dati per impostazione predefinita e di protezione dei dati fin dalla progettazione rappresenta un onere che non viene certo affrontato e risolto in pochi giorni.

Infine, ricordo  un nuovo obbligo, che esisteva in precedenza ma che nel nuovo regolamento viene gestito in maniera assai più incisiva, riguarda la compilazione del registro dei trattamenti, che raccoglie tutti i dati atti ad inquadrare in modo analitico qualsiasi trattamento venga effettuato da un titolare, per qualsivoglia motivo. Basti pensare che la check list, che permette di acquisire tutti i dati necessari per la compilazione del registro dei trattamento, è lunga parecchie pagine, per rendersi conto che non è un’iniziativa che può essere gestita in qualche ritaglio di tempo.

Non parliamo poi del ben più impegnativo obbligo, posto dal regolamento europeo, afferente alla necessità di condurre una analisi di impatto sulla protezione dei dati, per trattamenti particolarmente impegnativi.

Il ruolo del responsabile del trattamento dei dati deve essere rivisto profondamente, perché i suoi compiti, che nel decreto legislativo 196/2003 sono liquidati in tre righe, sono invece puntualmente elencati in numerosi articoli del regolamento.

Non parliamo poi del nuovo profilo del responsabile della protezione dei dati, già noto in altri paesi europei, ma assolutamente sconosciuto in Italia, che richiede l’intervento di un professionista di alto livello, che non si può certo formare dalla sera alla mattina. Come giustamente ha detto la nostra autorità garante, non è certo con un corsetto di una settimana che un soggetto, anche se già in parte qualificato in materia di protezione dei dati personali, può diventare un credibile responsabile della protezione dei dati.

Chi scrive ha partecipato all’elaborazione della normativa UNINFO, che definisce specificamente questo profilo professionale e che attualmente è in fase di inchiesta pubblica. Questa normativa conferisce una veste di elevata competenza e professionalità, che ad oggi non è riscontrabile in alcun schema di certificazione basato su formule proprietarie.

Ricordo ancora a tutti i lettori che, per definizione del codice civile, un professionista, che opera inquadrato secondo una norma italiana, è un professionista che opera automaticamente a regola d’arte: scusate se è poco!

Infine, un messaggio fortissimo è venuto a tutti i professionisti riuniti in un convegno londinese, da parte del rappresentante dell’autorità garante britannica, l’information commissioner office. Questo rappresentante ha detto con estrema chiarezza che nessuno si sogni di sperare, come probabilmente tutti i titolari italiani sperano, che vi possa essere un rinvio della data ultima di piena attuazione del regolamento europeo, perché è opinione comune della commissione europea, del Parlamento europeo e del consiglio dell’unione europea che questo regolamento sia talmente prezioso ed utile, da non consentire alcun rinvio alla sua data ultima di piena attuazione (e non di entrata in vigore).

Adalberto Biasiotti