Privacy, nascono i “garanti giustizia”: cosa dice il nuovo regolamento UE

L’assemblea plenaria del Parlamento Europeo ha adottato in seconda lettura i testi del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini. Con questo passaggio, da meno di un mese (14 aprile 2016), si è concluso un iter legislativo durato oltre 4 anni.

Il nuovo “pacchetto protezione dati” (GDPR General Data Protection Regulation) adeguerà una normativa europea che risale agli anni ’90.

In particolare, il nuovo Regolamento introdurrà una legislazione in materia di protezione dati uniforme e valida in tutta Europa , affrontando temi come il diritto all’oblio e la portabilità dei dati e stabilendo anche criteri che da una parte responsabilizzano maggiormente imprese ed enti rispetto alla protezione dei dati personali e, dall’altra, introducono notevoli semplificazioni per le PMI.

Il 4 maggio 2016 il Regolamento è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea (GUUE), sarà vigente 20 giorni dopo, mentre le sue disposizione saranno direttamente applicabili in tutta l’Unione europea dal 25 maggio 2018. [1]

Il rinnovato quadro normativo Privacy si avvicina così ulteriormente a quelli già oggi vigenti in tema di Responsabilità Amministrativa d’Impresa (231/2001) e Trasparenza Amministrativa (33/2013). L’art. 37 del Regolamento introduce infatti la nuova (per l’Ordinamento italiano) figura del Responsabile della Protezione dei Data (DPO – Data Protection Officer), autonomo e indipendente, che riferirà all’Autorità Garante nazionale.

Questo schema ricalca piuttosto da vicino quello previsto dalla Normativa 231/01, dove l’OdV – Organismo di Vigilanza (come pure il collegio sindacale, il consiglio di sorveglianza, il comitato di controllo di gestione) riferisce all’Autorità di Vigilanza di settore, analogamente a quanto avviene anche per la Normativa 33/2013 tra Responsabile della Trasparenza, OIV e ANAC.

Più in generale si può affermare che l’obiettivo prioritario perseguito dall’UE è quello di armonizzare e uniformare la normativa sul trattamento dei dati personali, realizzando una cornice utile a creare un mercato unico europeo ICT, un “Digital Market” potenzialmente competitivo a livello mondiale.

Fatto salvo quanto sopra è però previsto che anche i Legislatori nazionali potranno produrre normativa integrativa del Regolamento (Considerando 8), con il rischio di creare nuovi distinguo tra normative nazionali. Premesso quanto sopra, nel corso del prossimo biennio alcuni operatori [2] si attendono che la Commissione UE, il Garante Privacy UE e quelli nazionali provvederanno a stilare Atti e Linee guida sui temi centrarli del Regolamento (e della Direttiva), segnatamente quantomeno su:

• Data Protection by default
• DPO (Data Protection Officer)
• PIA (Privacy Impact Assessment): Elenco delle tipologie di trattamenti soggetti ad una analisi preventiva dell’impatto sulla protezione dei dati
• Data portability
• One stop shop: L’Autorità Garante nazionale sarà unico interlocutore dei Titolari, dialogando con la Commissione
• Data breach: notifica tempestiva sulle violazioni dei dati personali
• Sicurezza del trattamento: Parametri per la valutazione dei costi di attuazione in rapporto al rischio
• Trattamento dei dati sensibili
• Privacy icons: Loghi per “targare” le caratteristiche dello specifico trattamento di dati personali, al fine di evitare informative lunghe, poco fruibili
• Clausole contrattuali standard: Da applicare ai fornitori di servizi cloud, che rivendono il servizio delle BIG Corporation
• Certificazione della protezione dei dati: marchi di conformità
• Meccanismo di Coerenza e Comitato europeo per la protezione dei dati: Risoluzione controversie tra Garanti nazionali

Relativamente alla dimensione italiana, al momento si può affermare che l’impatto del nuovo Regolamento potrà comportare un mutamento di approccio al tema Privacy:

• Nuova Visione “orientata al rischio” vs. Visone Amministrativa, che attualmente tende a limitare l’applicazione alla semplice redazione di nomine ad incaricati, responsabili etc.
• Approccio sostanziale alla privacy: Valore aziendale vs. Obbligo di Compliance
• Organigramma aziendale privacy: individuazione di risorse umane dedicate alle funzioni Privacy
• Un processo e un prodotto privacy oriented
• Minimizzazione dell’uso dei dati: Gestione dell’acquisizione del dato e del fine vita dei dati. Aggregazione/anonimizzazione/pseudonimizzazione/cifratura

Ulteriore novità di rilievo, per il vero fino ad oggi apparentemente non affrontata dai commentatori, è quella introdotta dal Considerando 20, secondo il quale:

“Non è opportuno che rientri nella competenza delle autorità di controllo il trattamento di dati personali effettuato dalle autorità giurisdizionali nell’adempimento delle loro funzioni giurisdizionali, al fine di salvaguardare l’indipendenza della magistratura nell’adempimento dei suoi compiti giurisdizionali, compreso il processo decisionale. Si dovrebbe poter affidare il controllo su tali trattamenti di dati ad organismi specifici all’interno del sistema giudiziario dello Stato membro , che dovrebbero in particolare assicurare la conformità alle norme del presente regolamento, rafforzare la consapevolezza della magistratura con riguardo agli obblighi che alla stessa derivano dal presente regolamento ed esaminare i reclami in relazione a tali operazioni di trattamento dei dati ”.

In sostanza il considerando introduce un autogoverno nella gestione della Privacy in favore delle giurisdizioni nazionali , che si sostituiscono alle Autorità Garanti nazionali, che nel caso dell’Italia in questi anni non ha fatto mancare il suo apporto nell’affrontare temi delicati come quello della pubblicazione e indicizzazione on line delle sentenze in forma non anonimizzata, sia con riferimento alla Giurisdizione Ordinaria che a quella Amministrativa.

Quanto sopra apre, quindi, alla costituzione di “organismi specifici all’interno del sistema giudiziario dello Stato membro” , con compiti in sostanza analoghi a quelli del Garante Privacy.

Le soluzioni al momento sul piatto sono diverse, il nuovo “organismo privacy giustizia”, chiamiamolo così, potrà essere creato a livello interministeriale e dialogare con i DPO conseguentemente nominati per le singole giurisdizioni.

Contro questa soluzione si potrebbe obiettare che l’art. 37, comma 1, lett. a) (Reg. Privacy UE 2016/679) esclude esplicitamente l’obbligo di nomina del DPO per le giurisdizioni.

Una seconda soluzione potrebbe vedere più organismi privacy giustizia, il primo a livello intergiurisdizionale, che dialogherebbe con gli organismi omologhi a livello giurisdizionale, i quali in qualità di titolari (Responsabili ex Reg UE) del trattamento potrebbero nominare Responsabili del trattamento a livello decentrato/distrettuale per un controllo più efficace dei trattamenti.

Quanto sopra contribuirebbe a creare un framework piuttosto solido a tutela del trattamento dei dati nella giurisdizione italiana, secondo quanto imposto dal Regolamento Ue e richiesto anche dalla recente diffusione del PCT (Processo Civile Telematico) e dalla ormai prossima diffusione del canale telematico nelle altre giurisdizioni (PAT – Processo Amministrativo Telematico, PTT – Processo Tributario Telematico e PCCT – Processo della Corte dei Conti Telematico).

A monte di tutto si dovrà trovare un coordinamento tra questi aspetti del nuovo Regolamento Privacy UE, la Convenzione di Strasburgo [3], che parrebbe aver condiviso l’idea di un Garante indipendente super partes rispetto ai singoli Stati membri, e il Trattato di Lisbona [4].

Tornando alla dimensione italiana il tema è aperto ed è auspicabile che venga affrontato per tempo quantomeno a livello intergiurisdizionale.

Il prossimo Forum PA del 25 Maggio sarà l’occasione per approfondire anche questa nuova frontiera.