Pubblicato in Gazzetta Ufficiale il 04 maggio 2016 (con entrata in vigore il ventunesimo giorno successivo a tale data), il Regolamento UE del Parlamento Europeo e del Consiglio n. 679 del 27 aprile 2016 concerne la protezione delle persone fisiche rispetto al trattamento dei dati personali nonché alla libera circolazione degli stessi. A tutti i soggetti interessati degli Stati Membri, è stato richiesto di adeguarsi al nuovo Regolamento Europeo sulla Privacy o GDPR (General Data Protection Regulation) entro e non oltre il giorno di venerdì 25 maggio 2018. Trascorse poche settimane dalla data di scadenza fissata per l’adeguamento, si fanno evidenti novità dubbie, elementi critici e questioni aperte.

In data 25 maggio 2018, il nuovo Regolamento UE ha sostituito il cosiddetto “Testo unico sulla Privacy” (Decreto Legislativo del Presidente della Repubblica n. 196 del 30 giugno 2003). La normativa vigente fino al 24 maggio 2018 non è stata abrogata, ma di fatto disapplicata.

La scadenza del 25 maggio 2018 ha assunto un carattere sempre più perentorio, generando una frenetica corsa all’adeguamento in cui tutti i soggetti (quali persone giuridiche, persone fisiche, enti ed associazioni…), che effettuano trattamenti di dati personali (nome, cognome, codice fiscale, stato di salute, adesione a sindacati…), hanno dovuto introdurre importanti e costosi cambiamenti nella gestione della Privacy.

Dal nuovo Regolamento UE, derivano attività che presuppongono responsabilità differenti, obblighi e procedure standardizzati nonché fattori di rischio e sanzioni più elevati. È parere sempre più generalizzato tra gli addetti ai lavori che il tecnicismo proprio della nuova normativa (insieme di diritti, principi, obblighi, procedure, sanzioni…) contribuisca a spostare l’attenzione dal diritto alla riservatezza in senso stretto all’uso (salvataggio e diffusione) dei dati altrui da parte del titolare del trattamento.

Sebbene il nuovo Regolamento UE faccia parte delle norme europee, la sua applicazione ne accentua il carattere globale: legge applicabile, foro competente e giurisdizione competono al luogo in cui si trova l’interessato (non il titolare) al trattamento. Tale stato di cose si concretizza nell’obbligo di adeguamento al nuovo Regolamento UE da parte delle stesse multinazionali che, pur senza forme stabili di impresa nel continente, offrono beni e servizi online (gratuiti o meno) a soggetti ubicati in Europa.

La dimensione europea e globale del nuovo Regolamento UE ha reso necessaria la sostituzione del Gruppo dei Garanti o Gruppo Art. 29 con il Comitato Europeo per la Protezione dei Dati o EDPB (European Data Protection Board). Costituito dai rappresentanti di tutti i Garanti europei e presieduto dal Consigliere o EDPS (European Data Protection Supervisor) Giovanni Buttarelli, l’EDPB accentra molti poteri regolatori prima demandati alle singole Autorità nazionali: è il referente primario per tutto ciò che concerne l’interpretazione, l’applicazione e l’evoluzione della nuova normativa, oltre che per la corretta gestione dei dati personali.

Il quadro normativo nazionale ancora incompleto sulla nuova disciplina della Privacy genera un clima di sostanziale e diffusa incertezza: a tutt’oggi, infatti, il decreto di armonizzazione dei sistemi giuridici nazionale ed europeo è in attesa di approvazione da parte del Governo italiano. Solo in presenza di un quadro normativo nazionale definitivamente approvato, sarà possibile stabilire in che modo la precedente e l’attuale disciplina si combinano, soprattutto rispetto al tema delle sanzioni.

Tra gli aspetti più rivoluzionari del nuovo Regolamento UE, c’è l’assunzione dell’accountability quale prospettiva con cui rapportarsi all’attuale norma sulla Privacy. Il concetto supera quello di compliance alla normativa. Infatti, il titolare del trattamento non può più limitarsi a rispettare le regole minime imposte, ma deve poter dimostrare di avere analizzato le criticità concrete ed avere consapevolmente optato per l’adozione di un insieme di misure atte a garantire il rispetto della Privacy degli interessati. L’accountability va oltre l’affidabilità: insieme a quest’ultima, è autorevolezza e consapevolezza della responsabilità.

La Valutazione di Impatto per la Protezione dei Dati o DPIA (Data Protection Impact Assessment) è fondamentale ai fini della costante attenzione per i diritti degli interessati richiesta dalla normativa. Prevista all’art. 35 del Regolamento UE del Parlamento Europeo e del Consiglio n. 679 del 27 aprile 2016, la DPIA è una procedura volta alla gestione e minimizzazione dei rischi derivanti dal trattamento dei dati personali. La procedura consiste nel descrivere il trattamento (natura, oggetto, contesto, finalità…), valutandone soprattutto la necessità e proporzionalità secondo un’ottica prudenziale. Nei casi di maggior rischio per i diritti e le libertà delle persone fisiche (in particolare, l’uso di nuove tecnologie), è d’obbligo valutare l’impatto dei trattamenti previsti sulla protezione dei dati personali prima di procedere con qualsiasi attività. La valutazione di impatto è globale: comprende aspetti legali, organizzativi e tecnici. La DPIA si concretizza nella redazione di un documento illustrativo e riassuntivo della valutazione, che assumerà una rilevanza fondamentale in caso di ispezioni da parte dell’Autorità deputata ai controlli.

Per sua stessa natura, la DPIA necessita di un aggiornamento continuativo. Benché trascurata, tale caratteristica della DPIA è importante poiché impone procedure periodiche di controllo: la valutazione di impatto deve essere modificata in concomitanza con la variazione dei rischi derivanti dal trattamento.

La DPIA non spetta (come da credenza diffusa) al Responsabile della Protezione del Dati o DPO (Data Protection Officer), ma deve essere svolta dal titolare del trattamento. Quest’ultimo, nell’effettuare la procedura di valutazione, può farsi guidare dal DPO, ma deve affidarsi principalmente alle sue strutture tradizionali e ai suoi consulenti.

La cosiddetta “Consultazione Preventiva” è la procedura attraverso cui il titolare può procedere all’implementazione del trattamento dei dati qualora riscontri che le misure adottate non siano ragionevolmente sufficienti a rendere accettabili i relativi rischi. Il titolare del trattamento deve consultare il Garante per la Privacy attraverso formale interpello. Sulla base di quest’ultimo, l’Autorità fornirà un parere scritto, di cui il titolare si servirà per la rielaborazione del DPIA.

Data la complessità e l’innovatività del Regolamento Europeo sulla Privacy o GDPR (General Data Protection Regulation), è bene procedere all’adeguamento nel rispetto di quanto stabilito dalla normativa nonché effettuare periodici controlli sullo stato della materia, in costante evoluzione.