Il 25 maggio 2018, salvo proroghe last minute, entreranno in vigore in tutti i Paesi membri dell’Unione Europea, le disposizioni del Regolamento Europeo n.679/2016 in materia di Privacy.

Questo Regolamento ha abrogato la Direttiva Europea 95/46 che, a sua volta, aveva costituito il presupposto per l’adozione di tutte le norme in materia di trattamento di dati personali, norme contenute nel nostro Decreto Legislativo n.196/2003 (cosiddetto “Codice della Privacy”).

Vi è quindi una problematica preliminare da affrontare e risolvere, posto che vi sono alcune previsioni dell’attuale “Codice della Privacy” che appaiono in contrasto con quelle del Regolamento Europeo ed altre che devono essere necessariamente modificate o coordinate con quest’ultime.

In questo contesto, è stata emanata una specifica Legge (n.163 del 25/10/2017, pubblicata in Gazzetta Ufficiale in data 6/11/2017: cosiddetta Legge di “delegificazione europea”) ove è stato stabilito che entro sei mesi a partire dalla data di sua entrata in vigore (21/11/2017), dovranno essere adottati specifici Decreti Legislativi finalizzati a:

- abrogare le disposizioni del “Codice della Privacy” che siano incompatibili ed in contrasto con quelle del Regolamento Europeo;

- apportare ogni necessaria modifica alle disposizioni del “Codice della Privacy”, in modo da renderle conformi alle disposizioni del Regolamento;

- verificare e valutare l’opportunità di rivolgersi all’Autorità Garante per la protezione dei dati personali, per l’adozione di provvedimenti che integrino e rendano correttamente attuabili in Italia le disposizioni del Regolamento Europeo;

- coordinare ed adeguare il regime delle sanzioni previste dal “Codice della Privacy” con quello del Regolamento Europeo.

Per poter disporre di quadro normativo corretto e completo, quindi, occorrerà attendere la ormai prossima emanazione dei Decreti Legislativi.

Già sin d’ora, tuttavia, è possibile confrontare i testi del Decreto Legislativo n.196/2003 e del Regolamento Europeo per segnalare alcune delle principali e più significative novità in materia.

- In linea generale, vi è un sostanziale cambiamento di prospettiva rispetto all’attuale quadro normativo.

Il “Codice della Privacy”, nella sua attuale versione, indica in sostanza quali sono, in determinate circostanze, le misure e le soluzioni da adottare nel trattamento di dati personali, per porsi al riparo da eventuali contestazioni e sanzioni da parte degli organi competenti.

La “ratio” sottesa alle disposizioni del Regolamento Europeo è differente. Il Regolamento, infatti, specifica quali devono essere i connotati di liceità, correttezza e trasparenza del trattamento dei dati, ma non indica soluzioni tecniche minime e sufficienti che possano costituire una sorta di “garanzia” per chi sia titolare o responsabile dei trattamenti medesimi.

Ognuno è libero di adottare le soluzioni più aderenti alla propria realtà ma deve essere in grado di dimostrare di avere effettuato approfondite analisi interne e di avere approntato procedure e soluzioni tecniche tali da porre in sicurezza il trattamento dei dati e scongiurare possibili pregiudizi ai diretti interessati.

Si tratta, a ben vedere, di una prospettiva che può essere accostata a quella di altri fondamentali impianti normativi, quali quelli in materia di sicurezza nei luoghi di lavoro (Decreto Legislativo n.81/2008) e di prevenzione dei reati in ambito societario (Decreto Legislativo n.231/2001).

Non si tratta, quindi, di un nuovo approccio in termini assoluti ma di una nuova normativa, più al passo con i tempi e con le continue innovazioni tecnologiche.

Ovviamente, come in materia di sicurezza sui luoghi di lavoro e di prevenzione dei reati in ambito societario, l’applicazione concreta della nuova normativa in materia di Privacy impatterà inevitabilmente su enti pubblici ed imprese, sia in termini organizzativi sia in termini di costi.

- Informativa e consenso: rispetto a quanto previsto nell’attuale “Codice della Privacy”, l’informativa al diretto interessato dovrà essere maggiormente sintetica, trasparente, ben comprensibile, facilmente accessibile e comprensiva di specifiche indicazioni in relazione al periodo di conservazione dei dati ed al diritto dell’interessato di esigerne il trasferimento a terzi (cosiddetta “portabilità dei dati”).

Il consenso dovrà essere prestato in forma libera ed in modo inequivocabile; inoltre, dovrà essere completo e quindi riferito ad ogni eventuale modalità e finalità di trattamento. E ancora, i diretti interessati dovranno essere posti nella condizione di poter revocare il loro consenso con analoga facilità rispetto all’originaria autorizzazione al trattamento dei dati.

Le nuove previsioni si innestano su un impianto normativo precedente meno rigoroso.

Occorre tenere presente che anche nell’ultimo periodo si sono registrare numerose contestazioni del Garante in relazione a non corrette o inidonee informative o raccolte di consenso e pertanto, a maggior ragione, occorrerà prestare particolare cura ed attenzione, a tale riguardo, nella vigenza delle disposizioni del Regolamento Europeo.

- Registro dei trattamenti dei dati: si tratta di una sorta di libro-contenitore, da aggiornare periodicamente, che dovrà contenere tutto ciò che riguarda i trattamenti dei dati: indicazione di titolare, responsabile, incaricati ed eventuale “D.P.O.” (Data Protection Officer, vedi a seguire), finalità e descrizione dei trattamenti, tipologie e modalità di trasferimento dei dati, misure di sicurezza adottate….

In realtà, la tenuta del registro non sarà obbligatoria per tutti ma per le sole imprese che impeghino più di 250 dipendenti. Occorre tuttavia considerare che, in caso di verifiche da parte dell’Autorità competente, tutte le imprese saranno tenute a dimostrare di avere effettuato e adottato tutte le analisi, verifiche, procedure e misure idonee a porre in sicurezza i dati e ad evitare pregiudizi ai diretti interessati.

Tutte le imprese, quindi, dovranno fornire una prova documentale e proprio per tale ragione, vi è già stato un “suggerimento” da parte dell’Autorità Garante, nel senso di far adottare a tutte le imprese il Registro, a prescindere dal numero dei dipendenti che impiegano.

- D.P.I.A. (“Data Protection impact assessment”): si tratta della valutazione dei rischi sottesi al trattamento dei dati, che deviene obbligatoria in presenza di “rischio elevato”.

L’analisi dovrà essere effettuata con modalità e criteri già parzialmente previsti dal Regolamento. Ciò non significa, naturalmente, che realtà a “rischio non elevato” non debbano effettuare l’analisi preventiva dei propri trattamenti e dei relativi e potenziali rischi.

Quest’ultima analisi spetta a tutti ma le particolari modalità ed i criteri previsti dal Regolamento dovranno essere rispettati solo in caso di “rischio elevato”.

A quest’ultimo riguardo, il Regolamento prevede che verrà meglio specificato, in apposito elenco, in quali casi vi sara l’obbligo concernente la “D.P.I.A.”.

- D.P.O. (“Data Protection Officer”): si tratta, in sostanza, di un organo indipendente che dovrà verificare la conformità alle disposizioni del Regolamento, delle procedure e delle soluzioni adottate per il più idoneo trattamento dei dati.

La nomina del “D.P.O.” è obbligatoria in presenza di rischi elevati nel trattamento dei dati (enti pubblici; trattamento di rilevanti entità di dati personali; trattamento sistematico di dati sensibili e/o giudiziari). Il “D.P.O.” può essere prescelto tra risorse interne o all’esterno dell’azienda e deve ovviamente presentare requisiti di particolare professionalità e competenza.

- Regime sanzionatorio: il Regolamento introduce sanzioni amministrative indicandone solo ed esclusivamente il tetto massimo (10 milioni di euro o il 2% del fatturato mondiale di gruppo di imprese, per le infrazioni più lievi; 20 milioni di euro o il 4% del fatturato mondiale in presenza di gruppo di imprese, per le infrazioni più gravi). Si pone un problema di coordinamento, come già accennato, in relazione a queste specifiche previsioni del Regolamento, rispetto al regime sanzionatorio - anche penale - dell’attuale “Codice della Privacy”. Sul punto, dovrà necessariamente intervenire il Legislatore in attuazione della ricordata Legge di delegificazione europea.

°°°

Lo Studio è naturalmente a disposizione per ogni necessità ed approfondimento.

* Marco Emanuele Galanti - Fabio Meriggi

*Studio Legale Galanti Meriggi & Partners