REGOLAMENTO GDPR: normativa imperfetta
REGOLAMENTO GDPR: normativa imperfetta
Il 25 maggio 2018 passerà alla storia come il GDPR Day.
E’ il giorno in cui è entrato in vigore il Regolamento Generale sulla Protezione dei Dati delle persone fisiche e la libera circolazione di tali dati, voluto dal Parlamento Europeo con REGCE 27/04/2016, n. 679.
Abrogata la Direttiva della Comunità Europea 24 ottobre 1995, n. 46 che ha regolamentato la materia per oltre 20 anni, inizia una nuova epoca nella protezione dei dati.
La crescita dei mercati di questi ultimi anni è caratterizzata da modelli di business centrati sul commercio elettronico e sull’analisi di informazioni personali.
L’informazione ponendosi al centro del mercato digitale si caratterizza per essere un bene giuridico che ogni giorno acquista maggior valore con conseguente aumento dei rischi di trattamento illecito dell’identità online di ciascuno di noi.
Ecco perché il nuovo regolamento europeo sulla protezione dei dati personali non si applica solo alle grandi multinazionali dell’informazione, come ad esempio Whatsapp che ha portato da 13 a 16 anni l’età minima per l’utilizzo dell’applicazione di messaggeria istantanea all’interno dell’Unione europea, ma a tutti.
Aziende grandi e piccole, associazioni e professionisti, pubbliche amministrazioni e privati, comuni e amministratori di condominio, insomma ognuno è responsabile della corretta circolazione delle informazioni.
La Germania nell’aprile scorso ha emanato una nuova legge sulla privacy mentre l’Italia inadempiente il Governo ha deciso di far slittare al 21 agosto il termine entro il quale adottare il decreto legislativo delegato di armonizzazione al GDPR.
Pertanto oggi in Italia in materia di protezione dei dati personali si applicano sia il nuovo regolamento comunitario, che il Codice della Privacy risalente al decreto legislativo 30 giugno 2003 n.196,.
L’interazione tra le due discipline crea problemi di coordinamento.
Se l’Europa prevede sanzioni amministrative pecuniarie che possono arrivare ad un valore di 10 o 20 milioni di euro a seconda dei casi, o pari rispettivamente al 2% o al 4% del fatturato mondiale totale annuo dell’esercizio precedente, la misura minima e comunque la modulazioni di queste sanzioni in termini di proporzionalità ed efficacia dissuasiva è rimessa agli Stati membri, come pure la disciplina delle sanzioni penali.
Se l’Europa sancisce il principio di responsabilizzazione che vuole ognuno debba adottare nella propria organizzazione le opportune misure di sicurezza dei dati personali, queste in concreto non vengono individuate e quindi per esprimere un giudizio sull’operato del titolare del trattamento si dovrà volgere lo sguardo al codice della privacy comunque da riformare e ad altri fonti di disciplina, come le linee guida degli ordini professionali o gli accordi dei sindacati dei lavoratori.
Se l’Europa introduce la figura del Data Protection Officer, il responsabile della protezione dei dati preposto all’interno dell’organizzazione del titolare del trattamento a fare rispettare la normativa privacy, sebbene questo debba avere competenze informatiche e giuridiche in tema di misure di sicurezza, le sue conoscenze ad oggi non pretendono certificazioni formali e neppure è richiesta un’iscrizione a un qualche albo.
Nessuno dunque si faccia prendere da ansia da prestazione al rispetto pubblicistico della privacy e ceda all’arrembaggio di professionisti di ogni specie che propongono ai prezzi più svariati formule salvifiche, ma neppure si sottovaluti il rischio di azioni risarcitorie da danno non patrimoniale per trattamento illecito di dati personali da parte di tutti i soggetti interessati, dai clienti agli associati fino ai propri dipendenti.
Avv. Andrea Agostini