Immagine di Alan Cleaver

La Commissione Europea si è appellata ai Paesi dell’Unione, affinché approvino il Regolamento Europeo sulla Privacy, prima delle elezioni del Parlamento Europeo previste per maggio 2014.

Cerchiamo di capire quali sono le novità della Proposta, presentata il 25 Gennaio 2012, e quale l’impatto sulle nostre aziende, se tale proposta dovesse essere approvata:

  • L‘organigramma della Privacy è da rivedere, non tanto nella sostanza quanto nella forma: la figura del Titolare del Trattamento è definita Responsabile del Trattamento. Il Responsabile del trattamento non è più una figura facoltativa, ma obbligatoria, che viene etichettata con un nuovo nome “Responsabile della tutela dei dati personali”, la cui funzione viene attentamente profilata. Sarà lui il vero riferimento in azienda e dovrà avere un incarico almeno biennale! Alcune aziende (tra cui sempre quelle con più di 250 dipendenti e quelle pubbliche) saranno obbligate a incaricare una nuova figura, detta “Responsabile Protezione Dati Personali” o “Privacy Officer”. Tale figura dovrà essere collocata in staff alla Direzione e dovrà garantire indipendenza e professionalità. In soldoni significa che non dovrà ricoprire altre funzioni in azienda e dovrà essere dotato di tutte le risorse necessarie per ricoprire la propria funzione al meglio. I suoi riferimenti dovranno essere comunicati all’autorità competente.
  • Dal momento che si afferma il principio di corresponsabilità e che perciò, qualunque incaricato al trattamento dei dati personali sarà passibile di sanzione, le aziende dovranno definire regole e sanzioni (come già accade per il Dlgs 81/08 e il Dlgs 231/01).
  • Altra novità riguarda l’informativa della Privacy: la proposta richiede di precisare la fonte da cui sono tratti i dati personali, che non sono stati raccolti direttamente presso l’interessato. Attualmente l’informativa (in Italia) deve riportare solo le categorie di soggetti verso cui vengono veicolate le informazioni acquisite.
  • Il regolamento insiste anche su importanti temi, come ad esempio il diritto alla portabilità dei dati rilasciati e registrati. Qui la faccenda si complica un po’: gli interessati devono essere messi nelle condizioni di poter recuperare copia di tutta la documentazione in possesso dell’azienda e poterla consegnare anche a un concorrente.
  • Il diritto all’oblio è un altro sacrosanto diritto che deve essere garantito all’interessato. Le aziende dovrebbero garantire la totale cancellazione dei dati raccolti dell’interessato.

E’ evidente che questa proposta di regolamento riafferma:

  • la necessità in ambito aziendale di avere un modello organizzativo efficace nel prevenire trattamenti illeciti, capace di autocontrollarsi e gestire le situazioni che presentano maggiori rischi
  • il concetto di trasparenza nei riguardi degli interessati, soprattutto rispetto ai soggetti (anche esterni all’azienda) coinvolti nel trattamento;
  • il principio secondo cui il consenso, sebbene sia esplicito e positivo, non è mai assoluto, e quindi è necessario mettersi sempre nelle condizioni di poter accogliere eventuali ulteriori richieste avanzate dagli interessati.

E’ anche evidente che molte delle proposte, se confermate, metteranno a dura prova le aziende. Sarà un’ulteriore sfida quella di trovare modi efficaci ma anche efficienti per essere conformi alla normativa.

Attendiamo di conoscere il modo in cui il Garante recepirà questa nuova proposta per metterci tutti quanti al lavoro!