Adempimenti e provvedimenti che mancano all’appello per adeguarsi al Rgpd 2016/679
Pagine a cura di Antonio Ciccia Messina
Lo stato avanzamento lavori, al 31 dicembre 2018, della privacy a tinte europee evidenzia, tra le cose fatte, la cernita delle disposizioni di codici deontologici e delle autorizzazioni generali compatibili con il Regolamento generale Ue n. 2016/679 sulla protezione dei dati (Rgpd); mentre sono ancora in lavorazione una serie di adempimenti e provvedimenti, tra cui le misure di garanzia in ambito sanitario oppure le semplificazioni per le piccole e medie imprese e così via.
La sensazione è quella che si prova quando si pensa che sia meglio costruire da zero, cioè dalle fondamenta, piuttosto che ristrutturare un edificio, cercando di conformare nuovi manufatti su un impianto esistente.
Questa la situazione: ventidue anni di normative primarie e secondarie, provvedimenti del garante, giurisprudenza di autorità giudiziarie italiane ed europee, tutti da passare al setaccio della compatibilità con il nuovo Rgpd.
È un lavoro che tocca in primo luogo al Garante per la protezione dei dati, e in seconda battuta a tutti gli operatori pubblici e privati. Superata la disillusione nei confronti del legislatore che, laddove non ha creato problemi, ha rimesso la soluzione concreta dei problemi al Garante, bisogna rimboccarsi le maniche e costruire il nuovo sistema giuridico della privacy.
Siamo di fronte a un enorme puzzle, con le tessere sparpagliate di qua e di là: regolamento Ue 2016/679, codice della privacy modificato dal decreto legislativo 101/2018, il decreto legislativo 101/2018 stesso nelle parti di autonoma regolamentazione, altre leggi di settore. E non basta.
Sotto la parola «privacy» c’è scritto a caratteri cubitali: «Lavori in corso».
Nel cronoprogramma delle opere sono arrivati a un (precario) traguardo le attività di verifica delle autorizzazioni generali e dei codici di deontologia e buona condotta, da cui scaturiranno provvedimenti di conferma delle parti compatibili con il regolamento Ue.
Le lavorazioni in itinere riguardano, oltre al resto, regole deontologiche, linee di indirizzo, provvedimenti contenenti misure di garanzia. La maggior parte dell’attività (si vedano le tabelle) pesa sulle spalle del Garante della privacy.
All’autorità di piazza Venezia spetta promuovere le regole deontologiche in settori delicatissimi (dai rapporti di lavoro alla ricerca scientifica, ai trattamenti delle pubbliche amministrazioni); la scrittura delle misure di garanzia per i trattamenti di dati sanitari, genetici e biometrici; la stesura delle norme regolamentari di procedura per il settore dei reclami e delle sanzioni.
Tra gli altri si staglia il compito di assicurare semplificazioni per le piccole e medie imprese: in considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, come definite dalla raccomandazione 2003/361/Ce (la nozione europea riguarda i soggetti con meno di 250 dipendenti e con giro di affari fino a 50 milioni di euro), il Garante per la protezione dei dati personali dovrà promuove, con lo strumento delle linee guida, modalità semplificate di adempimento degli obblighi del titolare del trattamento.
Le semplificazioni per le pmi salgono sul podio delle priorità dell’agenda.
La criticità è che mentre si attendono le regole di dettaglio, sono già operative le disposizioni generali.
Alla data del 25 maggio 2018 gli obblighi del titolare del trattamento, previsti dal Regolamento Ue 2016/679, sono diventati già operativi in tutta la loro consistenza e portata, senza distinzioni relative alla dimensione del titolare del trattamento (salvo alcune ipotesi eccezionali, come i registri del trattamento, si veda l’articolo 30, paragrafo 5).
Il 2018 ha segnato, dunque, un traguardo e una ripartenza.
A raggiungere il traguardo è stato il Rgpd, nel senso che formalmente il regolamento europeo ha visto la luce; a riprendere la corsa è la tutela sostanziale della privacy, che, vede assegnarsi un’altra linea di arrivo.
Che si tratti di parole nuove o di parole vecchie in un vestito nuovo, l’importante è lo spirito.
Gli operatori economici devono rendersi conto che la funzione sociale dell’attività d’impresa passa attraverso la protezione delle persone fisiche a riguardo del trattamento dei dati; le pubbliche amministrazioni devono applicare le regole della privacy quali elementi fondamentali del principio del buon andamento e della imparzialità dell’attività amministrativa.
Senza queste «anime» il nuovo sistema normativo della privacy rischia di essere scambiato, da chi è superficiale, per un’accozzaglia di regole incomprensibili e la tabella degli adempimenti potrebbe essere spacciata, da chi è prevenuto, per un elenco di attività costose e inutili.
© Riproduzione riservata
Fonte: