Data: 01/02/2017 19:20:00 - Autore: Lucia Izzo
di Lucia Izzo - La riforma in materia di protezione dei dati personali è ormai una prospettiva sempre più vicina per gli stati membri UE:  il nuovo Regolamento (Ue) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (in GUUE dal 4 maggio 2016), relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE, descrive una disciplina che diventerà direttamente applicabile a partire dal 25 maggio 2018. 

È questa dunque la dedaline entro la quale va garantito l'allineamento nei paesi dell'Unione. Il Regolamento, infatti, dovrà essere affiancato dai provvedimenti delle autorità interne destinati a garantire la concreta applicazione delle previsioni regolamentari (per approfondimenti: La riforma della privacy europea è legge).

Le  novità

Il Regolamento  2016/679  provvede a riscrivere integralmente con 99 articoli la disciplina della privacy a livello europeo: tra i temi presi in considerazione dalle norme si evidenziano temi come il diritto d'accesso, rettifica e cancellazione (c.d. diritto all'oblio) dei dati personali, nonché la sicurezza degli stessi che va correlata con il diritto alla riservatezza e con il dovere di trasparenza delle autorità competenti.

Ancora, il documento pone sotto ai riflettori l'impatto che la rapidità dell'evoluzione tecnologica e la globalizzazione assumono quanto ai dati personali, la cui condivisione e raccolta è significativamente aumentati. 

Oltre a riconoscere espressamente il diritto all'oblio, il regolamento stabilisce il diritto alla "portabilità dei dati", così da consentire all'interessato di ricevere da un titolare del trattamento un formato strutturato, leggibile da un dispositivo automatico, che contenga tutti i dati forniti che lo riguardano, così da poterlo trasmettere ad altro titolare. Tale diritto dovrebbe applicarsi qualora l'interessato abbia fornito i dati personali sulla base del proprio consenso o se il trattamento è necessario per l'esecuzione di un contratto
Il Regolamento lascia comunque un certo margine ai legislatori nazionali quanto all'introduzione di norme nazionali ad hoc, per precisare e dettagliare il contenuto delle norme sovranazionali, anche quanto al trattamento di categorie particolari di dati personali (dati sensibili). Gli Stati membri, dunque, dovrebbero rimanere liberi di mantenere o introdurre norme nazionali al fine di specificare ulteriormente l'applicazione delle norme del regolamento. Chi rispetta la privacy, peraltro, beneficerà di sgravi e semplificazioni.

Il Data Protection Officer (DPO)

Tra le novità di maggior rilievo rientra, indubbiamente, la nuova figura del Data Protection Officer ("DPO"), ossia il "responsabile della protezione dei dati". Questi dovrà vigilare affinché l'azienda dalla quale sia stato incaricato rispetti effettivamente le regole in materia di privacy allo scopo di evitare le ingenti sanzioni previste.

Al fine di sorvegliare adeguatamente, il DPO dovrà vantare una conoscenza specialistica della normativa in materia di protezione dei dati personali, poichè potrà fungere da intermediario tra gli interessati e l'Autorità garante.

Si tratta di un adempimento che apre nuove possibilità professionali anche agli avvocati poichè coinvolge anche gli studi legali. Il DPO avrà il compito di informare il titolare del trattamento degli obblighi derivanti dal regolamento, consigliando quanto alla corretta esecuzione di questi e vigilando sull'effettivo adempimento. 

A ricoprire tale ruolo potrà essere sia un dipendente della società titolare del trattamento, oppure un esperto esterno, ma in ambedue i casi l'azienda dovrà rendere noti i dati riguardanti il proprio DPO, affinché sia contattabile da tutti gli "interessati", e comunicarli al locale "Garante per la protezione dei dati personali".
Che sia un soggetto interno o esterno all'azienda, si rendono dunque necessarie, per ricoprire questo ruolo, competenze giuridiche, informatiche, di risk management. Fondamentale è il requisito dell'approfondita conoscenza della legislazione in materia di privacy. Nell'affidarsi a professionisti esterni, le aziende potranno, fare puntuale riferimento, quindi, ad avvocati esperti in materia di privacy.

Difatti, anche se il Regolamento non prevede che per assumere questa qualifica siano necessari particolari certificazioni o percorsi di studio, in previsione dell'attuazione degli obblighi, si stanno diffondendo corsi di formazione specialistica e molti auspicano che queste figure professionali siano formalmente riconosciute in Italia e che ne sia disciplinato il curriculum, stante la maggiore sicurezza e garanzia che si avrebbe nell'affidarsi a professionisti certificati da un ente terzo.

Molti studi legali, in realtà, vantano già da anni professionisti specializzati in materia di privacy che potrebbero sicuramente ricoprire, sia internamente che per clienti dello studio, il ruolo di DPO. Anzi, già ante Regolamento Comunitario molti studi strutturati e di maggiori dimensioni hanno prestato molta attenzione alla materia della privacy (come avviene in altri paesi), predisponendo veri e propri team ad hoc e nominando un responsabile del trattamento dei dati allo scopo di informare, supervisionare, e predisporre modelli di informativa e consenso.

Altri studi, invece, stanno ancora valutando se intraprendere o meno corsi di aggiornamento e formazione appositi: in effetti, la nomina del DPO sembrerebbe non risultare obbligatoria per gli studi legali, quindi potrebbe essere sufficiente limitarsi alla figura di un semplice responsabile della Privacy. 

Ciononostante, non si può rimanere insensibili alle novità rilevanti che le nuove disposizioni hanno introdotto, anche in tema di data processing, e della maggiore rilevanza e professionalità che il ruolo del DPO è destinato a ricoprire sul mercato del lavoro. Soprattutto in previsione della piena attuazione del Regolamento che si realizzerà entro i primi mesi del 2018.


Tutte le notizie