Dalla direttiva 95/46/CE al nuovo regolamento 2016/679/UE (GDPR)

Il DPO simbolo della “rivoluzione” europea nel mondo della privacy

di Carmela Miranda

La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale costituisce, nella cornice dell’ordinamento comunitario, un diritto fondamentale. Ad affermarlo in claris verbis è, non solo, l’art. 8 par. 1, della Carta dei diritti fondamentali dell’Unione europea – c.d. Carta di Nizza – ma anche l’art. 16, par. 1, del Trattato sul funzionamento dell’Unione europea (TFUE): entrambe le disposizioni stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

L’efficienza della tutela accordata a livello europeo al trattamento dei dati personali, seppur sancita nei testi normativi di cui sopra, risulta negli ultimi anni fortemente condizionata da molteplici fattori riconducibili, pur nella loro diversità, alla rapidità del progresso tecnologico. È innegabile, infatti, che nell’attuale scenario storico, la condivisione e la raccolta dei dati personali sia aumentata in modo significativo: per un verso la tecnologia attuale consente tanto alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, nello svolgimento della loro attività, come mai in precedenza; per l’altro, sempre più spesso le persone fisiche rendono disponibili al pubblico su scala mondiale informazioni personali che li riguardano.

Lo sviluppo delle nuove tecnologie, connesso all’ormai riconosciuta globalizzazione di servizi ed informazioni, ha sollevato l’esigenza di apportare al trattamento dei dati personali una protezione più incisiva e, nello stesso tempo, differente rispetto al passato. Di fronte a questa nuova sfida il legislatore sovranazionale non è rimasto inerte, al contrario attivandosi con interventi normativi atti a regolamentare la materia e a soddisfare il labile bilanciamento tra la libera circolazione dei dati personali all’interno dell’Unione, da un lato, e la loro necessaria protezione, dall’altro. Più nel dettaglio, già la direttiva 95/46/CE si poneva come obiettivo quello di armonizzare la tutela dei diritti e delle libertà fondamentali delle persone fisiche rispetto alle attività di trattamento dei dati nonché quello di assicurare la libera circolazione dei dati personali tra gli Stati membri. Nonostante l’ambizioso proposito, tuttavia sul versante applicativo la suddetta direttiva non aveva impedito la frammentazione della protezione dei dati personali nel territorio dell’Unione, né aveva eliminato l’incertezza giuridica o la percezione che le operazioni online, in particolare, comportassero rischi per la protezione delle persone fisiche. Invero, le lacune caratterizzanti la tutela apprestata dalla direttiva de qua al trattamento dei dati personali tendevano a giustificarsi in ragione della natura giuridica della stessa direttiva: trattandosi, com’è noto, di un atto comunitario, di regola, non direttamente applicabile negli Stati membri ma suscettibile di trovare attuazione attraverso l’adozione di apposite misure nazionali, si affermava che le divergenze tra i vari Stati membri nell’attuazione e nell’applicazione della direttiva avevano contribuito a creare “punti buii” nei livelli di protezione accordata.

Le criticità riscontrate in ordine all’effettività della tutela giuridica offerta dalla direttiva di cui sopra hanno indotto il legislatore comunitario ad affidare la disciplina di un settore così delicato ed articolato, come quello della privacy, ad un differente strumento normativo, che pure contraddistingue l’ordinamento comunitario, vale a dire il regolamento. Quest’ultimo, infatti, costituisce un atto comunitario dotato, rispetto alla direttiva, di una maggiore carica di incisività, rinvenendosi le sue caratteristiche nell’obbligatorietà di tutti i suoi elementi e nella diretta applicabilità delle sue disposizioni in tutti gli Stati membri.

Nell’ottica del legislatore sovranazionale, pertanto, l’adozione di un regolamento in tale materia avrebbe permesso, più della direttiva, di assicurare un livello coerente di protezione dei dati personali in tutta l’Unione e di prevenire disparità che potessero ostacolare la libera circolazione di tali dati nel mercato interno.

Ebbene, sulla base di tali considerazioni, il 26 aprile 2016 è stato adottato dal Parlamento europeo e dal Consiglio il regolamento 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, il quale abroga la precedente direttiva 95/46/CE. Il suddetto regolamento, denominato brevemente GDPR – General Data Protection Regulation – entrato in vigore il 24 maggio 2017 (venti giorni dopo la sua pubblicazione sulla Gazzetta ufficiale dell’Unione europea), troverà applicazione a decorrere dal 25 maggio 2018.

Salutato dagli operatori del settore come una “piccola rivoluzione” nel mondo della privacy, il GDPR introduce significative novità rispetto alla previgente disciplina.

Prima fra tutte è la previsione di una nuova figura professionale, non contemplata in precedenza, denominata “responsabile della protezione dei dati” (data protection officer – DPO), la cui designazione sarà obbligatoria ogniqualvolta il trattamento dei dati personali sia effettuato da un’autorità pubblica o da un organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali) ovvero nelle ipotesi in cui le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, nonché nei casi in cui le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10 del regolamento in esame.

Quest’ultimo specifica che il DPO dovrà essere selezionato sulla base di specifiche qualità professionali, tra le quali, in particolare, la conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e in funzione della capacità di assolvere i compiti elencati dal regolamento de quo. Tra questi rilevano quello di informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento e ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati ovvero quello di cooperare con l’autorità di controllo e fungere da punto di contatto con quest’ultima per l’autorità di controllo per questioni connesse al trattamento dei dati personali. Non solo: il DPO dovrà svolgere un’attività di sorveglianza avente ad oggetto sia l’osservanza del GDPR e di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati sia le politiche adottate dal titolare del trattamento o dal responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione.

Non da ultimo, si prevede a carico del DPO il compito di occuparsi della formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo e quello di fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35 del regolamento in esame. Invero, l’elencazione delle funzioni del DPO da parte del regolamento in parola non ha carattere tassativo, affermandosi che “il responsabile della protezione dei dati può svolgere altri compiti e funzioni”.

Ad ogni modo, dall’analisi delle disposizioni del GDPR relative al DPO emerge chiaramente come quello del responsabile della protezione dei dati costituisca, nel mosaico configurante la nuova regolamentazione europea in materia di privacy, un tassello fondamentale. Ciò, non solo per il carattere innovativo dei compiti affidatigli ma, soprattutto, in ragione del fatto che sia le autorità pubbliche quanto le aziende private dovranno attivarsi, entro il 25 maggio 2018, per la nomina della suddetta figura. Sul punto, il GDPR stabilisce che il DPO potrà essere designato tra i dipendenti del titolare del trattamento o del responsabile del trattamento oppure identificarsi in un soggetto esterno, chiamato ad assolvere i suoi compiti in base a un contratto di servizi. Non di poco conto, infine, la precisazione secondo cui il titolare del trattamento o il responsabile del trattamento devono assicurarsi che i compiti e le funzioni affidate al DPO prescelto non diano adito a un conflitto di interessi.


Autore

 


 

it_ITItaliano
en_USEnglish it_ITItaliano