Una piccola rivoluzione nel mondo della privacy: il 4 maggio 2016 è stato pubblicato nella Gazzetta Ufficiale dell’Unione europea il nuovo Regolamento UE 2016/679 (GDPR, General Data Protection Regulation) per la protezione e il trattamento dei dati personali. Il provvedimento abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), da cui è disceso il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali). La piena applicazione del regolamento è prevista il 25 maggio 2018.

Ecco i contenuti più interessanti della parte cnclusiva del paper, quella che indica le criticità del nuovo GDPR.

La valutazione d’impatto sulla protezione dei dati.

Il Regolamento indica tra i nuovi obblighi spettanti ai titolari nonché agli eventuali responsabili del trattamento la «valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali» (art. 35, par. 1). Tale onere ricade nella sfera di responsabilità del titolare/responsabile nella misura in cui il trattamento, allorché preveda in particolare l’uso di nuove tecnologie, comporti un rischio elevato per i diritti e le libertà delle persone fisiche. Soltanto in questo caso il titolare è chiamato ad effettuare una valutazione preventiva d’impatto che descriva il trattamento dei dati, pesi la necessità ed il metodo, contribuisca alla gestione dei rischi determinando le misure necessarie ad affrontarli.

A ogni modo, il Garante ha la possibilità di individuare nei fatti quali soggetti siano da esonerare dall’obbligo di realizzare la predetta valutazione, giacché non effettuerebbero trattamenti rischiosi. Infatti, la normativa stabilisce come l’autorità di controllo possa redigere e rendere pubblico «un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d’impatto sulla protezione dei dati» (art. 35, par. 5).

Stando così le cose, ci si chiede come mai non sia stata ancora sfruttata dal Garante questa straordinaria opportunità di chiarezza che fornirebbe un quadro di riferimento certo ed eviterebbe alle imprese di procedere alla verifica d’impatto anche quando non dovuta. Invece, sul sito del Garante della privacy si può attingere soltanto da qualche settimana ad un mero collegamento che rinvia al portale dell’Autorità francese per la protezione dei dati (CNIL), la quale ha messo a disposizione un software di ausilio per la valutazione d’impatto sulla protezione dei dati, senza che costituisca un modello a cui fare riferimento in ogni situazione.

Il registro delle attività di trattamento

Il Regolamento introduce un’ulteriore adempimento. Prevede infatti che i titolari e i responsabili del trattamento annotino su un apposito registro le operazioni relative al trattamento dei dati personali (art. 30, parr. 1 e 2), ma esclude che le imprese con meno di 250 dipendenti siano vincolate alla tenuta di detto registro (art. 30, par. 5). Tuttavia, quest’ultima deroga non si applica, con conseguente riespansione degli effetti della regola generale, allorché il trattamento: a) presenti un rischio per i diritti e le libertà dell’interessato; b) non sia occasionale; c) o includa categorie particolari di dati di cui all’art. 9 (origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona) ovvero dati personali relativi a condanne penali e reati di cui all’art. 10. Occorre che il Garante precisi la portata dell’art. 30, par. 5, del Regolamento.

La disposizione necessita infatti di una interpretazione che tenga conto delle dimensioni dell’impresa e dell’entità delle attività poste in essere. All’inverso, lasciando che si insinui una interpretazione eccessivamente lasca ed estensiva, si corre il rischio che il gravame colpisca molte di quelle micro o piccole imprese che trattano in maniera estemporanea informazioni specifiche per soddisfare le richieste della clientela, senza che tali informazioni siano concretamente utilizzabili per altri fini (si pensi ad una parrucchiera che acquisisca l’informazione di una allergia di una cliente rispetto alla somministrazione di un determinato cosmetico).

Il responsabile della protezione dei dati

L’art. 37, par. 1, del Regolamento obbliga il titolare o il responsabile del trattamento alla designazione del responsabile della protezione dei dati (DPO – Data Protection Officer) per assolvere funzioni di supporto e controllo, consultive, formative e informative circa l’applicazione della nuova normativa. La designazione avviene in presenza delle seguenti ipotesi:
a) il trattamento è effettuato da un’autorità pubblica;
b) le attività principali del titolare del trattamento o del responsabile consistono in trattamenti che per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
c) le attività principali del titolare del trattamento o del responsabile consistono nel trattamento, su larga scala, di categorie particolari di dati personali (art. 9) o di dati relativi a condanne penali e a reati (art. 10). Al di fuori di questi casi, il titolare o il responsabile del trattamento possono comunque designare un responsabile della protezione dei dati (art. 37, par. 4).

Il Regolamento prescrive dunque la designazione del responsabile della protezione solo per ipotesi tassativamente previste, permettendo in ogni caso la discrezionale designazione di questa figura in tutte le ipotesi non obbligatorie. Ciononostante si sta facendo strada una interpretazione in base a cui sarebbe sempre conveniente individuare tale responsabile, indipendentemente dal coefficiente di pericolosità del trattamento e della relativa protezione.

D’altra parte, lo stesso Garante, nelle FAQ sul responsabile della protezione dei dati in ambito privato, dopo aver dispensato dalla designazione sia le imprese individuali o familiari che le piccole e medie imprese, raccomanda alla luce del principio di accountability la designazione del responsabile. Sicché, si chiede al Garante che ci si attenga ad una corretta interpretazione dell’art. 37 per cui la designazione, ove non necessaria, deve restare facoltativa, in modo da liberare le imprese da oneri non richiesti e rifuggire da una preoccupante situazione che rischia di precipitare in uno stato di confusione e allarmismo.