Questo fenomeno ha portato alla diffusione di molte imprecisioni, oltreché di alcune valide indicazioni che, tuttavia, nel mare di parole e allarmismi, sono passate in sordina.
Ora il tempo si fa più prossimo e si può iniziare il percorso per raggiungere il necessario grado di compliance, senza farsi prendere dall’ansia.
Non c’è un adempimento unico da soddisfare e alcuni adempimenti non possono essere anticipati. Per questo motivo, la programmazione è la strada migliore per arrivare preparati al momento in cui il Regolamento sarà applicabile (ossia, il giorno 25 maggio 2018).
A tal fine, potrebbe essere utile rispondere a quesiti “mirati”, come negli esempi che seguono:
- Bisogna cambiare subito l’informativa?
No, a meno che non sia di per sé insoddisfacente (in questo caso andrebbe cambiata comunque). Una versione più rispondente alle previsioni del Regolamento potrà essere predisposta, con calma, entro maggio. - Occorre procedere alla nomina del Responsabile della protezione dei dati (RDP) (in inglese DPO, Data Protection Officer)?
Non prima di aver capito se siamo obbligati o meno, o se, per qualche motivo, sia preferibile nominarlo anche in assenza di obbligo. - Dobbiamo progettare i trattamenti dei dati seguendo i principi della privacy by default e privacy by design?
Sì, questo può essere fatto anche prima dell’effettiva applicabilità del Regolamento ed è, anzi, opportuno. - Bisogna avviare una data protection impact analysis (c.d. DPIA o PIA)?
Prima di partire con zelo con una DPIA, cerchiamo di capire se la stessa è necessaria, nulla impedirà di condurla ugualmente qualora la sua obbligatorietà dovesse essere ritenuta on the edge. Se, viceversa, ci sono elementi che rivelano, a priori, la necessità di una consultazione preventiva (e che anticipano, per qualche motivo, ciò che in altri casi emerge solo ad esito di una DPIA), si consiglia di considerare questo passaggio prioritario. - Si può disapplicare o ignorare il Codice privacy (d.lgs. 30 giugno 2003, n. 196)?
No! Le parti incompatibili verranno abrogate ma il Governo ha la delega per “novellarlo”, colmando, tra l’altro, i molti vuoti dovuti alla “genericità” del Regolamento europeo.
E se uno degli adempimenti previsti dal Regolamento non riguarda la nostra azienda/amministrazione, come ci comportiamo?
Il gruppo dei Garanti europei (il c.d. article 29 working party), nelle linee guida adottate (al momento due: un documento sul DPO e uno sulla data protection impact analysis), ha espresso la raccomandazione di "documentare" i motivi del mancato assolvimento di un obbligo previsto dal Regolamento per taluni soggetti. Questa raccomandazione è espressa, in particolare, in merito alla nomina del Data Protection Officer.
Il primo consiglio che si ritiene di formulare è, dunque, quello di non affrontare con superficialità l’argomento; il secondo è quello di non limitarsi a leggere gli articoli del Regolamento ma di soffermarsi anche sui "considerando" (che, sovente, non hanno un ruolo marginale ma, al contrario, chiariscono concetti utilizzati nel Regolamento medesimo) nonché di esaminare i numerosi documenti "di contorno" (ad esempio le citate Linee guida). Infine, sarà bene "schedulare" con attenzione ogni passaggio, partendo da quelli più strutturali per terminare con quelli più "burocratici", in modo tale da porre in essere un’attività che conduca, in maniera organica ed efficace, all’attuazione delle previsioni del Regolamento.
________________
1Anno in cui la Commissione europea presentò la proposta di nuova normativa UE sulla protezione dei dati personali.
2Regolamento (Ue) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
3Avvocato, Partner di EXP Legal – Associazione Professionale, svolge la propria attività prevalentemente nelle materie del diritto dell’Information & Communication Technology, Data Protection e Responsabilità amministrativa degli Enti (d.lgs. 231 del 2001), fornendo altresì attività di docenza sugli stessi temi.
