L’attuale quadro normativo in materia di protezione dei dati personali è stato riformato dal nuovo Regolamento UE 2016/679- indicato anche con l’acronimo GDPR General Data Protection Regulation- del Parlamento europeo  e del Consiglio del 27 aprile 2016, (relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE), entrato in vigore il 25 maggio dello stesso anno e che, per esplicita previsione normativa, ha efficacia dal prossimo 25 maggio 2018. 

La sfida lanciata con il GDPR è strategica nell’ottica della politica pubblica e della qualità di una uniforme regolazione a livello europeo e mira a fornire un efficace quadro giuridico che concili l’innovazione e la libera circolazione dei dati con la tutela dei diritti fondamentali delle persone. 

Il GDPRè infatti nato dall’esigenza di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dell’Unione europea verso altri Paesi non membri.

Sostanzialmente, con il nuovo Regolamento, oltre a stabilire limiti rigorosi per i trasferimenti extra UE dei dati personali, vengono anche introdotte regole più chiare su informativa e consenso; vengono definiti i limiti all’utilizzazione di trattamenti automatizzati dei dati personali; vengono poste le basi per l’esercizio di nuovi diritti; vengono fissate norme severe per i casi di violazione dei dati personali (c.d. data breach).

Si tratta del modello più avanzato di regolazione a livello mondiale, punto di riferimento anche per altri ordinamenti, disegnato tenendo conto delle sfide del contesto digitale globale, le cui criticità sono state oggetto di cronaca anche in tempi recentissimi. 

Già da una prima lettura del Regolamento si evince che l’impianto normativo risente dell’influenza e dell’esperienza italiana in materia di protezione dei dati personali, tant’è che alcuni articoli ricalcano il testo del Codice della privacy(di cui al decreto legislativo n. 196/2003 e s.m.i.) e trovano analoga posizione all’interno del provvedimento comunitario.

Non si può negare che del Regolamento in questi mesi si è detto praticamente tutto: finalità, ambito di applicazione, diritti tutelati, nuove figure, adempimenti modificati o di nuova introduzione, procedure di tutela, autorità di controllo e sanzioni. 

Molte aziende e anche diversi enti pubblici non sono tuttavia ancora pronti ad allinearsi alle disposizioni, nonostante le pesanti sanzioni previste. Anche per questo è ancora utile focalizzare qui l’attenzione su alcuni aspetti, in ordine sparso, con particolare riferimento alle amministrazioni pubbliche.

REGOLAMENTO EUROPEO.Il Regolamento UE 2016/679 è il più importante tassello della complessiva riforma comunitaria in materia di protezione dei dati personali, che riguarda altre direttive europee e trattati internazionali. Il GDPR ha portata generale ed è obbligatorio in tutti i suoi elementi. Sebbene il Regolamento sia direttamente applicabile in tutti gli Stati membri, la sua attuazione ha già comportato la recente approvazione di due norme nazionali, la legge n. 163/2017, recante la Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea (Legge di delegazione europea 2016-2017, in vigore dal 21/11/2017) e la legge n. 167/2017, contenente disposizioni per l'adempimento degli obblighi derivanti dall'appartenenza dell'Italia all'Unione europea (Legge europea 2017, in vigore dal 12/12/2017). La legge n. 163/2017 prevede, tra l’altro, all’articolo 13 la delega al Governo per l’adeguamento della normativa nazionale alle disposizioni del GDPR, fissando per l’esercizio della stessa un termine di sei mesi dalla data di sua entrata in vigore. Come si vedrà in seguito, al momento la delega è stata esercitata dal Governo limitatamente all’approvazione, in seno al Consiglio dei ministri, dello schema di decreto delegato. 

TRE PRIORITÀ OPERATIVE PER LE PP.AA.Tra le principali novità introdotte dal Regolamento, il “principio di responsabilizzazione” è tra quelli che sicuramente impatteranno in misura più evidente sul funzionamento delle pubbliche amministrazioni italiane, finora abituate a confidare nelle disposizioni attuative anche di dettaglio fornite puntualmente dal Garante per la privacy. Con il nuovo Regolamento viene attribuito direttamente al titolare del trattamento di ogni amministrazione il compito di assicurare ed essere in grado di comprovare il rispetto dei principi applicabili al trattamento dei dati personali, come indicato all’ultimo paragrafo dell’articolo 5 del GDPR. Il titolare del trattamento - sia che sia stato effettuato direttamente o avvalendosi di altri che operano per suo conto - è tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare (c.d. accountability) la conformità delle attività di trattamento con le disposizioni del Regolamento, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e la libertà delle persone fisiche. Nell’ambito di un tale approccio ora basato sulla accountability, è fondamentale che i soggetti che effettuano i trattamenti di dati personali rispettino i principi cardine (privacy by design, privacy by default, minimizzazione del trattamento), al fine di tutelare i diritti degli interessati e gestire i rischi in relazione al contesto concreto in cui operano. In via generale va poi rilevato che, a maggior ragione negli Enti più complessi, il GDPR assolve anche ad una funzione ricognitiva, costituendo, di fatto, l’occasione per ripartire da un’analisi dei processi presenti e, traguardandone lo spirito dei citati principi cardine, tendere all’adozione di misure tecniche ed organizzative adeguate a garantire il rispetto delle disposizioni regolamentari. Per guidare la P.A. nel percorso di compliancee di gestione del cambiamento, lo stesso Garante ha indicato tre iniziali priorità operative, in quanto, specificamente, ciascuna amministrazione dovrà provvedere alla designazione in tempi stretti del Responsabile della protezione dei dati, all’istituzione del Registro delle attività di trattamento e, non meno importante, alla notifica del data breach.

RESPONSABILE DELLA PROTEZIONE DEI DATI.Il GDPR non fornisce le definizioni di “autorità pubblica” o “organismo pubblico”, funzionali all’individuazione dell’obbligo di designazione del Responsabile della protezione dei dati (in breve RPD o, secondo l’acronimo inglese DPO – Data Protection Officer) ai sensi dell’articolo 37, paragrafo 1, lett. a). Tuttavia, allo stato, in ambito pubblico devono ritenersi tenuti alla designazione di un RPD i soggetti che ricadono nell’ambito di applicazione degli articoli 18-22 del Codice, che stabiliscono le regole generali per i trattamenti effettuati dai soggetti pubblici (Amministrazioni dello Stato, anche ad ordinamento autonomo; Enti pubblici non economici nazionali, regionali e locali; Regioni ed enti locali; Università; Camere di commercio; Aziende del S.S.N.; Autorità indipendenti, ecc.). È raccomandabile - anche se non è obbligatorio - che anche i soggetti privati che esercitano funzioni pubbliche (es.: concessionario di pubblici servizi) provvedano alla designazione di un RPD, applicando, in tal caso, gli identici requisiti previsti per i RPD designati in via obbligatoria. Pur riferendo direttamente al vertice dell’ente, il RPD è indipendente nella sua funzione e può richiedere l’attribuzione delle risorse umane e finanziarie adeguate al compito affidato. La figura del Responsabile della protezione dei dati è certamente rilevante, ma non il centro del “sistema” posto in essere dal GDPR, che è invece rappresentato dal Titolare del trattamento. Tuttavia, proprio per il compito di regia del processo di attuazione del citato principio di responsabilizzazione, il RPD deve avere una specifica competenza della normativa e delle prassi in materia di dati personali, nonché delle norme e delle procedure amministrative che caratterizzano il settore. Necessità di qualità professionaliadeguate alla complessità del compito da svolgere e, specie in settori delicati (come quello della Sanità, ad esempio) è opportuno che dimostri competenze specifiche rispetto ai tipi di trattamento di tali dati. Come accade nei settori delle cosiddette “professioni non regolamentate”, si sono diffusi schemi proprietari di certificazione volontaria delle competenze professionali effettuate da appositi enti certificatori. Tali certificazioni - che non rientrano tra quelle disciplinate dall’articolo 42 del Regolamento, pur rappresentando, al pari di altri titoli, un valido strumento di verifica del possesso di un minimo di conoscenza della disciplina - non equivalgono, di per sé, ad una abilitazione, né sono idonee, al momento, a sostituire il giudizio rimesso al singolo ente nella valutazione dei requisiti necessari al RPD per svolgere i compiti previsti dall’articolo 39 del GDPR. Laddove la scelta del RPD ricada su una professionalità interna all’ente, occorre formalizzare un apposito atto di designazione a “Responsabile per la protezione dei dati”; in caso, invece, di ricorso a soggetti esterni all’ente, la designazione costituirà parte integrante dell’apposito contratto di servizi redatto in base a quanto previsto dall’articolo 39 del GDPR. Il Garante, su richiesta di alcune organizzazioni pubbliche complesse, ha peraltro precisato che l’unicità del RPD è condizione necessaria per evitare il rischio di sovrapposizioni e incertezze sulle responsabilità, ferma restando la possibilità di individuare più figure di supporto, anche dislocate presso diverse articolazioni organizzative dell’amministrazione che riferiscono comunque all’unico soggetto responsabile. Stante la complessità del ruolo, con riferimento alla previsione del Regolamento di assegnazione al RPD di ulteriori compiti e funzioni, a condizione che non diano adito a conflitto di interessi e che consentano al RPD di avere a disposizione il tempo sufficiente per l’espletamento dei compiti previsti, è ragionevole che negli enti pubblici di grandi dimensioni non vengano assegnate al RPD ulteriori responsabilità, al fine di scongiurare che la molteplicità di adempimenti legai a più compiti e funzioni crei un cumulo di impegni tale da incidere negativamente sull’effettività di svolgimento dei ruoli attribuiti dal Regolamento.

REGISTRO DELLE ATTIVITÀ.Spetta a ogni RPD la compilazione del Registro delle attività di trattamento di cui all’articolo 30 del GDPR. Per ciascun trattamento che viene svolto sui dati personali, il Registro contiene una serie di informazioni minime esplicitate nel Regolamento, nonché altre che, nella specificità dell’ente, possano contribuire anche ad una migliore identificazione dei processi di trattamento, all'esposizione delle risultanze della eventuale valutazione di impatto sulla protezione dei dati e alla descrizione generale delle misure di sicurezza tecniche e organizzative (meglio specificate nel successivo articolo 32, paragrafo 1, del GDPR). Redatto in forma scritta, anche in formato elettronico, il Registro viene conservato e reso disponibile alla consultazione da parte delle autorità di controllo. 

DATA BREACH.I dati personali conservati, trasmessi o trattati da aziende e pubbliche amministrazioni possono essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità. Si tratta di situazioni che possono comportare pericoli significativi per la privacy degli interessati cui si riferiscono i dati. Per questa ragione, anche sulla base della normativa europea, il Garante per la protezione dei dati personali ha adottato negli ultimi anni una serie di provvedimenti che introducono in determinati settori l'obbligo di comunicare eventuali violazioni di dati personali (data breach) all'Autorità stessa e, in alcuni casi, anche ai soggetti interessati. Il mancato o ritardato adempimento della comunicazione espone alla possibilità di sanzioni amministrative. La nuova normativa prevede che aziende e pubbliche amministrazioni affrontino questo delicato aspetto sotto due punti di vista, in primis quello dell’evitare il data breach(valutando i rischi a cui i dati trattati sono esposti e mettendo in atto tutte le misure ritenute necessarie per aumentare il livello di protezione dei dati) e, nell’eventualità, quello della gestione del data breach. Su quest’ultimo spetto il GDPR prevede che tutti i titolari dovranno notificare all’autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore dall’avvenuta conoscenza e ‘’senza ingiustificato ritardo’’, se ritengono probabile che da tale violazione derivino rischi per i diritti degli interessati. La comunicazione non è pertanto obbligatoria ma subordinata alla valutazione del rischio. Tutti i titolari di trattamento dovranno in ogni caso documentare tutte le violazioni di dati personali subite, anche se non notificate all’autorità di controllo, oltre alle circostanze inerenti e i provvedimenti adottati. Su richiesta del garante i titolari sono tenuti a fornire tale documentazione. La violazione dovrà essere comunicata anche ai soggetti interessati in caso di rischio elevato per i loro diritti e libertà fondamentali.

DECRETO DI ADEGUAMENTO.Dopo quello già inviato a marzo scorso, alcuni giorni fa, il 10 maggio, la Presidenza del Consiglio dei ministri ha trasmesso al Parlamento un nuovo schema di decreto legislativo di attuazione dell’articolo 13 della legge n. 163/2017 (la citata legge di delegazione europea 2016-2017), volto ad adeguare la normativa italiana a quella stabilita nel Regolamento europeo. Questo nuovo testo è molto diverso dalla prima bozza (che prevedeva l’abrogazione quasi totale del Codice della privacy), modifica in parte le norme italiane previgenti, lasciando ovviamente prevalere, ove incompatibili, il Regolamento, fonte primaria di emanazione comunitaria. Il decreto, quindi, nella stesura che sarà poi definitivamente approvata, andrà ad affiancarsi, nel complesso quadro normativo di riferimento in materia di privacy, al GDPR europeo e al novellato Codice della privacy (che non viene quindi abrogato), ambito all’interno del quale non sarà sempre semplice orientarsi. Lo schema attuale non ha apportato, come auspicato da più parti, sostanziali modifiche in favore della semplificazione legislativa e di depenalizzazione, andando piuttosto ad inasprire alcune sanzioni penali (con nuove disposizioni che prevedono la reclusione fino a tre anni), anche se il Regolamento non ne ha previste in modo esplicito, riservando tuttavia agli Stati membri tale possibilità, secondo la lettura del combinato disposto dell’articolo 84, comma 1 e del “considerando” n. 148. Nel nuovo decreto, con riferimento ai trattamenti di dati personali svolti per dare esecuzione ad obblighi di interesse pubblico o connessi all’esercizio di pubblici poteri, viene sostenuto che se i soggetti pubblici trattano i dati secondo la legge non è necessario il consenso da parte degli interessati, imponendo, d’altra parte, che il Garante adotti misure di garanzia per i trattamenti di particolari tipologie di dati, tra cui quelli giudiziari: il trattamento di questi ultimi, in particolare, in assenza di una norma di legge o regolamento che lo autorizzi, potrà essere effettuato solo se previsto da un emanando decreto del Ministero della giustizia, nel rispetto delle garanzie che saranno individuate in quella sede.Demandato al Garante l’onere di emanare regole deontologiche anche per il trattamento di dati provenienti da pubblici registri, atti o documenti tenuti da soggetti pubblici prevedendo garanzie appropriate quando questi dati vengono combinati tra loro. Leregole di deontologia e buona condotta già approvate restano in vigore e producono effetti giuridici sino a che il Garante, entro novanta giorni dall’entrata in vigore del decreto, provvederà ad aggiornarle. Anche le disposizioni del Codice relative al trattamento di dati genetici, biometrici e sanitari continuano ad applicarsi sino all’adozione delle misure di garanzia previste dal decreto. Lo schema di decreto prevede inoltre la possibilità di individuare figure interne cui il titolare o il responsabile possano attribuire specifiche funzioni e compiti connessi al trattamento di dati personali, pur operando sotto la loro autorità, facendo salve figure come l’incaricato e il responsabile interno del trattamento: a tal proposito, anche  per evitare confusioni tra le varie definizioni dell’ordinamento novellato, è consigliabile comunque adottare la nuova terminologia rispetto alle attribuzioni usate sinora, considerando che (come evidenziato dal decreto) ogni riferimento normativo agli incaricati nel nuovo Codice verrà sostituito dai termini “persone che risultano autorizzate”. La novità, seppur parziale, del quadro normativo unitamente ad una ancor diffusa incertezza sulle modalità di espletamento di alcuni specifici adempimenti probabilmente non troveranno tempestivo supporto nel provvedimento delegato, in quanto lo schema del decreto, dopo il parere del Parlamento e del Garante, dovrà essere definitivamente approvato dal Governo e questo, ragionevolmente, non potrà avvenire prima della scadenza del 25 maggio.