Il 14 aprile è stato definitivamente approvato il nuovo regolamento europeo sulla Privacy, conosciuto con la sigla GDPR (General Data Protection Regulation).
Dalla pubblicazione, prevista nelle prime settimane di giugno, gli stati membri avranno due anni per adeguare la propria struttura legislativa alle nuove regole, con la ridefinizione, in Italia, del Codice della Privacy.
Il regolamento è l’indispensabile derivazione di quanto scritto sulla Carta dei Diritti Fondamentali dell’Unione Europea che, raccogliendo quanto indicato nelle Costituzioni più avanzate degli stati membri (tra cui quella Italiana) definisce la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale come un diritto fondamentale.
La approvazione è frutto di una travagliato percorso almeno triennale di passaggi parlamentari e attacchi al testo a base di emendamenti, ed il testo finale risulta essere un compromesso tra il diritto della persona, le esigenze di sicurezza legate alla minaccia del terrorismo e gli interessi economici dei grandi operatori informatici.
Una importante novità per l’Italia è l’introduzione della figura del Data Protection Officer. Il nuovo soggetto, presente già negli ordinamenti francese e tedesco, ha alcune funzioni precedentemente svolte dal Responsabile del trattamento, ma, rispetto a quest’ultimo, assume un ruolo che per certi versi assomiglia maggiormente a quello ricoperto nell’ambito della Salute e Sicurezza sul posto di lavoro dall’RSPP. Con compiti di controllo e consiglio, e con la necessità di avere forti competenze sulla propria specificità di intervento.
Ovvero, come scrive il regolamento, il DPO dovrà avere “conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati”, quindi anche con sufficienti conoscenze tecnico-informatiche.
Molta evidenza è data nel regolamento al principio di “accountability”, che nella versione italiana è tradotto, non troppo precisamente, con “responsabilità”. In realtà si richiede alle organizzazioni che vengano adottate politiche e attuate misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato sia conforme al Regolamento.
Il DPO è la figura che allinea le decisioni strategiche al Regolamento, che collabora alla definizione dei Processi per porre la dovuta attenzione alla Protezione dei dati e che controlla la corretta applicazione.
Come già accade nelle realtà di altri paesi europei, diventerà opportuno (e perfino naturale) che la funzione del DPO all’interno delle Organizzazioni non sia limitata alle esigenze di rispetto delle normative, ma possa diventare un punto di riferimento per la protezione di tutti i dati aziendali, comprese le informazioni commerciali o i segreti industriali.
Come in Italia il Codice della Privacy, dietro l’apparenza dell’adempimento burocratico, ha consentito di portare una benefica trasparenza alle attività dei Sistemi Informativi delle Aziende, così il Regolamento Europeo potrebbe diventare lo strumento per far comprendere alle Alte Direzioni aziendali l’importanza strategica di poter avere la completa integrità, la tempestiva disponibilità e l’opportuna riservatezza delle informazioni nelle proprie Organizzazioni. E, soprattutto, di quanto alto sia il costo di non averle.
