Con una piccola soddisfazione per l’Italia. L’avv. Amoruso – DPO presso aziende sanitarie pubbliche – spiega il nuovo regolamento e perché “non esiste una privacy per tutti”
di Valentina Magri
Entra oggi in vigore in tutta Europa il General Data Protection Regulation, meglio noto come GDPR. Il Garante della Privacy ha trasmesso al Parlamento un parere favorevole allo schema di decreto legislativo per l’adeguamento della normativa nazionale alle disposizioni del nuovo Regolamento (Ue) 2016/679 sulla Data Protection (GDPR). Mercoledì 23 maggio la Commissione speciale per l’esame degli atti del Governo ha deciso di svolgere un ciclo di audizioni per approfondire alcune problematiche rilevate nel provvedimento e giungere, entro il 24 giugno 2018, all’approvazione di parere sul provvedimento. Per effetto dello «scorrimento dei termini» necessario a consentire l’espressione del parere parlamentare, il nuovo termine per l’esercizio della delega è individuato nel 21 agosto 2018. Il Viceministro Enrico Morando ha segnalato che pertanto spetterà al prossimo Governo l’approvazione definitiva del decreto legislativo. L’armonizzazione della legislazione italiana al GDPR si preannuncia pertanto lunga.
Labparlamento ha chiesto cosa cambia rispetto al Codice Privacy a Gennaro Maria Amoruso, avvocato cassazionista, titolare dello Studio Legale Amoruso a Roma, specializzato in protezione dei dati personali, diritto civile e del lavoro.
Quali sono gli obiettivi del GDPR?
“Il regolamento europeo 2016/679 sostituisce la Direttiva 95/46/CE. I suoi obiettivi sono aggiornare tutta normativa sulla protezione dei dati all’evoluzione tecnologica degli ultimi 20 anni e creare un corpus normativo uniforme per tutta Europa che sia al passo coi tempi, invece di seguire le diverse sensibilità e tempistiche delle legislazioni nazionali. C’è anche una piccola soddisfazione per l’Italia: nel regolamento c’è tanto dell’esperienza degli italiani, che in questa materia sono i numeri uno. Del resto, il Garante per la protezione dei dati a livello europeo è l’italiano Giovanni Buttarelli e il Responsabile “Protezione dei dati” della Commissione europea è un altro italiano, Bruno Gencarelli.”
Quali sono le sue principali innovazioni rispetto al Codice della Privacy?
“Rispetto al Codice della Privacy c’è un cambio di prospettiva: il primo è una norma prescrittiva, mentre il regolamento è una norma valutativa. Il titolare del trattamento che è destinatario delle norme con il Codice della Privacy era considerato come un bambino da aiutare e autorizzare a compiere una serie di azioni. Con il GDPR, impostato alla responsabilizzazione, il titolare diventa adulto. Il regolamento gli da dei parametri e un ambito dove muoversi, lui dovrà dimostrare di essere stato attento alle indicazioni, compiere delle azioni e dimostrare di averle effettuate.”
Quali saranno le conseguenze del GDPR per le imprese?
“Vedo questo regolamento come una grande opportunità per le aziende, per riordinare i loro procedimenti interni ed essere altamente concorrenziali nei mercati italiano ed europeo. Il 25 maggio inizia una rivoluzione, non finisce il mondo per le aziende.”
Quali obblighi impone alle imprese?
“Per l’impostazione del regolamento legata alla responsabilizzazione, non esiste un corpo di obblighi specifici per le aziende. Il regolamento va applicato caso per caso. Possiamo individuare degli obblighi generali, riguardanti ad esempio l’informativa per l’interessato (art. 13 e 14 del GDPR). Cambia anche la base giuridica sulla base del quale effettuare il trattamento dei dati.
Una grande novità per le aziende è la nomina del Data Protection Officer (DPO), un garante interno della corretta applicazione del GDPR, obbligatorio per tutto il settore pubblico e per le aziende che trattano dati su larga scala e fanno monitoraggio sistematico. E’ importante anche il registro del trattamento dei dati, che è una foto dinamica del trattamento dei dati in azienda. Un altro aspetto fondamentale è la sicurezza fisica e informatica in caso di data breach, perché il GDPR si basa sul rischio. Resta un obbligo di notifica al Garante della Privacy in caso di violazione della sicurezza dei dati, da effettuare entro 72 ore dalla violazione. Quest’ultima è da comunicare anche agli interessati se ha causato un rischio o un danno per i loro diritti e libertà personali.
Bisogna sempre tenere presente che ogni azienda fa storia a sé, a seconda del settore e dei dati trattati, per cui bisogna individuare delle soluzioni ad hoc. Non esiste una privacy per tutti”.