DATA PROTECTION REGULATION UE: un primo sguardo

Consiglio dell'Unione Europea, 5419/16

Il 15 aprile il Parlamento Europeo ha votato il Nuovo Regolamento relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Si tratta di una svolta giudica epocale, in un settore chiamato oggi  a gestire e proteggere flussi incessanti di dati prodotti dallo sviluppo tecnologico.

Qual è, sotto il profilo giuridico, il cuore di questa svolta?

A mio parere è un cambio strutturale di architettura legislativa, che ove correttamente compresa permette un’applicazione efficace e non formale dell’intera disciplina.

Mentre infatti nella direttiva 95/46/CE il titolare aveva innanzitutto l’obbligo di rispettare  un insieme di regole fissate per la liceità dei trattamenti (art. 6) e solo come ulteriore dovere specifico quello di assicurare le misure di sicurezza adeguate, nel nuovo Regolamento UE il Controller (quello che noi oggi chiamiamo titolare) ha invece un ruolo PROATTIVO, finalizzato non solo al rispetto delle regole ma anche alla necessità di dimostrare che ha adottato tutti gli accorgimenti tecnici e organizzativi necessari a garantire la “compliance” dei trattamenti.

In sostanza si passa da una disciplina organizzata intorno ad una serie di adempimenti, ad una disciplina articolata per obiettivi (la “protezione dei dati” e la “circolazione protetta” di tali dati) che il Controller (Titolare) deve dimostrare di aver raggiunto attraverso misure di natura non solo  tecnica che anche organizzativa.

Ci si muove, dunque, nell’alveo di tutte quelle disciplina - quali la legge 231/’2001 sulla responsabilità penale delle società o la legge 190/2012 anticorruzione – che chiedono, oltre ad alcuni adempimenti specifici, di progettare ed implementare modelli organizzativi idonei a raggiungere gli scopi che la legge si prefigge.

Così il Nuovo regolamento UE,  dopo aver ribadito i diritti in capo ai cittadini (o ai pazienti per la sanità), si occupa prevalentemente  di dare indicazioni su

• protezione dei dati (es. cifratura, pseudoanonimizzazione, continuità, data recovery)
• riduzioni di rischi (privacy by design – art 25)
• valutazione dei rischi (valutazione di impatto – art. 35)
• modalità organizzative idonee (designazione del DPO – art. 37, applicazione codici di condotta e certificazioni – art. 38 e 39)
• dimostrazione della conformità (art. 32) tenendo conto di parametri esterni quali lo stato dell'arte, i costi di attuazione, la natura dell'oggetto, del contesto e delle finalità del trattamento, i rischio per i diritti e le libertà delle persone fisiche

Si tratta dunque non solo di una nuova disciplina, ma di un nuovo modo di pensare e progettare come i dati vanno gestiti e protetti.

In questo senso si tratta di una svolta “epocale”.