Il Regolamento Europeo n. 679/2016 in tema di privacy entra definitivamente in vigore il prossimo 25 maggio 2018 e porta con sé gli strascichi di lunghi dibattiti in merito alla sua portata e al novum introdotto.
Innanzitutto, bisogna evidenziare come attualmente solo Germania ed Austria abbiano diligentemente adeguato la propria normativa, sorpassando gli altri paesi europei.
Dal canto suo, l’Italia, nonostante una commissione parlamentare ad hoc, nata allo scopo di sottoporre alle Camere un progetto di adeguamento, si trova ancora una volta impreparata a questa nuova sfida, demandando agli enti un impegno ulteriore.
D’altronde il tentativo primario del regolamento è proprio quello di responsabilizzare l’ente nella tutela del trattamento dei dati sensibili.
Il nuovo Regolamento, non limitandosi alla previsione di obbligazioni negative e positive, suggerisce agli operatori di prestare maggiore attenzione alla Giustizia Europea, unico baluardo contro eventuali violazioni a scapito delle corti nazionali.
I destinatari del Regolamento sono le imprese e gli enti, a prescindere dalle dimensioni, che avranno oggi più responsabilità, ma potranno beneficiare altresì di semplificazioni.
A questo punto per chiarezza bisogna ricordare le nozioni di titolare e responsabile del trattamento.
Il titolare è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità e modalità del trattamento dati.
Il responsabile, invece, è la figura preposta dal titolare stesso purché il potere di direzione in ordine al trattamento dei dati rimanga nelle sue disponibilità.
Sono questi ultimi i soggetti cui sono rivolte le disposizioni degli artt. 82 e 83 del GDPR in caso di inosservanza delle regole previste, disciplinando anche sanzioni piuttosto elevate.
Non a caso suddette sanzioni si distinguono per la loro severità perché capaci addirittura di bloccare l’attività d’impresa specie con riferimento a realtà piccole e medie, in ragione della minore disponibilità finanziaria delle stesse.
Di conseguenza, sono gli enti, pubblici e privati, di grandi e piccole dimensioni, a dover cogliere l’opportunità del regolamento e adeguarsi per primi alle novità introdotte.
Quindi, l’accountability, ossia la responsabilizzazione, diventa perno e collante dell’intera nuova disciplina.
Un esempio chiarificatore permette di evidenziare la portata del regolamento.
L’ancora vigente Codice Privacy italiano prevede che in caso di attività pericolosa ex art. 2050 c.c. questa possa configurare un’ipotesi di responsabilità civile a carico dell’ente.
A seguito dell’introduzione del Regolamento, invece, l’ente deve dimostrare di aver concepito un modello di trattamento dati tale da escludere la propria responsabilità in caso di violazioni e ha, inoltre, l’onere di dimostrarlo.
Precisamente, il titolare del trattamento è il soggetto deputato ad attivare tutti gli adempimenti previsti dalla normativa e a provare di aver adeguato le policy interne alla nuova disciplina.
É proprio la necessità di provare l’avvenuto adeguamento della compliance aziendale alle nuove prescrizioni privacy che ha spinto le imprese ad adottare il cosiddetto “modello organizzativo privacy”, che deve contenere tutti gli adempimenti necessari per assicurare la tutela e la riservatezza dei dati sensibili.
Diventa perciò doveroso provvedere a una valutazione dei rischi privacy associati alle distinte attività svolte dall’ente.
Appare di tutta evidenza, a questo punto, il legame tra privacy compliance ed il modello organizzativo previsto dal D.lgs. 231/01, dovendo l’ente costruire un modello capace di esonerarlo da qualsivoglia responsabilità.
Non solo.
Predetto modello dovrà conseguentemente essere uno strumento efficiente ed efficace, requisiti imprescindibili per verificarne la funzionalità.
La costruzione di un modello privacy by design e by default permette, infatti, il rispetto fondamentale della protezione dati.
Quindi è necessaria l’adozione di misure adeguate a non ledere i diritti e le libertà delle persone fisiche al fine di evitare eventuali violazioni.
Sotto altro profilo, si deve preventivare l’attuazione di un codice di condotta, alla stregua del codice etico previsto per i modelli 231, volto a garantire la fedele osservanza della disciplina europea.
Alla luce di quanto sopra, risulta quasi ovvia l’affinità tra la disciplina del d. lgs 231/2001 e il nuovo Regolamento Privacy proprio in ragione dell’affidamento al titolare del trattamento di tutti gli obblighi al fine dell’esonero della propria responsabilità, prevedendo a suo carico anche l’onere probatorio.
Pertanto, non si può prescindere da una valutazione complessiva dei due modelli poiché lo spirito del legislatore europeo sembra essere quello di uniformare le discipline, volendo centralizzare le esperienze applicative, rincorrendo il mito dell’armonizzazione.