Regolamento Europeo sulla Privacy: il Parlamento risponde alla Commissione

News 01/02/2013

Avv. Valentina Frediani (Coordinatore ABIRT) e dott. Marco Parretti - Studio legale Frediani

E' ormai noto ai più il progetto di un Regolamento Europeo che rivoluzioni la regolamentazione della Privacy.

Al testo proposto dalla Commissione ha risposto, tramite il progetto di relazione presentato dalla commissione LIBE - per le libertà civili, la giustizia e gli affari interni - il Parlamento Europeo con un testo che contiene 350 emendamenti all'originale.

Utile ricordare che gli emendamenti presentati convergeranno nel testo definitivo, se la Commissione non dovesse apportarne ulteriori; allo stato attuale comunque si tratta di proposte di modifiche e  dunque non ancora di testo definitivo in fase di approvazione.

Si va dalle mere correzioni logico-ortografiche, in alcuni casi estremamente puntigliose, alle aggiunte di commi o paragrafi ex-novo.
Ma vediamo con ordine gli emendamenti più rilevanti:

Gli identificativi unici, correlati strettamente ad una persona fisica, entrano a far parte dei dati personali nell'emendamento al considerando 24.
Infatti la modifica del testo recita "Poiché tali identificativi [indirizzi IP, cookies e tutto quanto creato dagli strumenti e protocolli utilizzati durante la navigazione] lasciano tracce e possono essere utilizzati per individuare le persone fisiche, il presente regolamento deve applicarsi al trattamento di tali dati […]".
Viene dunque ribaltato il testo della Commissione, con l'estensione della definizione di dato personale anche ad una informazione sulle cui capacità identificative permangono ancora incertezze.

E ancora, tra le definizioni - all'articolo 4 - viene inserito tra i mezzi d'individuazione dell'interessato l'identificativo unico, viene aggiunta la definizione di pseudonimo, ovvero sia quell'identificativo unico "specifico a un determinato contesto che non permette di identificare direttamente una persona fisica, ma consente di individuare un interessato".
Contestualmente a questa introduzione si riducono gli obblighi a carico del responsabile nel caso in cui il trattamento dei dati personali avvenga esclusivamente tramite pseudonimo, rendendo valido il consenso prestato con l'ausilio di processi automatizzati.

Sempre tra le rilevanti modifiche all'articolo 4 si annovera l'introduzione della figura del produttore, ovvero colui il quale (si potrà infatti trattare sia di persona fisica che giuridica ed anche di Pubblica amministrazione) crei  sistemi di trattamento automatizzato e/o archiviazione dei dati personali. Neanche a dirlo, alla figura verranno immediatamente affiancati doveri: all'articolo 23 c.2-bis(creato ex-novo) si sancisce che i produttori attuano tutte le misure(tecniche ed organizzative) adeguate a garantire che i loro servizi e prodotti consentano di conformarsi, by default, al Regolamento.

Sono poi molte le novità inserite nel progetto, dalla canonizzazione dell'attività di profilazione (e conseguente inserimento dei casi in cui essa è consentita e in quale modalità) passando per l'emendamento che pone un termine all'efficacia e alla validità del consenso - il raggiungimento delle finalità del trattamento – fino ad arrivare alla necessarie modifiche all'informativa, in modo tale da ricomprendere i nuovi elementi introdotti.

Quello che però preme analizzare con attenzione, sono le variazioni apportate alla nuovissima figura del Responsabile della protezione dei dati (Data Protection Officer) regolata dall'articolo 35.

Si tratta senza dubbio di emendamenti rilevanti e più precisamente:

1. Il Responsabile della protezione dei dati deve essere nominato quando il trattamento, effettuato da una persona giuridica, riguardi oltre 500 interessati in un anno. Si prescinde dunque dalla dimensione dell'impresa o azienda e si concentra l'attenzione sugli interessati; non vengono però sciolti i dubbi su quali siano i criteri per conteggiare gli interessati e su chi sia deputato al controllo dell'effettiva correttezza di tale numero. E ancora si dovrà procedere alla nomina del suddetto responsabile qualora le attività principali dei responsabili e incaricati consistano nel trattamento di dati sensibili comunque ricompresi nell'articolo 9 del Regolamento.

2. Si raddoppia poi la durata del mandato del DPO, innalzandola a 4 anni. L'emendamento in questione sembra, almeno a parere di chi scrive, una doverosa modifica che permette al nominato di poter effettivamente svolgere l'incarico cui è preposto. Ovviamente la permanenza per 4 anni di un Responsabile che svolga con diligenza il proprio incarico, oltre a  garantire la conformità al Regolamento avrà sicuramente anche un impatto materiale sulle attività dell'azienda, resta appunto da vedere quale.

3. Infine si prevede l'obbligo di notifica, da parte della persona giuridica, non solo dell'avvenuta nomina del DPO, ma anche della decisione contraria, corredata di motivazioni.
L'obiettivo di una scelta consapevole da parte dell'impresa, da cui deriva l'obbligo di addurre motivazioni, lascia però i già sperimentati dubbi: è lecito dunque non nominare un responsabile pur se l'azienda rientra nei casi tassativamente previsti? Ciò solo in presenza di (giustificati) motivi? E ancora: chi valuta la legittimità delle motivazioni addotte?

Appare evidente come anche questi emendamenti, seppur accolti con favore dal Garante Europeo, lascino molte lacune e dubbi che necessitano chiarimenti: compito della Commissione o spazi lasciati alle autonomie degli Stati membri?

 

Tag: Regolamento europeo privacy, trattamento autorizzato, archiviazione dati personali,consenso, Data Protection Officer