Il nuovo Regolamento Europeo in materia di protezione dei dati personali (Regolamento 2016/679), approvato in data 14 aprile 2016 dal Parlamento Europeo e pubblicato sulla Gazzetta Ufficiale Europea del 4 maggio 2016, segna l’inizio di una nuova era per la privacy dei cittadini europei nei rapporti con le pubbliche amministrazioni e con le imprese.
Il Regolamento in commento è, infatti, assai rilevante non solo per il tentativo di armonizzazione delle regole relative alla privacy vigenti nei vari Stati membri dell’Unione Europea, ma anche perché introduce, nella delicata materia della riservatezza dei dati personali, il principio di accountability.
Bisogna, tuttavia, chiedersi cosa si intende per «accountability». Il termine potrebbe essere tradotto con «responsabilità» e, allo stesso tempo, con «prova della responsabilità», il che significa che il titolare del trattamento dei dati personali deve essere in grado di dimostrare di aver adottato una procedura composta di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali.
Questa è la novità che segna una vera e propria “rivoluzione copernicana” in materia di tutela della privacy.
L’attuale codice della privacy (D.Lgs. 196/2003), infatti, non prevede in modo diretto il principio di accountability, ma un sistema di responsabilità civili, penali e amministrative comminabili ex post in caso di mancato adempimento ad una serie di regole formali (informativa, consenso, notificazione al Garante, ecc…).
Con il nuovo regolamento, invece, il responsabile del trattamento dei dati deve rispondere in maniera, per così dire, “anticipata”.
Il principio di accountability, dunque, per le imprese (e per chiunque, per la propria attività, debba effettuare trattamento di dati personali), si traduce in un principio di effettività di garanzia verso l’interessato al trattamento, il che implica una trasparenza ancora maggiore rispetto al regime attuale.
In concreto, il titolare del trattamento potrà dimostrare che questo è conforme al regolamento europeo in materia di protezione dei dati personali attraverso l’adozione delle misure di sicurezza o l’adesione ai codici di condotta o a un meccanismo di certificazione, anche attraverso l’elaborazione di specifici modelli organizzativi, analoghi a quelli utilizzati nell’applicazione del D.Lgs. 231/2001.
Con la pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea del Regolamento 2016/679 è iniziato il termine biennale (che spirerà il 25 maggio 2018) posto dal legislatore europeo affinché i singoli Stati membri adeguino le proprie legislazioni nazionali al Regolamento e le integrino in tutti quegli aspetti rimessi alla valutazione discrezionale dei Legislatori nazionali.
Le imprese italiane dovranno, quindi, avviare tempestivamente un importante percorso di riesame dell’organizzazione aziendale per renderla compatibile con le rigorose determinazioni del Regolamento ed evitare di incorrere in violazioni che potranno comportare, oltre alla responsabilità di natura penale in capo ai titolari ed ai responsabili del trattamento, anche sanzioni economiche assai rilevanti.
Con riferimento a queste ultime basti considerare che l’art. 83 del Regolamento prevede che, in caso di violazione di alcune delle principali disposizioni dello stesso, potrà essere comminata una «sanzione amministrativa pecuniaria fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore» ai 10 milioni di euro.
(A cura di Avv. Stefano Campogrande – stefano.campogrande@studiozunarelli.com)