Il nuovo GDPR (General Data Protection Regulation) è alle porte, la data di applicazione sarà il 28 maggio 2018, tutti ne stanno parlando e quasi nessuno ne parla bene. Meglio astenersi?
Innanzitutto specifichiamo che dietro la sigla GDPR c’è il Regolamento Ue n. 2016/679 e che questa norma avrebbe lo scopo di tutelare in modo più stringente i dati del singolo cittadino. Alla base del GDPR vi sono:
- Regole più chiare sul consenso al trattamento dei dati;
- Maggiore chiarezza in merito il confine del trattamento dei dati automatizzato.
- Formalizzate le norme a tutela del data breach.
- Formalizzato il ruolo del Data Protection Officer (DPO)
ma allora cosa sta succedendo? Perchè ci sono tante polemiche intorno a questo GDPR?
Essenzialmente il problema è uno e per capirlo bisogna comprendere come mai c’è stato bisogno del GDPR.
Il GDPR nasce da precise esigenze, come indicato dalla stessa Commissione Ue, di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo.Si tratta poi di una risposta, necessarie e urgente, alle sfide poste dagli sviluppi tecnologici (a inizio ottobre il WP29 ha adottato tre fondamentali provvedimenti che avranno importanti ricadute su punti essenziali del GDPR proprio sul tema dell’innovazione tecnologica) e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini Ue. [Fonte: AgendaDigitale.eu]
Di conseguenza, come riportato, al centro vi dovrebbe essere la certezza giuridica concetto messo in discussione poco dopo dallo stesso sito Agenda Digitale
A preoccupare sono, però, le disposizioni di ratio sostanzialmente opposte che hanno attribuito agli Stati membri la possibilità di legiferare in autonomia al fine di “precisare” le norme contenute nel GDPR. [Fonte: AgendaDigitale.eu]
Si parla di centralità ma si parla di autonomia ed è proprio in quell’autonomia che risiedono problemi di applicazione normativa. Per farvi capire bene il contesto vi chiedo di dare uno sguardo ad un articolo molto interessante di Andrea Lisi
Quest’anno il nostro legislatore ha superato sé stesso per magnanimità. Il regalo di Natale per le multinazionali dell’Information Technology è piuttosto prezioso. Peccato però che a pagare il prezzo di siano i cittadini e il loro diritto alla protezione dei dati personali, addirittura quelli più sensibili, i dati sanitari.Nella Legge europea 2017 viene infatti introdotto l’art. 110-bis al Codice per la protezione dei dati personaliche prevede la possibilità, per scopi statistici e di ricerca scientifica, di riutilizzo dei dati personali, anche sensibili (ad esclusione di quelli genetici), a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati a tutela degli interessati, previa autorizzazione del Garante.
Il problema del GDPR non è la sua emanazione ma la sua “interpretazione” a livello nazionale perchè l’Italia è un luogo dove si hanno molte difficoltà a scrivere norme chiare sia per scarsa formazione dei legislatori, sia per la pressione delle lobby (leggasi aziende) che spingono per curare i propri interessi a svantaggio della qualità della norma.
Due parole sul DPO
La figura del DPO sarà assolutamente centrale nel nuovo ordinamento ed è la sua complessità ad attirare l’attenzione degli addetti ai lavori. Parliamo di un soggetto estremamente formato dal punto di vista normativo ma anche tecnico, in grado di comprendere tutti i risvolti del processo di trattamento dei dati. Questo è chiaramente l’aspetto più delicato: formare giuristi integrando alla loro conoscenza quella tecnica o fare l’inverso?
Intanto iniziano le speculazioni sul DPO e, più in generale, sul GDPR. C’è chi si vende corsi online, chi promette formule magiche per creare DPO ma pochi hanno capito che c’è un problema ed è a monte di tutta la catena: imparare a scrivere buone norme e a difenderle adeguatamente. Perchè in fondo difendendo una buona legge, si difende il cittadino e i suoi diritti.