La riforma europea delle regole sulla protezione dei dati e il relativo impatto in azienda. Questo il titolo della tavola rotonda che si è tenuta lunedì 10 novembre, presso gli uffici romani di Nctm Studio Legale Associato.
L’iniziativa nasce anche grazie alla collaborazione con Icf, Italian Compliance Forum, associazione che riunisce molti responsabili legal e compliance di aziende italiane e straniere operanti in Italia, ed è stata ideata come un luogo di incontro rivolto ai professionisti del settore, per discutere dell’attuale fase in cui si trova il procedimento legislativo, in seno alle istituzioni dell’Ue, volto a riformare la normativa privacy dei 28 Paesi membri dell’Unione.
Il cammino del nuovo regolamento, prende il via nel febbraio 2012, quando la Commissione Europea presentò al Parlamento ed al Consiglio un pacchetto legislativo concernente il trattamento dei dati personali, al fine di modernizzare la normativa attuale che risale al 1995 (Direttiva 95/46/CE), resa ancor più obsoleta anche in ragione dei progressi di Internet e degli incalzanti sviluppi tecnologici che hanno trasformato l’economia e le relazioni sociali.
Ed è proprio nell’economia digitale, in maggior misura, ma anche in quella tradizionale, che i dati personali posseduti da un’azienda vengono a configurarsi come una parte irrinunciabile del patrimonio della Società. Un patrimonio prezioso che deve essere tutelato dai possibili attacchi esterni ed interni, ma anche dal rischio di moratorie dei trattamenti, imposti dall’Autorità Garante a causa di trattamenti effettuati in violazione della legge.
A tutela di quello che viene sempre più identificandosi come un asset strategico, il legislatore europeo ha introdotto, tra le altre cose, nel dettato del nuovo regolamento, l’obbligo di nominare un Data Protection Officer. Questa figura aziendale, già nota in alcuni ordinamenti, sarà un vero e proprio pivot dei processi di trattamento dei dati personali, solo se auspicabilmente inserito in posizioni apicali, incaricato di vigilare sulla corretta attuazione della disciplina di settore.
Laddove il Consiglio europeo dovesse confermare il testo approvato dall’assemblea plenaria del Parlamento Europeo, penderebbe in capo a tutte le pubbliche amministrazioni ed alle aziende che trattano i dati di oltre 5.000 interessati, nell’arco di 12 mesi consecutivi, l’obbligo di nominare un data protection officer, che avrebbe ruoli e funzioni diverse dagli attuali responsabili interni del trattamento.
Un altro tra i punti cruciali della riforma, decisamente più controverso, riguarda la proposta di istituire uno sportello unico o One-stop-shop degli adempimenti privacy. In virtù di questo meccanismo, quando il trattamento di dati personali avviene in più di uno Stato membro, una sola Autorità di supervisione dovrebbe essere responsabile della sorveglianza sulle attività di chi compie il trattamento all’interno dell’Ue e avere poteri decisori in merito.
In altre parole, l’Autorità deputata alla sorveglianza, sebbene inserita in un quadro di cooperazione con altre autorità nazionali di supervisione, dovrebbe essere l’Autorità di Protezione dei Dati personali dello Stato membro in cui il titolare o il responsabile del trattamento ha la propria sede principale.
Questa innovazione, tuttavia, non è esente da critiche. È innegabile, infatti, che vi sia la possibilità che una Società multinazionale, la quale voglia stabilirsi nel territorio dell’Unione Europea, scelga lo stato che richiede un numero di adempimenti minore (si tratta, in altre parole, del cosiddetto Forum-shopping).
Questa percezione, tuttavia, è molto distante dalla realtà. La privacy, infatti è una materia multidisciplinare. Molti degli adempimenti in materia di trattamento dei dati personali, infatti, sono disciplinati da una vasta gamma di differenti provvedimenti normativi che continuano a rimanere in vigore, con riferimento a determinati settori quali, a titolo di esempio, quello bancario, quello del lavoro e quello delle telecomunicazioni.
Pensiamo, ad esempio, alla questione della videosorveglianza sul luogo di lavoro. Essa non comporta solo l’obbligo, per il titolare del trattamento, di affiggere l’idonea informativa, anche in forma semplificata. Prima di poter installare i sistemi di video sorveglianza, invece, è necessario che il titolare del trattamento sigli uno specifico accordo con le rappresentanze sindacali aziendali o, in assenza di queste, ottenga dalla Direzione Provinciale per il Lavoro, la specifica autorizzazione, così come previsto dall’art. 4 della legge n. 300/1970. In assenza di questo specifico adempimento, il trattamento dei dati in questione sarebbe illecito, anche in assenza di un’espressa previsione normativa, all’interno del Regolamento.
Pertanto, appare evidente come la proposta dello one-stop-shop sia un’arma a doppio taglio che può amplificare il rischio di non compliance con le prescrizioni locali, connesse, in un modo o nell’altro, con il tema del trattamento dei dati personali. Il che, inevitabilmente, si tradurrebbe nella percezione comune – e non condivisibile – della privacy come una materia scomoda, volta a complicare, più che ad agevolare, i processi aziendali.
* Partner Nctm studio legale associato e segretario generale Icf
