Si è tenuto il 24 febbraio scorso a Roma, organizzato dal periodico Privacy Outlook, il Convegno “Il Nuovo Regolamento Europeo tra attese e preoccupazioni”. La materia della protezione dei dati personali, ultimamente è spasmodicamente al centro dell’attenzione. Come ha anticipato Giovanni Buttarelli, Garante Europeo aggiunto per la protezione dei dati personali, la strada è ancora “lunga” affinché si addivenga alla emanazione (si pensa nel 2015), ma appare decisamente “corta” per quelle aziende che dovranno andare ad adottare le specifiche previsioni del Regolamento.
Ricordiamo che, al momento, nelle sedi comunitarie si definisce il testo come Regolamento e non Direttiva, quindi una volta emanato sarà immediatamente vincolante per ciascun Stato membro senza alcuna possibilità di andare a derogare o modificare il testo. E proprio l’ambito di applicazione, e quindi l’individuazione del target di soggetti giuridici che dovranno andare a recepire il Regolamento, è una delle tematiche più calde.
Consideriamo che l’attuale bozza contiene diversi obblighi con particolare riferimento alla gestione della sicurezza informatica, concentrandosi su una nuova figura, dal profilo assolutamente sostanziale, che sarà il Data Privacy Officer.
Come emerso durante il convegno, la preoccupazione di molte imprese si concentra sugli oneri che potranno derivare dall’inserire e sostenere, organizzativamente ed economicamente, proprio questa figura. Un controllore che dovrà supervisionare l’applicazione del Regolamento all’interno dell’azienda, con poteri anche “frenanti” rispetto a progetti che possano includere direttamente o indirettamente il trattamento di dati personali.
In seno al testo attuale della bozza, emerge anche l’obbligo in caso di violazione di dati personali, di comunicare l’accaduto all’Autorità di controllo nazionale (ente non apparentemente corrispondente per ruolo e funzioni all’attuale Autorità Garante per la protezione dei dati personali, che pare opportuno chiedersi se ancora sussisterà e con quali modalità di “convivenza” con tale Autorità), comunicazione che dovrà avvenire in termini brevi con indicazione della natura della violazione, descrivendo le misure adottate, le conseguenze della violazione subita, ecc. Questo aspetto certamente sarà un elemento di forte “rottura” rispetto alla condotta che attualmente adottano le aziende italiane quando subiscono violazioni afferenti i dati.
Dalla proiezione dei dati statistici riguardanti i fascicoli iscritti, definiti e pendenti nei Tribunali ordinari (sezione dibattimento) nel quadriennio 2009-2012 per reati concernenti o ricollegabili in senso lato alla privacy, presentata al Convegno da Fabio Bartolomeo, Direttore Generale di Statistica del Ministero di Giustizia, è emerso ad esempio, che nell’arco temporale preso ad esame il reato di trattamento illecito dati ‘viaggia’ ad una media di 120 casi annui. Mentre in merito al reato di accesso abusivo ad un sistema telematico o informatico, si va dai 92 casi del 2009 ai 304 del 2012.
Per chi opera nel settore, è evidente che in gran parte dei casi (in cui certi reati vengono subiti, con attacchi dall’esterno ma anche dall’interno) le vicende rimangono sommerse. Denunciare di aver subito una violazione dei dati detenuti, un accesso abusivo o un attacco che abbia “bucato” il proprio sistema di sicurezza, è ammettere di non aver saputo/potuto tutelare sufficientemente il proprio patrimonio.
Ecco perché occorre cominciare a passare un altro messaggio alle aziende ed agli enti: forse il Regolamento Europeo dovrebbe essere visto con uno sguardo diverso, meno “impaurito” a causa dei costi e delle perdite di tempo burocratiche che potrebbe implicare, e più concentrato sull’opportunità di trovare un filo conduttore che consenta una maggior protezione dei dati personali concepiti come patrimonio aziendale, sul quale le aziende vivono, prospettano le proprie azioni commerciali ed interagiscono con funzioni economiche e sociali. Serve più apertura in un’epoca in cui la circolazione dei dati personali comporta implicazioni di carattere politico, di controllo e di profilazione sempre più spinte, tenendo conto che un testo di legge può stimolare anche la governance aziendale.
