martedì 19 febbraio 2013

Regolamento Europeo per la Privacy e Privacy Officer

Ormai ci siamo, la proprosta di Regolamento Europeo per la Privacy è stata presentata il 25 gennaio di quest'anno ed andrà a sostituire, presumibilmente all'inizio del 2014, la Direttiva 95/46/CE da cui discendeva direttamente il D. Lgs. 196/2003 e che ha costituito sin qui l'asse portante della nostra normativa Privacy. 
Il fatto che il Regolamento entri in vigore all'inizio del 2014, quando l'Irlanda assumerà la Presidenza del Consiglio dell'Unione Europea non stupisce: le sedi europee di Microsoft, Google, HP, Amazon, Symantec, eBay, Paypal, solo per citare le principali, sono infatti ubicate (guarda caso!) a Dublino o comunque in Irlanda.

Vediamo in concreto cosa porterà questo Regolamento, che, è bene ricordarlo, dal momento della sua pubblicazione sulla Gazzetta Ufficiale dell'Unione Europea, sarà immediatamente efficace in tutti i 27 paesi dell'Unione, senza necessità di ulteriore ratifica, come avviene per le Direttive.

1. Introduzione della figura del Privacy Officer o meglio del Data Protection Officer; questa figura professionale è di nuova introduzione e prevista come obbligatoria all'interno del Regolamento con modalità che sono ancora da approvare. La prima bozza parlava di obbligatorietà solo per aziende con più di 250 dipendenti ed è poi stata corretta con almeno  500 entry all'interno del database. E' assai probabile che il riferimento sarà quindi la dimensione del database e non il numero di dipendenti aziendali.

2. Diritto alla "data portability" da un operatore all'altro e con i dati in formato neutro: pratica che darà non pochi problemi, specie per l'interoperabilità tra database tra loro diversi.

3. Diritto all'oblio, che è il diritto per gli interessati di chiedere la rimozione dei dati dopo un certo periodo e per motivi legittimi. Curiosità storica: Marlene Dietrich già a metà degli anni '30 chiedeva la possibilità di "essere lasciata da sola; di "essere dimenticata", impostazione giuridica ripresa nel campo del diritto di cronaca ed ora espansa anche alla Privacy.

4. Privacy-By-Design e Privacy-By-Impact-Assessment: produzione di software ed hardware che siano già in fase di progettazione "privacy compliant" e valutazione preventiva dell'impatto sulla Privacy di un nuovo trattamento per alcune tipologie di dati (dati biometrici, videosorveglianza, etc.).

5. Considerazione finale: se è vero che il Regolamento, di fatto, spazzerà via la normativa privacy nazionale, è anche vero che alcune "vestigia" della vecchia normativa resteranno in piedi, per esempio i vari provvedimenti speciali del Garante che si sono succeduti nel tempo, se toccano argomenti non novellati  all'interno del Regolamento. Ci troveremo dunque davanti ad una normativa, completamente nuova, estremamente complessa e con regimi sanzionatori ulteriormente inaspriti (si parla di sanzioni fino ad 1 milione di Euro o il 2% del fatturato dell'azienda).

Se volete approfondire l'argomento, vi consiglio dare uno sguardo a questi link: http://ec.europa.eu/justice/data-protection/document/review2012/factsheets/1_en.pdf, che fa un riassunto delle novità introdotte dal Regolamento e http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm che assomma tutta una serie di documenti di ambito Comunitario che hanno poi portato alla stesura del Regolamento stesso.

CD Bergamo si sta strutturando proprio in questo periodo per proporre il servizio di Privacy Officer nei confronti dei propri clienti.
E' stato infatti già conseguito l'attestato del Master come Privacy Officer e Consulente della Privacy a gennaio e il giorno 26 (speriamo) arrivera anche la certificazione TÜV UNI EN ISO/IEC 17024:2004 che farà entrare la nostra azienda nel ristretto novero di quelle che hanno alle dipendenze un professionista certificato.