Ai primi di febbraio sui siti istituzionali dell’Unione Europea è stato pubblicato, anche in lingua italiana, il testo definitivo del GDPR sottoscritto dal c.d Trilogo in data 18 dicembre dello scorso anno, dal quale si evince che i soggetti coinvolti sono il Data Controller o Responsabile del Trattamento, Data Protection Officer o Responsabile della Protezione dei Dati, e Data Processor o Incaricato del Trattamento, con ruoli e responsabilità differenti rispetto alle figure così come previste dal nostro attuale Codice Privacy.
Uno degli obbiettivi principali del nuovo pacchetto di riforma in materia di protezione dei dati è da sempre stata la c.d. armonizzazione normativa, ovvero il superamento dell’attuale mosaico piuttosto variegato rappresentato da ben 28 norme, per molti aspetti anche diverse tra loro, quanti sono gli Stati membri dell’Unione proprio per il tramite di un Regolamento, unica norma uguale è immediatamente applicabile in tutta la UE, risolvendo proprio quelli che sono i limiti di una Direttiva, nella fattispecie la c.d. Direttiva Madre in materia di protezione dei dati personali, n. 95/46.
E basandosi proprio su questo presupposto si è dato per scontato anche il superamento del nostro attuale schema a tre livelli fondato sulle tre figure del Titolare, Responsabile e Incaricato del Trattamento, anomalia tra l’altro solo italiana, allineandoci anche da questo punto di vista al nuovo quadro giuridico europeo in materia di privacy che ormai vedrà prestissimo la luce, proprio nel mese in corso.
Proprio a fine marzo avevo parlato dei soggetti coinvolti facendo un parallelismo tra gli attuali soggetti e relativi ruoli e quelli che a brevissimo sarebbero arrivati.
Ma a quanto pare non sarà proprio così, quasi certamente per il nostro bel Paese, e qualche segnale in realtà per meglio comprendere quale sarebbe stato l’orientamento della nostra Autorità di Controllo ci sarebbe anche già stato, ma evidentemente non è stato colto o forse non interpretato in maniera corretta.
In data 17 marzo il nostro Garante pubblica sul suo sito web una infografica relativa al Data Protection Officer o DPO la quale riportata esattamente “Il Responsabile della protezione dei dati personali, nominato dal titolare del trattamento o dal responsabile del trattamento …” e ancora “… operare alle dipendenze del titolare o del responsabile …” e altri ancora: molteplici sono al suo interno i riferimenti all’attuale schema che prevede proprio la figura del Titolare e Responsabile del Trattamento.
Personalmente alla prima lettura di questa infografica ho notato sin da subito l’utilizzo di questa terminologia, ma mi sono limitato a contestualizzarla nell’attuale quadro normativo e in una intenzione del Garante di introdurre questa nuova figura del Data Protection Officer, e in una sorta di continuità, proprio al fine di far meglio comprendere tale nuovo ruolo e relativi rapporti con gli altri soggetti coinvolti, abbia volutamente e per tale ragione utilizzato ancora i termini di Titolare e Responsabile.
In realtà questo sarebbe dovuto già essere un primo segnale di quale fosse invece l’orientamento della nostra Autorità di Controllo proprio a tal proposito.
Ulteriore e recente segnale ci arriva dalla pubblicazione mercoledì scorso di un comunicato di Baldo Meo, Capo Ufficio Stampa del Garante, pubblicato in risposta ad un articolo dei giorni scorsi che proprio sollevava tali dubbi interpretativi e che invitava implicitamente la nostra Autorità di Controllo a fornire eventuali chiarimenti proprio a tal proposito.
Nel comunicato Baldo Meo anticipa proprio che nella nuova versione italiana del Regolamento i termini Data Controller e Data Processor saranno rispettivamente tradotti con Titolare del Trattamento e Responsabile del Trattamento e spiega anche le ragioni di tale adattamento terminologico proprio voluto dalla nostra Autorità al fine di evitare “un inutile sforzo adattativo e interpretativo agli operatori del nostro Paese, trattandosi, di fatto, di figure identiche in termini di caratteristiche soggettive”, confermando che tali termini saranno quelli corretti e definitivi.
Lo stesso comunicato si spinge oltre riferendosi anche all’Incaricato del Trattamento, attualmente previsto dalla nostra norma nazionale, riconoscendo che in effetti l’attuale testo del Regolamento lascia di fatto spazio anche a tale soggetto, poiché sono diversi i riferimenti a tale figura, ma precisando che quale sarà il suo termine al momento non è possibile saperlo e che comunque tale denominazione non è compito del Garante.
Solo segnali e interpretazioni traduttive oppure certezze che i termini Titolare e Responsabile come conosciuti oggi così rimarranno anche con l’arrivo del GDPR?
A conferma di ciò è stato pubblicato venerdì scorso sul sito della nostra Autorità Garante il testo del Regolamento come da approvazione del Consiglio UE avvenuta nella stessa data, dove sin dalla sezione dei c.d. “Considerando” il termine Titolare del Trattamento e Responsabile del Trattamento risultano essere presenti, nelle stesse Definizioni e poi sistematicamente ripetuti nell’intero testo di riforma.
Sciolto ogni dubbio, però qualche perplessità doverosamente rimane.
L’intento è sicuramente lodevole: garantire una sorta di continuità e favorire una maggiore comprensione per tali soggetti e relativi ruoli, ma le difficoltà degli addetti al settore quando si rapporteranno nei confronti del resto dell’Unione c’erano e a questo punto tali rimarranno.
Se tale schema a tre livelli è sempre stata una nostra atipicità non doveva proprio il Regolamento eliminare tale differenza?
Se la c.d armonizzazione è sempre stata centrale sin da subito per il GDPR come è possibile che solamente a partire dalla sua traduzione si possa già conformare un disallineamento nei confronti degli altri Paesi UE?
Se sono già diversi i temi demandati ai singoli Stati dell’Unione come sarà perseguibile tale obiettivo di armonizzazione normativa?
E’ ormai sempre più evidente che tale obbiettivo si sia un po’ perso per strada durante il lungo e tortuoso cammino del GDPR, se non forse perso del tutto, e la sensazione che si sta sempre più diffondendo è quella che probabilmente si sia davvero persa una grande occasione.
GDPR: Regolamento o Direttiva?
Facebook Comments