Niente adeguamenti italiani al GDPR ma serve stabilire i poteri del Garante

Autorità e normativeNormativa
Lo Stato della Privacy secondo Symantec
1 96 Non ci sono commenti

Antonio Caselli (del Garante Privacy): il regolamento è obbligatorio e direttamente applicabile. Tuttavia il legislatore nazionale deve intervenire sui poteri del Garante e le risorse che devono essergli messe a disposizione, sulla definizione di meccanismi per l’accreditamento di soggetti in grado di certificare trattamenti di dati personali

Le aziende, ma non solo, si stanno chiedendo quali siano i passi che le autorità competenti italiane debbano fare al fine di ‘adeguare’ il regolamento europeo sul trattamento dei dati personali (GDPR) alle esigenze e alle peculiarità del trattamento dei dati in Italia. In altre parole ci si chiede se le autorità italiane debbano intervenire  dando qualche sorta di spiegazione, da qui al prossimo 25 maggio 2018, alle realtà che devono scontrarsi con il GDPR.

Itespresso.it lo ha domandato ad Antonio Caselli, Responsabile Unità documentazione internazionale e riforma normativa Ue del Garante Privacy, il quale spiega che “il regolamento è un regolamento. In quanto tale non richiede, in linea di principio, alcun intervento normativo per la sua implementazione in uno Stato membro: è obbligatorio in tutti i suoi elementi e direttamente applicabile”. Tuttavia, nel regolamento 2016/679 ci sono alcune disposizioni che, di fatto, impongono al legislatore nazionale di intervenire: ciò riguarda soprattutto i poteri del Garante e le risorse che devono essergli messe a disposizione, ma anche la definizione di meccanismi precisi per l’accreditamento di soggetti in grado di certificare trattamenti di dati personali.

Antonio Caselli, Garante privacy
Antonio Caselli, Garante privacy

Vi sono poi altre disposizioni che consentono al legislatore nazionale alcuni margini di intervento, in particolare per quanto riguarda i trattamenti per finalità di interesse pubblico o basati su specifiche disposizioni di legge (art. 6, paragrafo 2) e anche alcuni ambiti di trattamento ove il Regolamento riconosce la necessità di conciliare altri diritti con il diritto fondamentale alla protezione dei dati personali e alla privacy: attività giornalistica e libertà di espressione, accesso ai documenti pubblici, lavoro, ricerca scientifica, storica, statistica, archivi. “Potrebbe essere opportuno (forse  necessario)  – spiega Caselli – per il legislatore utilizzare questi spazi di intervento per mantenere (o adeguare) alcuni elementi dell’attuale impianto normativo (ossia, varie disposizioni del Codice 196/2003 e suoi allegati) che hanno, a nostro giudizio, un indubbio valore aggiunto. Non spetta al Garante assumere decisioni in merito, come è noto, bensì al Parlamento e al Governo. Il Garante, per parte sua, ha da tempo iniziato un’attività di sensibilizzazione e divulgazione dei contenuti della riforma e intende proseguire un’opera di indirizzo per le imprese, la PA e gli interessati rispetto alle principali novità che essa comporta”.

Caselli sottolinea, a maggior ragione che anche la designazione di un “responsabile della protezione dati” (RPD, ovvero DPO) riflette l’approccio di responsabilità che è proprio del regolamento (art. 39), essendo finalizzata a facilitare l’attuazione del regolamento da parte del titolare/del responsabile. “Non è un caso – spiega – che fra i compiti del RPD rientrino “la sensibilizzazione e la formazione del personale” e la sorveglianza sullo svolgimento della valutazione di impatto da parte del titolare. La sua designazione è obbligatoria in alcuni casi (art. 37), e il regolamento tratteggia le caratteristiche soggettive e oggettive di questa figura (indipendenza, autorevolezza, competenze manageriali: artt. 38 e 39)”, conclude Caselli.

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore