Regolamento Privacy 2018: manca il decreto di coordinamento con norme in vigore

Diventerà applicativo il 25 maggio 2018 il nuovo codice europeo per la privacy, il GDPR: Regolamento Europeo per il trattamento dei dati personali, ed entro il 21 maggio deve essere approvato in via definitiva il decreto legislativo di coordinamento con la normativa privacy in vigore. Tale decreto è stato approvato in prima lettura il 21 marzo 2018 dal Consiglio dei Ministri e da allora ha subito modifiche e ritocchi, tra cui il parziale ripristino delle sanzioni penali, che nel testo approvato non erano presenti. Infatti il forte inasprimento delle sanzioni amministrative contenute nel testo europeo, approvato il 24 maggio 2016 e attuativo dal 25 maggio 2018, avevano eliminato le sanzioni penali.

Il testo definitivo del decreto legislativo, deve essere approvato entro il 21 maggio da Palazzo Chigi e dai seguenti 5 ministeri:

• Ministero dell'Economia e delle finanze
• Ministero dello Sviluppo Economico
• Ministero della Pubblica Amministrazione
• Ministero della Giustizia
• Ministero degli Affari Esteri.

Tuttavia, come chiarito dallo stesso Garante per la Privacy non è possibile procedere a proroghe in quanto non sono tecnicamente in potere delle singole Autorithy della riservatezza, perciò il 25 maggio il nuovo regolamento entrerà in vigore portandosi con se tutte le criticità del mancato coordinamento. 

Si ricorda, che il maggior cambiamento contenuto nel GDPR riguarda l’accountability, o “responsabilizzazione” di titolari e responsabili cioè “l’adozione di comportamenti attivi che dimostrino la concreta adozione di misure finalizzate alla corretta applicazione del regolamento privacy”. Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento. Tutti i titolari e i responsabili di trattamento, devono tenere un registro delle operazioni di trattamento tranne gli organismi con meno di 250 dipendenti che non effettuano trattamenti a rischio. Anche la designazione di un “responsabile della protezione dati” (RPD, ovvero DPO se si utilizza l’acronimo inglese: Data Protection Officer) riflette l’approccio responsabilizzante che è proprio del regolamento essendo finalizzata a facilitare l’attuazione del regolamento da parte del titolare/responsabile.