Il 2016 sarà l’anno della privacy europea. L’Italia aveva già recepito le regole europee nel 1996 con la legge 675 (quella che ha introdotto la cultura della privacy nel nostro Paese), poi riversate nel codice della riservatezza, il Dlgs 196/2003.
Regole che, così come quelle adottate nel resto dell’Unione, sono prossime alla pensione, perché la riforma della privacy in arrivo si compone di due provvedimenti: una direttiva, che interessa l’uso dei dati personali nell’ambito della sicurezza e delle attività di polizia e di giustizia e che avrà bisogno di essere recepita per diventare operativa nei vari Stati; un regolamento, che interesserà tutti i soggetti privati (persone fisiche e imprese) e parte di quelli pubblici e che sarà immediatamente applicabile. Non avrà, cioè, bisogno di alcun atto di recepimento, tranne un “interregno” di due anni concesso a ciascun Paese per adeguarsi alle nuove norme.
Questo vuol dire, in buona sostanza, che il codice della privacy italiano dovrà uscire di scena per far posto al regolamento. E così dovrà avvenire per le normative sulla riservatezza finora applicate nel resto dell’Unione.
Altra novità in arrivo è la necessità per chi gestisce le informazioni personali di effettuare una valutazione dell’impatto che l’utilizzo dei dati può avere, in particolare quando si verificano condizioni che possono presentare un rischio significativo per i diritti e la libertà della persona.
Si prevede, inoltre, un potenziamento dell’informativa (la comunicazione che chi gestisce i dati personali deve fornire nel momento della raccolta delle informazioni), con la possibilità di rendere la procedura più familiare attraverso il ricorso a disegni, icone o altre forme grafiche.
C’è, poi, l’introduzione del Data protection officer (Dpo), un professionista che deve controllare e coordinare l’attività di quanti – all’interno di un’azienda o di un ufficio pubblico – utilizzano i dati personali. Si tratta di una figura già prevista da alcune legislazioni europee e che il regolamento estende a tutti i Paesi, imponendola alle pubbliche amministrazioni e a quelle imprese in cui il trattamento delle informazioni personali presenta profili di particolare rischio.