Corcom.it, quotidiano online di economia digitale e innovazione, ha intervistato Giusella Finocchiaro a proposito del GDPR e della sua applicazione in Italia. Vi proponiamo qui uno stralcio dell’intervista che può essere letta nella sua versione integrale su QUESTA pagina.
“Il decreto ha accolto, in parte, il progetto elaborato dall’apposita Commissione che ho presieduto, incaricata dal Governo di adeguare il quadro normativo italiano alla normativa europea. Del testo redatto dalla Commissione è stata accolta la scelta di abrogazione espressa di molte norme del Codice privacy, che ha costituito un’operazione di semplificazione di grande rilievo, anche culturale”, spiega a CorCom Finocchiaro la quale, nel 2017 è stata nominata Presidente del Gruppo di lavoro, presso l’ufficio legislativo del Ministero della Giustizia, incaricato di provvedere alla predisposizione dei decreti legislativi in modo da garantire il tempestivo recepimento ed adeguamento dell’ordinamento interno alle prescrizioni europee in materia di protezione dei dati personali.
Finocchiaro come siamo messi in Italia?
Dal 2016 le imprese, anche a fronte delle severe sanzioni amministrative contenute dal Regolamento, si sono attivate per adeguarsi. In certi settori, tuttavia, si registrano ancora significativi ritardi oppure un’applicazione meramente formale della normativa vigente, senza averne colto le novità più interessanti e ancor meno lo spirito di riforma. Ancora pochi, per esempio, applicano il “legittimo interesse” come base giuridica del trattamento, pochi hanno compreso in pieno lo spirito dell’accountability e vedo poco applicato anche il bilanciamento che è al cuore dello stesso Gdpr, fra protezione dei dati personali e libera circolazione degli stessi.
La figura del Dpo è necessaria e fondamentale a livello di imprese e PA eppure non sempre ci si rivolge a figure qualificate dotate di certificazione a causa dei mancati obblighi. Non crede che invece sia necessario imporre vincoli stringenti nelle nomine affinché si eviti l’improvvisazione?
Il Gdpr non prevede specifiche attestazioni formali o l’iscrizione in appositi albi per svolgere il ruolo di Dpo. D’altronde, i requisiti sono già ben delineati nel Regolamento e la loro valutazione è rimessa in capo al titolare del trattamento che deve responsabilmente verificare che il soggetto possieda un’approfondita conoscenza della normativa e delle prassi in materia di protezione dei dati personali, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Certamente, una specifica formazione può essere assai rilevante. Se il titolare sceglie Dpo inadeguati, ne è responsabile sotto ogni profilo.
L’Europa ha appena approvato il nuovo pacchetto di misure sul Digital Services Act e il Digital Market: molte le critiche e le obiezioni, quali sono le principali novità sul fronte privacy e data protection?