Roma, 19 febbraio 2014 - L’entrata in vigore del nuovo regolamento europeo sul trattamento dei dati personali (che andrà a sostituire la direttiva europea 95/46/CE e in Italia d.lgs. 196/03), con ogni probabilità diverrà un onere del nuovo parlamento che vedrà la luce proprio nel mese di maggio quasi in concomitanza con il semestre di presidenza italiano. Secondo quanto confermato anche recentemente, in occasione della giornata europea della privacy, dal commissario Vivianne REDING, pur slittando l’approvazione alla prossima legislatura, la stessa dovrà avvenire entro il 2014 in quanto i dati, sempre secondo quanto dichiarato dalla REDING, rappresentano la vera “moneta nell’era digitale”. La tutela dei dati risulta quindi evidente che debba essere strutturata fin dalla progettazione e questo è il motivo per cui l’art. 23 “protezione fin dalla progettazione e protezione di default” rappresenta, insieme agli artt. 5, 30 e 39 uno degli architravi del nuovo regolamento. L’articolo 23 è stato considerato la vera innovazione della riforma. Tale innovazione quindi presuppone che ogni passaggio per la costruzione di un sistema di CRM, o ancor prima proprio nel momento in cui devono essere determinati i mezzi del trattamento - dati (Archivi) e sistemi Software- per una qualunque organizzazione, possa essere attuato a condizione che sia effettuata un corretto risk assessment. La valutazione del rischio che il trattamento comporta e quindi la sicurezza degli archivi, sono divenuti elemento imprescindibile per poter dare il via ad ogni tipo di operazione sui dati, come risulta evidente da quanto richiamato dall’art. 30. In quest’ultimo, insieme agli artt. 5, 23, vengono infatti richiamati quali elementi di garanzia e rispetto degli obblighi da parte del Titolare (responsabile del nuovo regolamento) oltre che nell’articolo 39 del regolamento, il quale fa esplicito riferimento ai meccanismi di certificazione come strumento di garanzia per il soggetto interessato. Perché il legislatore europeo ha sentito una specifica necessità di inserire richiami espliciti al controllo della progettazione dei sistemi di gestione e dell’architettura dei data base? Ed inoltre perché si è ritenuto necessario richiamare nell’ambito dei processi certificativi di cui all’art. 39 del regolamento anche il principio di esattezza, aggiornamento e controllo da parte del Titolare (responsabile) ai fini della necessaria cancellazione o rettifica tempestiva nel caso siano presenti dati inesatti? Questi elementi in verità sono già presenti nel nostro codice, richiamati infatti tra i principi di cui all’art. 11 del d.lgs. 196/03, la differenza che nel regolamento vengono richiamati all’interno di uno schema di futura certificazione quali elementi o meglio future regole di controllo. Quasi che il legislatore europeo sentisse la necessità di inserire un concetto di verifica che ad oggi, pur trattandosi di norme cogenti, non è previsto. Quindi il nuovo regolamento da quanto sin qui espresso ai fini del trattamento di un database di medici visitati introduce tre criteri elementi fondamentali su cui concentrare l’attenzione: prima di progettare un sistema di gestione di contatto con il medico ed il relativo articolo, è necessario aver predisposto una corretta analisi dei rischi; i processi e i dati saranno sottoposti a processo di verifica; viene determinato con chiarezza chi ha funzione di titolare del trattamento (responsabile del nuovo regolamento).
