Uno dei temi da gestire nell’adeguamento al GDPR è decidere “che fare” dei responsabili del trattamento designati ai sensi degli articoli 4 e 29 dell’attuale Codice dei dati personali.
Alcuni, come l’ex Garante dei dati personali, Francesco Pizzetti, sostengono che dal 25 maggio questa figura sparirà in quanto non prevista esplicitamente dal GDPR e sarà sostituita dal solo “processor” individuato dall’articolo 28 del GDPR.
Non condivido questa lettura del Regolamento europeo.
Gli articoli 4 e 29 del Codice sono il portato di un errore di traduzione della direttiva che parla, invece e come fa il GDPR), di “processor“. C’è, dunque, sicuramente un’anomalia terminologica – come ha rilevato il collega Fabio Di Resta in uno scambio di commenti su Linkedin – ma e’ nell’uso improprio e confusorio della parola “responsabile” al posto di una traduzione più corretta del termine inglese.
Ma da un punto di vista sostanziale, il processor della direttiva (e dunque del codice) non e’ eliminato dal GDPR. Per sostenere l’abrogazione tacita degli articoli 4 e 29 del Codice, infatti, sarebbe necessario dimostrare che la permanenza, nel regime GDPR, delle norme in questione crea una contraddizione risolvibile solo con l’eliminazione della (parte di) fonte inferiore.
Non ho trovato, nel GDPR, delle indicazioni che possano far propendere per la abrogazione tacita per cui torniamo al punto: a meno che il governo non decida diversamente, gli articoli 4 e 29 rimangono validi, pur con una portata limitata.
D’altra parte, va considerato che l’art. 35 del GDPR indica i compiti minimi del DPO, ma non li esaurisce. Quindi nulla vieta che gli altri possono essere affidati appunto al processor interno se del caso.
Per di piu’, sostenere che l’art. 4 sia stato abrogato lascia “scoperta” tutta quella parte di titolari che non sono tenuti alla nomina del DPO e che dovrebbero gestire in proprio attività che prima avevano delegato – con precisi effetti e responsabilità giuridiche – a persone dotate di adeguata competenza e professionalità.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte