Fast zwanzig Jahre nach Inkrafttreten des ersten italienischen Gesetzes zum Thema Datenschutz wurde im vergangenen Mai die europäische Verordnung veröffentlicht, die die Gesetzgebung zu diesem Thema im Wesentlichen integriert. Ziel ist es, ein höheres und einheitlicheres Schutzniveau für personenbezogene Daten anzuerkennen und den Bürgern eine größere Kontrolle über die Verwendung der sie betreffenden Informationen zu garantieren.
Obwohl die Verordnung nicht umgesetzt werden muss, haben die Mitgliedstaaten zwei Jahre Zeit, um ihre nationalen Rechtsvorschriften anzupassen, und die betroffenen Unternehmen – hauptsächlich öffentliche Verwaltungen, große private Dienstleistungsunternehmen sowie Banken und Finanzintermediäre – haben die gleiche Zeit sich an die neuen regulatorischen Rahmenbedingungen anzupassen, die jedoch recht anspruchsvoll und nicht frei von problematischen Aspekten sind.
Der weite Bereich der den Bürgerinnen und Bürgern zuerkannten Rechte sorgt in der Tat für eine starke Verantwortung der Unternehmen und die Notwendigkeit, organisatorische Eingriffe vorzunehmen, die einen großen Teil der Unternehmensstruktur betreffen. Aus rein operativer Sicht bedeutet das Gesagte eine erhebliche Kostensteigerung, die durch die Umstrukturierung interner Prozesse und die Implementierung von IT-Verfahren erforderlich wurde, die den neuen Anforderungen im Umgang mit Kundeninformationen gerecht werden.
Eine belastende Verpflichtung in diesem Sinne betrifft beispielsweise die Einführung der Verpflichtung für jedes interessierte Unternehmen, im Laufe der Zeit eine zeitnahe und vollständige Aufzeichnung der unter seiner Verantwortung durchgeführten Aktivitäten in Bezug auf die Verarbeitung von Kundendaten zu führen. In Bezug auf die Kreditvergabe birgt diese Bestimmung das Risiko, besonders komplexe und ungerechtfertigte Vorgehensweisen in einem Tätigkeitskontext einzuführen, der im Laufe der Jahre keine konkreten Konfliktanlässe in der Beziehung zwischen Privatpersonen und Banken bot.
Eine weitere Verpflichtung für Unternehmen betrifft die Notwendigkeit, neue und spezifische interne berufliche Fähigkeiten zu erwerben, wie beispielsweise diejenige, auf die sich die Figur des „Datenschutzbeauftragten“ bezieht, der notwendigerweise in den Unternehmen vorhanden sein muss, in denen die Verarbeitung von Informationen mit spezifischen Risiken verbunden ist .
Die Verordnung erkennt darüber hinaus den Bürgern das Recht zu, sich von einer gemeinnützigen Einrichtung vertreten zu lassen, deren Tätigkeit als im öffentlichen Interesse liegend anerkannt ist, die in diesem Fall eine Beschwerde einreichen und Schadensersatz im Namen der Kunden geltend machen kann von Verstößen gegen die Bestimmungen der Verordnung selbst. Diese Regulierungsbestimmung birgt die Gefahr, dass Privatpersonen Klagen gegen Unternehmen „begünstigen“, in der Hoffnung, eine „einfache“ Entschädigung zu erreichen, die durch Bestimmungen ermöglicht wird, die speziell zum Schutz der Rechte einer der Streitparteien konzipiert wurden.
Schließlich muss eine beträchtliche Erhöhung der finanziellen und administrativen Sanktionen hervorgehoben werden, die durch das neue System vorgesehen sind, die maximal 20 Millionen Euro oder bis zu 4 % des jährlichen Gesamtumsatzes der für die Datenverarbeitung verantwortlichen Stelle erreichen können; außerdem steht es jedem Mitgliedstaat frei, weitere und einschneidendere Sanktionen zu verhängen.
Wir werden daher in naher Zukunft sehen, wie der nationale Gesetzgeber bei der Umsetzung des neuen Regulierungssystems konkret vorgehen wird, im Vertrauen darauf, dass die richtigen Anforderungen in Bezug auf den Schutz der Privatsphäre der Bürger angemessen mit den ebenso wichtigen Bedürfnissen von Unternehmen und Banken in Einklang gebracht werden übermäßige Belastungen in einer korrekten Perspektive von Verhältnismäßigkeit und Ausgewogenheit, insbesondere im aktuellen Krisenkontext, der durch die kontinuierliche Verbreitung von Aufsichtsregeln gekennzeichnet ist, die allmählich verbindlicher und allgegenwärtiger werden.
