Casi veinte años después de la entrada en vigor de la primera ley italiana en materia de privacidad, el pasado mes de mayo se publicó el reglamento europeo que integra sustancialmente la legislación en la materia. El objetivo es reconocer un mayor y más uniforme nivel de protección de los datos personales y garantizar a los ciudadanos un mayor control sobre el uso de la información que les concierne.
Aunque no es necesario transponer el reglamento, los Estados miembros disponen de dos años para adaptar su legislación nacional, y las empresas afectadas, en su mayoría organismos de la administración pública, grandes empresas privadas prestadoras de servicios, así como bancos e intermediarios financieros, tienen la misma disponibilidad de tiempo. adaptarse al nuevo marco regulatorio, que sin embargo es bastante exigente y no exento de aspectos problemáticos.
El amplio ámbito de derechos reconocidos a los ciudadanos prevé de hecho una fuerte responsabilidad de las empresas y la necesidad de proceder con intervenciones organizativas que involucran a gran parte de la estructura empresarial. En términos estrictamente operativos, lo dicho se traduce en un incremento sustancial de los costos, necesarios por la reestructuración de los procesos internos y la implementación de procedimientos informáticos destinados a atender las nuevas necesidades en el manejo de la información de los clientes.
Un compromiso oneroso en este sentido se refiere, por ejemplo, a la introducción de la obligación para cada empresa interesada de mantener en el tiempo un registro oportuno y exhaustivo de las actividades realizadas bajo su responsabilidad en relación con el tratamiento de datos de clientes. En lo que se refiere al crédito, esta disposición conlleva el riesgo de introducir modalidades operativas especialmente complejas e injustificadas, en un contexto de actividad que a lo largo de los años no ha presentado ocasiones concretas de conflicto en la relación entre particulares y bancos.
Otro compromiso de las empresas se refiere a la necesidad de adquirir nuevas y específicas competencias profesionales internas, como la referida a la figura del “Delegado de Protección de Datos” que necesariamente deberá estar presente dentro de las empresas en las que el tratamiento de la información conlleve riesgos específicos.
El reglamento, además, reconoce a los ciudadanos el derecho a ser representados por una entidad sin ánimo de lucro, cuya actividad se reconozca de interés público, que podrá presentar una denuncia y ejercer la indemnización de daños y perjuicios en nombre de los clientes en caso de de infracciones a lo dispuesto en el propio reglamento. Esta disposición reglamentaria presenta el riesgo de "fomentar" los litigios de los particulares contra las empresas, con la esperanza de obtener una compensación "fácil" posibilitada por disposiciones concebidas con el objetivo específico de proteger los derechos de una de las partes en litigio.
Por último, cabe destacar un aumento considerable de las sanciones pecuniarias y administrativas previstas por el nuevo sistema, que podrán alcanzar un máximo de 20 millones de euros o hasta el 4% de la facturación total anual del responsable del tratamiento de datos; además, cada Estado miembro tiene la libertad de adoptar sanciones adicionales y más incisivas.
Veremos, por tanto, en un futuro próximo cómo procederá concretamente el legislador nacional en la transposición del nuevo sistema normativo, confiando en que los requisitos adecuados relacionados con la protección de la privacidad de los ciudadanos se concilian adecuadamente con las necesidades igualmente importantes de empresas y bancos para operar sin cargas excesivas, en una correcta perspectiva de proporcionalidad y equilibrio, especialmente en el actual contexto de crisis marcado por la continua proliferación de normas prudenciales, que poco a poco son más vinculantes y generalizadas.
