Il Regolamento generale sulla protezione dei dati (Regolamento Ue 2016/679), noto come GDPR (General Data Protection Regulation) rappresenta ormai, a partire dal 25 maggio 2018, la normativa di riferimento sulla privacy nel nostro ordinamento. Il legislatore nazionale, esercitando – seppur con ritardo – la delega contenuta all’art. 13 della l. 25 ottobre 2017 n. 163, ha emanato il d. lgs. 10 agosto 2018, n. 101, al fine di armonizzazione la disciplina della privacy italiana al Regolamento Ue. Nell’ottica di semplificare l’applicazione del Regolamento europeo, si è ritenuto di novellare il Codice in materia di protezione dei dati personali (d. lgs. 30 giugno 2003, n. 196), garantendo la continuità con la vecchia disciplina attraverso una fase transitoria.
Cosa cambia per le aziende?
È senz’altro innegabile che il GDPR si muove lungo un rigoroso tracciato che porta alla responsabilizzazione delle aziende (accountability). I “titolari del trattamento” (data controller), cioè le aziende, sono tenute ad adeguarsi e rivedere le modalità di trattamento dei dati personali delle persone fisiche, rispettando le scelte dei singoli individui rispetto ai propri dati, indipendentemente da dove i dati vengono inviati, trattati o archiviati.
È questo un cambiamento importante, che interesserà profondamente aziende di ogni tipo e di ogni dimensione.
Sotto i riflettori, soprattutto la figura del DPO (Data Protection Officer) e, cioè, del soggetto che – per le proprie competenze professionali e per svolgere compiti di consulenza, verifica e controllo in materia – deve essere nominato non solo nelle pubbliche amministrazioni, ma anche nelle imprese che, su larga scala, richiedono il monitoraggio sistematico di grandi quantità di dati o di dati sensibili.
Ma gli adempimenti introdotti dal GDPR non finiscono qui. La nuova normativa sulla privacy impone obblighi relativi alla raccolta, archiviazione e l’uso delle informazioni personali, tra cui le modalità per:
• Identificare e proteggere i dati personali nei sistemi
• Soddisfare nuovi requisiti di trasparenza
• Rilevare e segnalare violazioni dei dati personali
• Formare personale e dipendenti che si occupano di privacy
I sei principi della GDPR:
1. Necessità di trasparenza nella gestione e nell’uso dei dati personali
2. Limitazione del trattamento dei dati personali a scopi legittimi specifici
3. Limitazione della raccolta e dell’archiviazione dei dati personali a scopi specifici
4. Possibilità per i singoli individui di correggere i propri dati personali o richiederne l’eliminazione
5. Limitazione dell’archiviazione dei dati personali per il solo tempo necessario allo scopo per cui sono stati raccolti
6. Assicurare che i dati personali siano protetti attraverso pratiche di sicurezza appropriate
Ambito di applicazione del GDPR:
È importante sottolineare l’approccio “espansionistico” della nuova disciplina, poiché essa si estende anche alle ipotesi in cui il titolare del trattamento non sia stabilito nell’Unione Europea, ma l’offerta di beni e di servizi, oppure il monitoraggio dei comportamenti, riguardi persone presenti all’interno dell’Unione stessa.
Più esemplificativamente, il GDPR è efficace, non solo nei confronti delle imprese “europee”, ma anche nei confronti di quelle “extra-UE”, quante volte trattano dati di soggetti residenti all’interno della UE. Con l’inevitabile conseguenza che le imprese “straniere” saranno quindi costrette ad adattarsi alla normativa europea, qualora decidano di trattare dati di cittadini UE.
Sanzioni
Nel breve periodo ogni azienda dovrà quindi sollecitarsi ad adottare le misure più adeguate al raggiungimento degli obiettivi di conformità. A meno che non vorrà incorrere in pesanti sanzioni e procedimenti penali, anche questi rivisti dal nuovo regolamento, con conseguenti perdite in termini economici e di reputazione.
In caso di mancato rispetto di queste norme, il GDPR consente alle autorità di protezione dei dati di emettere multe fino a 20 milioni di euro o per il 4% del fatturato mondiale annuo di una società, a seconda di quanto risulti più gravoso per l’azienda sanzionata.
Come procedere per l’adeguamento
Il tempo previsto a disposizione delle aziende al fine di preparare il proprio ambiente e rivedere le procedure di gestione dei dati e della privacy per non rischiare di trovarsi impreparati è scaduto!
Il consiglio che, da operatori del settore, diamo alle imprese è quello di procedere, preliminarmente, ad attivare un processo di analisi, progettazione e sviluppo delle attività.
Data l’ampiezza del perimetro di impatto del GDPR a livello aziendale, è necessario un approccio strutturato e comprensivo di tutte le leve su cui è possibile agire in relazione all’obiettivo di adeguamento.
Si impone, in particolare, una sorta di pre-verifica dei requisiti previsti dal GDPR per poi “calarli” all’interno della specifica realtà aziendale, verificando lo “stato dell’arte”, senza tralasciare le specificità di alcuni settori (come ad es. quello sanitario).
Per orientarsi nel percorso di compliance sarà utile concentrarsi su 4 passaggi fondamentali:
1. Rilevamento (delle minacce; dell’uso accidentale/intenzionale improprio dei dati raccolti)
2. Protezione a più livelli dei dati
3. Gestione dei dati scambiati/raccolti/trattenuti
4. Segnalazione