Nuove norme privacy - GDPR

2017-11-07

Nuove norme privacy:

General Data Protection Regulation (GDPR)

Il nuovo regolamento UE 2016/679 in materia di privacy è in vigore dal 25 maggio 2016 e diventerà pienamente operativo il 25 maggio 2018.

I contenuti del Regolamento sono piuttosto complessi e pongono al centro degli adempimenti aziendali una nuova filosofia applicativa, mirata in assoluto alla protezione e garanzia dell’individuo, attraverso una migliore gestione dei dati personali e nuovi metodi di riduzione delle informazioni individuali, limitate all’essenzialità.

La scadenza per ottemperare al nuovo Regolamento si avvicina e, soprattutto nelle piccole e medie imprese, ciò è motivo di preoccupazione, sia in ordine all’aspetto innovativo della norma, sia perché, a nostro avviso, con l’eliminazione da parte del governo Monti dell’obbligatorietà per le aziende della redazione del D.P.S. (documento programmatico sulla sicurezza dei dati) e degli aggiornamenti annuali, le imprese hanno perso tracciabilità e storicizzazione dei sistemi informatici interni e, probabilmente, dell’osservanza dei metodi di trattamento, conservazione e diffusione dei dati.

La valutazione dell’impatto privacy

Per adempiere al nuovo Regolamento, si renderà necessario effettuare allo stato attuale un’approfondita valutazione degli impatti privacy (PIA – Privacy Impact Assessment) in materia di sicurezza dati, riconciliando il significato delle principali terminologie in materia, quali: trattamento, dato personale, dato “particolare” (termine sostitutivo dell’aggettivo “sensibile”).

Norme di comportamento

Finalità del Regolamento, considerati gli enormi volumi di dati che circolano su piattaforme web, motori di ricerca e social networks, è obbligare le imprese ad una maggiore attenzione e trasparenza nel trattamento dei dati, migliorarne i livelli di protezione su base permanente e prevenire ogni forma di violazione; in proposito, è previsto che in caso di violazione (breach data) si rende obbligatoria una notifica al Garante entro 72 ore dall’accertamento e, contestualmente, al diretto interessato, qualora la violazione ne rechi danno.

L’osservanza del GDPR non potrà più considerarsi un adempimento, ma dovrà configurarsi quale un vero e proprio processo aziendale, che inciderà sull’organizzazione di tutte le imprese.

La norma prevede l’introduzione di una nuova figura, il Responsabile per la Protezione dei Dati (RPD) o Data Privacy Officer (DPO), soggetto in possesso di adeguate competenze, che non svolge solo ruoli di controllo formale, bensì è di supporto strategico alle decisioni operative del Titolare; tale figura è obbligatoria per le imprese con più di 100 dipendenti, sebbene pur in assenza di obbligatorietà, se ne consiglia la nomina.

Attraverso le linee guida in corso di emanazione dal Garante si avranno maggiori ragguagli sull’adozione del nuovo Regolamento, atteso che le sanzioni in caso di violazione (accertate dopo il 25 maggio 2018) saranno piuttosto elevate: fino a 20 milioni di euro per i privati e le imprese non facenti parte di Gruppi e fino al 4% del fatturato (consolidato) per i Gruppi societari.