Il regolamento europeo privacy: di cosa stiamo parlando
Di regolamento europeo privacy se ne sente parlare ovunque, c’è un grande fermento e una grande confusione probabilmente.
Personalmente sento la necessità di un chiarimento, così ho chiesto ad un professionista del settore (dott. Giampietro Peghetti) di aiutarmi in questo.
Partiamo dal principio. Giampietro aiutaci ad inquadrare il tema.
L’Unione Europea (UE) ha modificato le norme sulla protezione dei dati. Le modifiche sono ora legge ed entreranno in vigore in tutta l’UE il 25 maggio 2018.
Le nuove norme sono denominate Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation) e si applicano a tutti, dalle autorità pubbliche alle piccole e medie imprese.
Tali modifiche influenzeranno il modo in cui operiamo nel nostro business.
Cos’è la protezione dei dati per l’Unione Europea?
Nell’UE sono in vigore norme giuridiche per la raccolta e il trattamento dei dati personali. Chiunque raccolga o tratti dati personali deve proteggerli da qualsivoglia uso improprio e rispettare una serie di disposizioni legislative. Il GDPR aggiorna le norme oggi in vigore.
Cosa accadrà esattamente? Cosa prevede il regolamento europeo privacy?
Immaginiamo di ritrovarci il 26 maggio 2018 tranquillamente in ufficio, quando all’improvviso bussa alla porta il Nucleo Speciale Privacy della Guardia di Finanza.
Sono venuti perché un cittadino europeo si è rivolto al suo Garante, oppure anche solo per un semplice controllo, e richiedono se i processi aziendali sono conformi al GDPR, ovvero se il trattamento dei dati personali presenta dei rischi per i diritti e le libertà delle persone fisiche.
Le strade sono due: o si è pronti, oppure —oltre a procedere all’adeguamento— occorrerà mettere mano alla cassa e procedere a pagare le sanzioni amministrative pecuniarie previste dal Regolamento Generale sulla Protezione dei dati (Regolamento UE 2016/679), il cosiddetto GDPR.
Tali sanzioni sono «effettive, proporzionate e dissuasive» (art. 84), «fino a 20 milioni di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore» (art. 83).
Non si scherza, quindi. Cosa è necessario fare?
E’ necessario proteggere tutti i dati personali, ovvero «qualsiasi informazione riguardante una persona fisica identificata o identificabile»: «il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4). Dunque non basta più porre attenzione ai soli dati sensibili.
Il dato diventa un bene che va tutelato (è un asset aziendale), e il titolare diventa il solo responsabile dei trattamenti (principio di accountability): deve dimostrare di di aver valutato i rischi connessi al trattamento dei dati e di aver adottato tutte le misure idonee a garantirne la tutela. Tenendo conto degli strumenti tecnologici a disposizione, dei costi di attuazione e dei rischi, il titolare deve mettere in atto misure tecniche e organizzative adeguate a garantire la protezione dei dati (trattare solo i dati necessari alle proprie finalità e limitarne l’accesso alle sole persone autorizzate). Non è sufficiente avere nel cassetto dei documenti redatti anni prima, oppure affidarsi ad una serie di “caselle da spuntare” come poteva avvenire in precedenza, né può bastare avere password di 8 caratteri per proteggere i propri computer, oppure mettere un allarme, una videocamera e far firmare un plico di fogli ai nuovi dipendenti: occorre che l’intero processo di gestione dei dati (dalla raccolta alla distruzione) sia lecito, trasparente, sicuro, ovvero mantenga le informazioni riservate, integre, disponibili, e a disposizione dell’interessato (che può chiederne la consegna e/o la cancellazione).
Chi si deve sentire coinvolto?
si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione. (art.3)
Cosa suggerisci a questi soggetti?
Per non incorrere in sanzioni, può essere utile rivolgersi ad un consulente esterno: tale figura provvederà a effettuare un’indagine su quali siano le attività di trattamento, analizzerà i rischi ad esse connessi (risk- assessment), verificherà le violazioni (data breach) che si possono subire o che stanno già avvenendo senza alcuna consapevolezza, e supporterà il Titolare nell’implementazione di adeguate misure tecniche e organizzative di protezione.
Il consulente esterno, in qualità di Responsabile della protezione dei dati (DPO), potrà essere utile anche nella redazione delle Informative, dei Consensi, dei Registri dei trattamenti, della Valutazione d’impatto (DPIA), e di tutti gli altri documenti necessari a dimostrare che il titolare sta agendo —responsabilmente— con la diligenza del buon padre di famiglia; potrà inoltre «sorvegliare l’osservanza del Regolamento» e «fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento» (art. 39).
In altri termini, il consulente aiuterà a fare in modo che il 26 maggio 2018 sia, per alcuni versi, un giorno come tutti gli altri.
Grazie Giampietro.
Per avere maggiori dettagli è possibile scaricare gratuitamente un breve compendio, suggeritoci dal dott. Peghetti – Consulente Regolamento UE 2016/679 (GDPR) e Socio Membro FederPrivacy (Iscrizione n. FP-8498).
Compila il form per completare il download: