News

Privacy

Il nuovo regolamento Europeo (Ue) 679/2016 prevede diversi adempimenti di cui dovranno farsi carico i titolari del trattamento. Viene così concretizzato il principio di accountability: sarà onere di coloro che trattano i dati adottare (e saperne dar prova) le misure adeguate per il loro corretto trattamento.

Il 25 maggio entrerà in vigore la nuova disciplina sulla protezione dei dati personali. Trattasi del Regolamento UE n. 679/2016, composto da 99 articoli che vanno letti in stretta connessione con 173 considerando, indispensabili per la corretta applicazione della normativa.
Il regolamento è posto a tutela dei dati personali relativi alle persone fisiche che siano all’interno dell’Unione Europea e sarà direttamente applicabile a tutte le persone giuridiche operanti negli Stati Membri (i c.d. Titolari del trattamento). Qualsiasi azienda, infatti, nell’ambito delle proprie attività, effettua trattamenti di dati personali (basti pensare al trattamento dei dati dei propri dipendenti) e sarà perciò tenuta ad adeguarsi alle nuove prescrizioni.
Con questo testo normativo il Legislatore Europeo chiede a tutti coloro che trattano dati personali di prendere coscienza dell’importanza del lecito trattamento di essi. Ciò ha importanza tanto per il soggetto interessato dal trattamento, quanto per il soggetto che effettua il trattamento stesso.
Si deve sottolineare, infatti, che il regolamento è stato creato alla luce di una più generale Strategia per il Mercato Unico Digitale in Europa. Emerge la necessità di garantire ai soggetti commerciali europei la possibilità di sfruttare in maniera decisamente migliore le notevoli opportunità offerte dalle tecnologie digitali e poter condurre l’Europa in testa all’economia digitale globale.
Tra le novità più di rilievo per le aziende, segnaliamo:
- il registro dei trattamenti dei dati personali;
- l’obbligo di effettuare una “Analisi dei rischi” relativamente ai trattamenti effettuati;
- la facoltà (che in alcuni casi diventa obbligo) di nominare un Data Protection Officer (il c.d. DPO) interno o esterno all’azienda;
- la definizione di un modello di organizzazione della società con ruoli e responsabilità in ambito privacy;
- l’adeguata formazione del personale per il corretto trattamento dei dati;
- la progettazione dei sistemi aziendali secondo gli standard “Privacy by design” e “Privacy by default”;
- l’obbligo di riscontro tempestivo (massimo un mese) alle richieste degli interessati conseguenti l’esercizio dei loro diritti;
- l’obbligo di predisporre una procedura per la notifica al Garante della Privacy delle violazioni dei dati personali subite (c.d. data breach), entro 72 h da quando se ne ha conoscenza.
È ragionevole presumere che in un primo momento le ispezioni dell’Autorità Garante saranno limitate ad aziende il cui core business è strettamente correlato al trattamento dei dati (aziende di banche dati, di e-commerce, di telecomunicazioni, etc.).
Tuttavia, è opportuno che tutte avviino un programma di adeguamento aziendale alla nuova normativa, sia in considerazione delle rilevanti sanzioni previste dal Regolamento (sino a € 20.000.000,00 o al 4% del fatturato), sia in virtù del nuovo e fondamentale principio di responsabilizzazione (c.d. accountability) posto in capo a tutti i Titolari del trattamento.
L’adeguamento aziendale deve avvenire secondo un piano programmatico, che preveda:
- l’adeguamento giuridico, attraverso la predisposizione della documentazione e dei registri;
- l’adeguamento organizzativo, attraverso la predisposizione di un “modello organizzativo privacy”;
- l’adeguamento informatico, in particolare per le aziende maggiormente strutturate e che trattano dati personali su larga scala.
Per la definizione, progettazione ed attuazione di tale piano possono essere necessari anche alcuni mesi, considerato che esso deve essere personalizzato ed adeguato alle differenti specificità di ogni impresa.
Il processo di adeguamento richiederà l’analisi di documenti quali l’organigramma, il documento programmatico sicurezza (se presente), l’elenco degli applicativi e dei software aziendali e dei relativi contratti con i fornitori. Tutto ciò renderà necessario il coinvolgimento di referenti aziendali specifici, soprattutto in fase di mappatura iniziale dei trattamenti di dati svolti dall’azienda.
Nelle fasi successive a quelle relative all’iniziale adeguamento, i Titolari saranno poi tenuti a garantire che tale conformità permanga e, quindi, a provvedere agli aggiornamenti necessari nel caso in cui si verifichino dei cambiamenti nelle modalità di svolgimento dei trattamenti.