Privacy, scatta il nuovo Regolamento UE: gli obblighi per le aziende

 

MondoLavoroNew

Il 25 maggio diventerà applicabile il nuovo regolamento comunitario sulla Privacy. Il GDPR (General Data Protection Regulation) porta con sé novità sostanziali che sono destinate a mutare la gestione complessiva della materia. Infatti per garantire maggiore uniformità e rispondere alle nuove necessità dovute all’ingresso delle tecnologie digitali, sarà necessario adottare un sistema organizzativo che prenda in considerazione i livelli di rischio derivanti dal trattamento dei dati personali.

Il Regolamento introduce una serie di novità. Dall’obbligo per le aziende titolari del trattamento dei dati di creare un registro delle attività svolte e di compiere una valutazione di impatto sulla protezione dei dati, alla nuova figura del Data Protection Officer (DPO), che dovrà essere obbligatoriamente presente all’interno delle aziende pubbliche e in tutte quelle dove il trattamento dei dati presenti specifichi rischi. Saranno coinvolte le aziende con più di 250 dipendenti e quelle dove il trattamento dei dati possa presentare un rischio per i diritti e le libertà dell’interessato. 

Tra le novità anche il diritto all’oblio, ovvero la possibilità da parte dell’interessato di richiedere che i propri dati personali siano cancellati e non più sottoposti a trattamento e la portabilità dei dati, la libertà di trasferire i propri dati da un prestatore di servizi a un altro, senza impedimenti.  Precisamente, nel caso in cui i dati personali siano stati raccolti per finalità o tipologie di trattamento per le quali il consenso non è richiesto, gli interessati potranno ottenere la cancellazione solo nel momento in cui i dati non siano più necessari rispetto alle finalità per le quali sono stati raccolti.

L’obbligo di comunicazione al Garante dell’avvenuta violazione dei dati personali sarà oggetto della nuova regolazione in materia di Data Breach e verrà esteso a tutti i titolari e responsabili dei dati. 

Per i trattamenti che prevedono l’utilizzo di nuove tecnologie sarà obbligatorio la Valutazione d’impatto sulla protezione dei dati (DPIA), ovvero una valutazione degli aspetti personali relativi a persone fisiche basato su un trattamento su larga scala.

Maggiore attenzione dovrà essere data pertanto sia alle informative, al consenso e alle modalità di trattamento dei dati, sia alle eventuali richieste dei soggetti a cui i dati si riferiscono. Le nuove disposizioni dovranno essere adottate considerando un impegno progettuale costante in materia di Privacy. In termini teorici, la progettazione dovrà seguire i concetti di "Accountability", ogni impresa deve essere in grado di dimostrare di aver fatto quanto richiesto per mettere in sicurezza i dati personali, di "Privacy by design", tutti i sistemi di trattamento dei dati devono essere progettati nel rispetto della normativa e non solo usati in quel modo e di "Privacy by default", il sistema deve prevedere specifiche tecniche che devono in automatico prevenire eventuali violazioni.

Il totale o parziale mancato adeguamento delle aziende entro il 25 maggio 2018 comporterà la diretta applicazione. Di conseguenza le imprese e i professionisti dovranno adeguare i propri modelli organizzativi alle nuove indicazioni per evitare di incorrere in pesanti sanzioni economiche. Le sanzioni potranno arrivare fino ad un importo di 20 milioni di euro oppure al 4% del fatturato totale mondiale annuo. Il GDPR non sostituisce ma integra l’attuale Codice della Privacy, abrogando solo le parti con esso non compatibili e riguarda tutte le aziende che, avendo uno stabilimento nell’Unione Europea, trattano dati personali indipendentemente dal fatto che il trattamento sia effettuato nell’UE stessa. Con il GDPR le aziende sono chiamate ad attuare un importante cambiamento in termini di consapevolezza. Innovazione tecnologica e le esigenze di business devono fare i conti con gli adempimenti necessari che non si limitano ad una "elenco di azioni" ma necessitano di una progettazione a più ampio respiro. Così come, se da un lato l’introduzione della figura del DPO potrà creare una nuova spinta occupazionale o mobilità nel mercato del lavoro, dall’altro porta alle imprese nuovi costi e oneri.