Regolamento Privacy e DPO: un primo bilancio

privacy e sanzioni

Aumentano gli adempimenti in materia di privacy, e anche i rischi, mentre in Italia la maggior parte delle aziende non è pienamente adempiente alla normativa attualmente in vigore.

A meno di un anno dall’entrata in vigore del nuovo Regolamento Europeo in materia di Privacy (GDPR), uno studio condotto da Federprivacy sulla consapevolezza nel panorama imprenditoriale italiano sul tema, rivela ancora uno status di incertezza.

Cosa cambia

A differenza dell’attuale Codice Privacy (D.Lgs. 196/2003), che ha abituato imprese e professionisti a regole predeterminate ed obblighi definiti in maniera precisa, il nuovo GDPR cambierà radicalmente lo scenario in materia.

Diversi adempimenti non sono definiti dalla legge, ma vengono espressi sotto forma di principi generali, quali, ad esempio, l’obbligo di adeguato trattamento dei dati personali o la verifica di attuare un interesse legittimo senza ledere i diritti delle persone (condizione necessaria ad evitare l’obbligo di richiedere il consenso nel trattamento di dati personali).

Anche per i non esperti questi sono obblighi evidenti, ma alla loro imposizione non seguono indicazioni sul come perseguirli. Il Regolamento lascia sì margini d’azione e libertà maggiori alle imprese, ma ne aggrava le responsabilità: sarà onere dell’imprenditore dimostrare che il trattamento effettuato non lede i diritti altrui.

Consenso al trattamento

Attualmente vige la regola che lo stesso debba essere richiesto in ogni caso, salvo nelle eccezioni normative previste. Con il nuovo regolamento, invece, il consenso andrà richiesto salvo non ci sia un legittimo interesse al trattamento, ma, a differenza del Codice Privacy del 2003, non sono indicati i casi espliciti di esclusione.

Sicurezza informatica

Attualmente l’allegato B al Codice Privacy contiene l’elenco delle misure minime di sicurezza atte a dimostrare il corretto adempimento imposto dalla normativa a tutela della Privacy. Nel Regolamento, invece, si richiede solo un generale obbligo di adottare misure “tecniche ed organizzative necessaria ad evitare un attacco informatico”, senza specificare quali debbano essere.

A far data dal 25 Maggio 2018, l’aumento della libertà corrisponderà proporzionalmente con un progressivo aumento di responsabilità.

In tal senso, sarà necessario:

  • dotarsi di un dossier che monitori ogni trattamento effettuato;
  • effettuare un’adeguata analisi dei rischi;
  • valutare l’adeguamento del proprio sistema di gestione della Privacy;
  • rivisitare le informative ed i consensi sinora utilizzati.

Cosa si rischia

Attenzione perché le modifiche attuate dal nuovo Regolamento riguardano anche le sanzioni, molto più elevate rispetto all’attuale codice.

E’ infatti previsto solo il limite massimo, elevatissimo (fino a 10 – 20 milioni, a seconda della violazione) e i controlli, come avviene già oggi, saranno eseguiti nella maggioranza dei casi dalla Guardia di Finanza, sulla base di un piano annuale o di segnalazioni (da tempo è stato istituito un nucleo speciale dedicato ai controlli in materia Privacy).

Il problema di tutti è arrivare al 25 maggio 2018 mettendosi il più possibile al sicuro, soprattutto in presenza di adempimenti non formali imposti che non consentono di immunizzarsi completamente dal rischio legale.

Sanzioni molto più elevate: fino a 20 milioni a seconda della violazione

Cosa fare

Nell’ambito dello studio condotto da Federprivacy, un dato significativo, è che a poco meno di un anno dalla scadenza per adeguarsi al Regolamento Europeo, su un campione di 1000 realtà imprenditoriali, il 32% degli intervistati non sa ancora se la propria azienda rientra o no nell’obbligo di nominare un Data Protection Officer, e in ogni caso il 72% delle aziende non lo ha ancora nominato.

In molti dovranno, perciò, rivolgersi a un consulente in materia Privacy, un DPO che possa costituire il collante tra l’attività imprenditoriale dell’impresa e la normativa europea di imminente attuazione: non a caso le multinazionali si stanno già preoccupando di nominarne uno, adeguando informative e consensi in modo corretto, acquisire le necessarie autorizzazioni al trattamento dati ed agli adempimenti imposti.

Il problema maggiore in Italia, però, riguarderà le piccole e medie imprese, fino agli studi professionali: per loro si apre una vera e propria finestra di incertezza.

Calendar
dicembre: 2018
L M M G V S D
« Giu    
 12
3456789
10111213141516
17181920212223
24252627282930
31  
Social