General Data Protection Regulation
Il 24 Maggio 2016 è entrato ufficialmente in vigore il Regolamento Europeo sulla Privacy 2016/679 – anche noto come GDPR (General Data Protection Regulation) – che abroga la ventennale Direttiva 95/46/CE sulla protezione dei dati personali ed affianca la normativa nazionale in materia privacy contenuta nel D.lgs. 196/2003 (Codice privacy).
Con l’adozione del nuovo Regolamento privacy si è inteso creare un quadro giuridico armonizzato e garantire un’applicazione uniforme delle regole in materia di trattamento dati su tutto il territorio dell’Unione Europea, al fine di sviluppare il mercato unico europeo e rafforzare la protezione dei diritti degli interessati.
I vantaggi di avere una normativa unica in Europa sono enormi.
Si pensi ad una società che opera in Spagna ed offre servizi o prodotti che poi vengono venduti, magari online, anche in Germania. In assenza di una normativa unificata la società avrebbe dovuto rispettare sia le leggi sulla privacy spagnole sia quelle tedesche. Con il Regolamento questo non accadrà più in quanto ogni stato europeo avrà una disciplina armonizzata.
Normativa GDPR
Le disposizioni del GDPR saranno direttamente applicabili in tutti gli Stati membri a partire dal prossimo 25 Maggio 2018.
È stato infatti previsto un periodo di transizione di due anni dall’entrata in vigore del regolamento (entrato in vigore già dal 2016) al fine di permettere agli Stati membri ed alle imprese interessate di conformarsi al nuovo quadro giuridico attraverso l’adozione delle misure tecniche e giuridiche adeguate.
Sebbene le disposizioni del Regolamento saranno direttamente applicabili nel territorio degli Stati membri, i vari legislatori nazionali sono chiamati ad adottare una serie di previsioni legislative volte ad abrogare le disposizioni nazionali incompatibili con quelle contenute nella nuova normativa europea e a modificare o coordinare le restanti al fine di darvi piena attuazione.
Da parte loro, le imprese italiane e le imprese straniere che trattano affari con l’Unione Europea dovranno adeguare la loro struttura aziendale in modo conforme al Regolamento entro il 25 maggio, attraverso un lavoro di adeguamento ingente e spesso costoso, in quanto la nuova normativa europea ha radicalmente rivoluzionato l’approccio nella gestione della privacy aziendale.
Il Regolamento Europeo sulla privacy 2016/679 rappresenta una rivoluzione copernicana nel sistema di gestione della privacy.
Si passa infatti da un sistema che prevedeva il rispetto di alcuni obblighi e la predisposizione di alcuni documenti ad un sistema in cui ciò che conta di più è il processo di gestione della privacy.
Non basta più fare l’analisi una volta sola, preparare tutto ciò che serve e poi lasciare che tutto scorra.
È invece necessario impostare una procedura di gestione, a cui certamente sono collegati tutta una serie di documenti, che deve essere costantemente monitorata, verificata e migliorata.
La gestione della privacy diventa un processo aziendale e come tale deve essere trattata. Le aziende ed i professionisti devono prendere atto di questo cambiamento, cambiare mentalità e prepararsi a gestire in modo adeguato i dati personali.
Uno dei principi fondamentali del Regolamento è infatti la “accountability” ovvero la responsabilizzazione di chi tratta i dati che deve essere non solo coscienzioso nel trattamento ma deve essere sempre in condizione di dimostrare di sapere dove si trovano i dati, come vengono trattati e di poterli cancellare, aggiornare e trasferire se richiesto dal titolare del trattamento.
Allo stato attuale molte imprese e molti professionisti non hanno affatto consapevolezza di quali dati stiano trattando, di chi li stia trattando e di dove siano conservati.
Certamente sanno (o dovrebbero sapere) che stanno trattando dati dei clienti e che magari li gestisce la segretaria, ma non sanno dove fisicamente questi dati si trovano. A pensarci meglio ci si può accorgere che questi dati sono stati magari trasmessi tramite email o che sono stati consegnati ad uno spedizioniere che a sua volta li ha archiviati nei propri sistemi gestionali o magari sono finiti all’interno di una mailing list con cui vengono inviate offerte commerciali da parte di un gestore che si trova chissà dove.
I dati circolano molto più rapidamente di quanto si pensi ed è molto facile perderne il controllo nonostante le cautele. Le imprese devono quindi adottare un processo ed un metodo di gestione della privacy che consenta loro di potere avere il controllo sui dati, evitare di perderli e poterli rettificare o cancellare se del caso.
Ad indirizzarle nel lavoro di adeguamento, si segnalano numerosi interventi e provvedimenti del Garante privacy italiano, oltre che del Gruppo di lavoro ex art. 29 che riunisce le autorità di controllo europee, con i quali sono state fornite – e ancora lo saranno – delle linee guida interpretative sui passaggi salienti del Regolamento.
Le disposizioni contenute nel GDPR si applicano sia alle imprese europee sia alle imprese extra-UE che hanno uno stabilimento o un rappresentante nell’Unione, a prescindere dal fatto che il trattamento sia effettuato o meno all’interno dell’Unione. Si applicheranno inoltre alle imprese che hanno uno stabilimento fuori dall’Unione, ma svolgono attività di monitoraggio o profilazione degli interessati o un’offerta di beni e servizi nell’Unione, anche a titolo gratuito, nella misura in cui tali attività siano rivolte a soggetti che si trovano nel territorio dell’Unione.
Il Regolamento sarà applicato ad ogni trattamento di dati personali, incluso anche la sola consultazione.
Per dato personale si intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile» che nel Regolamento prende il nome di “interessato” del trattamento.
La gestione della privacy prospettata dal Regolamento è fondata sul principio di responsabilizzazione (cd. accountability) ed è basata su un approccio proattivo da parte del titolare, che dovrà dimostrare, ai fini della compliance, di avere fatto tutto il possibile per trattare i dati in modo sicuro.
Non sarà dunque più sufficiente, come in passato, dimostrare la conformità legata al rispetto di determinate previsioni normative, ma sarà al contrario necessario adottare dei modelli di gestione basati su un flusso di controllo interno e sulla revisione delle procedure tese al costante aggiornamento e miglioramento del trattamento.
Il periodo di transizione è quasi giunto al termine e la data di definitiva implementazione del Regolamento privacy è ormai alle porte.
Per i titolari del trattamento che ancora non sia siano adoperati per rivedere la propria privacy interna, si consiglia di dare avvio al lavoro di adeguamento nel minor tempo possibile, pena il rischio di incorrere in pesanti sanzioni amministrative.
Se vuoi avere maggiori informazioni sull’argomento o avere una consulenza specifica per la tua azienda in merito al trattamento dei dati personali e al regolamento GDPR, allora chiama il numero 055.552.0647 o scrivi una mail all’indirizzo [email protected].