GDPR - Regolamento generale sulla protezione dei dati

G.D.P.R.

Regolamento Generale sulla Protezione dei Dati (Regolamento UE 2016/679)

General Data Protection Regulation


Il trattamento dei dati personali è un fenomeno di estrema attualità nella società moderna e non vi è ormai impresa in grado di coltivare il proprio successo omettendo l’utilizzo delle nostre informazioni.

Ma se è vero che l’economia digitale attinge ormai a piene mani dai nostri dati, deve esserci assicurato che le potenzialità economiche conseguenti all’utilizzo degli stessi siano proporzionali alla liceità del loro trattamento.

Da qui è sorta l’esigenza di un Regolamento Europeo in tema di privacy che vada a sostituire/modificare la precedente normativa (D. Lgs. n. 196/2003), normativa non più in grado di reggere il peso dei macroscopici cambiamenti in materia occorsi negli ultimi decenni (basti pensare che la nascita di un incredibile acceleratore di informazioni, meglio noto come Facebook, risale all’anno 2004 ed è dunque successivo alle norme attualmente in vigore).

Sebbene la nuova normativa si presti ad essere interpretata da molti come l’ennesimo obbligo burocratico idoneo a rallentare l’attività di impresa o a gravarla di ulteriori costi, gli obiettivi in realtà sono ben altri. Da una parte vi è infatti l’intento di accrescere la fiducia dei consociati attraverso una più marcata tutela del trattamento dei propri dati; dall’altra vi è quello di favorire una maggior confidenza nell’economia digitale ed incentivare il vantaggio competitivo tra aziende creando un mercato digitale europeo uniforme.

Che cos’è il G.D.P.R. e quando è entrato in vigore?

Il Regolamento Generale sulla Protezione dei Dati è una normativa che ha sostituito ed in parte integrato il codice della Privacy. Effetti dello stesso sono quelli di definire un nuovo standard di protezione dei dati personali, intesi come qualunque informazione, di natura privata, professionale o pubblica, relativa ad un individuo.

In vigore dal 25 Maggio 2018  ed è stato armonizzato in Italia con il D.Lgs 101/2018.

Il G.D.P.R. si applica alla Tua attività?

Se raccogli dati dai tuoi clienti, scambi informazioni con i tuoi fornitori o semplicemente tratti i dati personali dei tuoi dipendenti (ad es. buste paga, curriculum vitae ecc.), la risposta al quesito è positiva e hai la necessità di approfondire il tema in argomento.

Cosa impone di fare il G.D.P.R.?

Il nuovo Regolamento detta alle persone giuridiche le linee guida finalizzate a garantire la tutela e trasparenza dei dati personali, sin dalle fasi della loro raccolta (c.d. “privacy by design”) all’eventuale trattamento ed anche successivamente allo stesso.

Non fornisce però indicazioni precise in merito alle misure pratiche da adottare con la conseguenza che l’approccio deve essere valutato caso per caso tenendo in considerazioni vari fattori quali la natura, l’ambito di applicazione, il contesto e la finalità del trattamento.

A tal proposito ciascuna impresa deve:

  • garantire ai titolari dei dati un pieno controllo degli stessi attraverso l’informazione, l’accesso, la rettifica, la portabilità, la cancellazione degli stessi (c.d. oblio), la limitazione del trattamento e il diritto di opposizione allo stesso;
  • garantire agli interessati la tracciabilità degli scambi dei propri dati con soggetti terzi;
  • nominare, laddove il trattamento venga effettuato su larga scala e/o abbia ad oggetto dati sensibili (es. giudiziari, sanitari, afferenti all’origine razziale, etnica di un individuo ecc.), un Responsabile della Protezione dei Dati (Data Protection Officer);
  • formare il proprio personale attraverso corsi, processi, procedure, policy e tecnologie di sicurezza;
  • segnalare tempestivamente all’Autorità Garante del Trattamento dei Dati eventuali violazioni (c.d. Data Breach);
  • eseguire una “valutazione d’impatto sulla protezione dei dati” allorquando un tipo di trattamento presenti un rischio elevato per i diritti e le libertà delle persone fisiche. 

Esistono sanzioni per il mancato rispetto delle norme fissate dal Regolamento?

Le sanzioni esistono e sono decisamente aspre. L’articolo 83 del Regolamento prevede infatti che il trasgressore debba sborsare sino ad € 20.000.000,00 per determinate infrazioni o, per le imprese, somme pari al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore.

Cosa devo fare per adeguare la mia impresa al Regolamento?

Come osservato poc’anzi le misure pratiche da adottare variano molto a seconda delle dimensioni dell’impresa, del tipo di dati trattati, del settore merceologico d’interesse e dal livello di rischio connesso all’impresa stessa.

Per essere “compliance” è dunque fondamentale eseguire un’accurata indagine della singola realtà aziendale che non può prescindere dai seguenti step.

In primo luogo occorre verificare la modalità di acquisizione, trattamento ed archiviazione dei dati personali e redigere conseguentemente un elaborato di sintesi in grado di evidenziare eventuali lacune operative e/o documentali, le procedure aziendali non conformi alle disposizioni del G.D.P.R.,

In seconda battuta occorre intervenire operativamente rielaborando i processi amministrativi/produttivi non conformi al dettato europeo anche attraverso nuova redazione di documenti, contratti, informative ed ogni altro documento.

In ultima istanza è necessario impartire una formazione specifica al Titolare/i, al Responsabile/i e all’incaricato/i del trattamento dei dati mediante.

Conformarsi al nuovo Regolamento è attività senz’altro complicata. E’ quindi consigliabile rivolgersi a validi consulenti ed esperti del settore in grado di indicare i passaggi necessari all’adeguamento della normativa in tempi ragionevoli e soprattutto senza stravolgere la propria missione aziendale, ossia quella di generare profitto.