Nonostante il tempo per adeguarsi alla normativa europea sia scaduto ormai quasi sei mesi fa sono ancora molte le imprese che devono adeguarsi al nuovo regolamento europeo in materia di privacy. Vediamo quali sono i passi fondamentali da compiere per un corretto adeguamento al GDPR.

Negli ultimi mesi si è parlato molto del General Data Protection Regulation (GDPR), ovvero del Regolamento Europeo 2016/679 entrato in vigore nel 2016, ma divenuto applicabile per espressa previsione normativa solo a decorrere dal 25 maggio scorso. Il GDPR rappresenta, ad oggi, l’unificazione della normativa europea in materia di privacy a cui devono necessariamente adeguarsi tutti i titolari del trattamento di dati personali appartenenti a soggetti residenti nell’Unione Europea.

E’ necessario prestare molta attenzione perché in ogni realtà aziendale, grande o piccola che sia, vi è, di fatto, un trattamento di dati personali.

Le aziende avrebbero dovuto adeguarsi alla normativa europea entro il 25 maggio 2018 ma, la procedura di adeguamento (nota anche come privacy compliance) in molti casi è ancora in corso.

Un prerequisito della privacy compliance riguarda la consapevolezza della normativa. A tal proposito l’art. 24 del GDPR afferma: “Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la propria autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione Europea o degli Stati membri.”

In altre parole, il trattamento dei dati personali deve essere letto come un fattore di rischio aziendale, di cui è indispensabile avere consapevolezza. A tal proposito, il capo IV del GDPR stabilisce una serie di prescrizioni per il titolare ed il responsabile del trattamento che sono tenuti a mettere in atto “misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento” (art. 24 par. 1 e art. 28 par. 1 GDPR). Sul titolare grava il c.d. principio di responsabilizzazione (accountability) che consiste nell’obbligo di garantire il rispetto dei principi in materia di trattamento dei dati.

Per iniziare la procedura di adeguamento, in primo luogo è necessario porre in essere un’attività diagnostica, finalizzata a definire quali siano le informazioni necessarie per una corretta compliance. In tale contesto il primo obiettivo delle imprese che intendono adattarsi al GDPR è quello di definire la roadmap, ovvero un documento che delinea tutte le operazioni di adattamento che devono essere effettuate, indicando, per ogni singola operazione, il relativo termine di adempimento.

La roadmap dovrebbe schematizzare almeno i seguenti elementi: strutture e uffici, soggetti coinvolti nel trattamento, cultura e competenza, processi e regole anche in rifermento alla gestione dei sistemi informativi, tecnologici e strumenti per la gestione della sicurezza informatica, sistemi di controllo, sistemi di internal audit, documentazione sul trattamento dei dati.

Una volta avviato il processo formativo, è possibile entrare nel vivo della strutturazione di un programma di compliance efficace. Sarà quindi indispensabile esaminare la situazione attuale, propria della singola realtà aziendale, studiando con attenzione il trattamento dei dati in relazione al campo di operatività dell’impresa. Si tratta dunque di una valutazione che deve essere effettuata necessariamente con riferimento al singolo contesto aziendale.
Vi sono, però, delle informazioni comuni alle differenti realtà, quali i dati personali di consumatori e del personale, le modalità di raccolta dei dati personali, le modalità di accesso e di conservazione dei dati, i rischi derivanti dal trattamento, i rischi derivanti dal mercato geografico in cui opera l’impresa, le problematiche dipendenti dal mercato internazionale (ad esempio la lingua in cui deve essere fornita l’informativa), l’uso dei dati come, ad esempio, l’uso pubblicitario dello stesso o la sua condivisione con terze parti interessate.

Una valutazione di questo tipo deve avere un carattere continuativo, come stabilito anche dall’art. 24 par. 1 del GDPR che, in relazione alle misure attuate dal titolare del trattamento afferma “Dette misure sono riesaminate e aggiornate qualora necessario”.

In ogni caso, le attività compiute dal titolare del trattamento devono essere ispirate ai principi individuati dall’art. 5 del GDPR e di seguito elencati: liceità, correttezza e trasparenza, finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità, riservatezza e responsabilizzazione.

E’ indispensabile procedere con sollecitudine all’adeguamento, anche in considerazione delle rilevanti sanzioni di natura amministrativa previste in caso di accertamento della violazione della normativa sulla protezione del dati personali.

A tal proposito, il GDPR ha distinto, all’art. 83, le sanzioni di minore entità da quella di maggiore entità, mentre il successivo articolo 84 ha riconosciuto agli Stati membri la possibilità di introdurre ulteriori sanzioni, con particolare riferimento alle violazioni non soggette a sanzioni amministrative pecuniarie di cui all’art. 83, a condizione che esse siano sempre effettive, proporzionate e dissuasive.

A tal proposito, il D. Lgs, 101/ 2018 (recante Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679), ha modificato il Codice della Privacy introducendo, all’art. 166 un regime sanzionatorio diversificato a seconda della tipologia di violazione, prevedendo sanzioni amministrative pecuniarie fino a 20 milioni di Euro o, per le imprese, al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore.

Inoltre, il medesimo D. Lgs. 101/2018, oltre alle sanzioni amministrative pecuniarie, ha introdotto alcune disposizioni relative a sanzioni penali, modificando le fattispecie già previste nella formulazione del Codice della Privacy precedente all’entrata in vigore del GDPR e prevedendo, a seconda della singola fattispecie, la pena della reclusione da uno a sei anni.

Tuttavia, il citato Decreto Legislativo 101/2018 prevede altresì che il Garante per la protezione dei dati personali, nei primi otto mesi dalla data di entrata in vigore del decreto, “tiene conto ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie” (art. 22 comma 13 D. Lgs. 101/2018).

Fonte: a cura di Exportiamo, Avv. Giulia Di Piero, Studio Legale PMT, redazione@exportiamo.it

© RIPRODUZIONE RISERVATA