Nuovo Regolamento Ue sulla privacy: il countdown è iniziato!

Il countdown è iniziato ormai, mancano poco più di tre mesi, infatti, affinché qualsiasi organizzazione che gestisce informazioni personali dei residenti nell’Ue possa adattarsi alla nuova normativa in materia di trattamento dei dati personali, sicurezza delle informazioni, processi di conformità e relazioni contrattuali.

Il giorno X è il 25 maggio - Il nuovo Regolamento (Ue) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (che abroga la direttiva 95/46/CE - regolamento generale sulla protezione dei dati) è stato pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016 ed è entrato in vigore il 24 maggio 2016, ma la sua piena attuazione è stata prevista a distanza di due anni, dal 25 maggio 2018 per l’appunto. Ma benché siano già passati quasi due anni dalla sua pubblicazione in G.U., enti pubblici e imprese sembrano muoversi a rilento per l’effettivo adeguamento.

Entro tale data tutti dovranno applicare le nuove norme, in tutto il territorio dell’Ue, dai grossi colossi quali google alle banche, alle farmacie, le PA, le Pmi e le organizzazioni no profit, tutti coloro i quali, in pratica, maneggiano dati degli utenti, anche quelli più basilari.

Sanzioni - Ignorare il nuovo regolamento o commettere errori nella sua applicazione comporterà pesanti conseguenze, alcune violazioni del regolamento, infatti, sono punibili con sanzioni pecuniarie fino al 4% del fatturato totale annuo dell’azienda o fino ad un massimo di 20 milioni di euro. Sarà il titolare del trattamento a dover dimostrare, in caso di controversie, di aver adottato tutte le precauzioni previste per ridurre al minimo i rischi.

Azioni Commissione europea - La Commissione europea sta adottando diverse misure volte a facilitare l’applicazione delle nuove norme, il 24.01.2018 ha pubblicato ad esempio orientamenti sul nuovo regolamento riepilogando le principali innovazioni e le opportunità offerte, ha dedicato un nuovo strumento online per le PMI e ha inteso, inoltre, destinare un fondo da 1,7 milioni di euro al finanziamento delle autorità di protezione dei dati e alla formazione dei professionisti in materia di protezione dei dati. Altri 2 milioni di euro sono disponibili per sostenere le autorità nazionali nell'opera di sensibilizzazione rivolta alle imprese, in particolare alle PMI.

I pilastri del nuovo cambiamento sono da un lato la protezione dei dati personali e dall’altro la libera circolazione dei medesimi dati all’interno dei confini dell’Unione Europea.

Cosa cambia per le imprese – Con l’avvento del nuovo Regolamento europeo in materia di protezione dei dati le imprese e i liberi professionisti dovranno metter mano al tema privacy con uno sguardo non solo al quadro giuridico nazionale ma in un’ottica comunitaria, il fine ultimo infatti è quello di applicare le medesime norme in tutto il continente, per garantire la certezza giuridica per le imprese e lo stesso livello di protezione dei dati in tutta l’UE. I vantaggi vanno quindi dall’avere un’unica autorità per la protezione dei dati, anche per attività svolte all’estero e norme univoche che troveranno applicazione anche ai soggetti extra-europei che operano nell’Unione europea, innalzando e uniformando i gradi di tutela di protezione di tali dati entro i confini comunitari, considerando che le imprese nei loro percorsi di crescita e di espansione sono volte sempre più verso l’internalizzazione e che i big data, il digital single market e la fabbrica 4.0 si stanno sempre più affermando come un importante investimento per le imprese.

Novità – Sostanzialmente cambia l’approccio a tutto il sistema, mentre prima l’obiettivo principale da parte delle aziende era quello di svolgere una serie di adempimenti a cui le stesse dovevano provvedere, ora si pone l’attenzione sul principio di sensibilizzazione delle imprese. L’approccio sarà basato infatti sul rischio e sulle misure di accountability (responsabilizzazione) di titolari e responsabili, ossia, sull'adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del regolamento.

Il primo fra tali criteri di adozione dei comportamenti proattivi è sintetizzato dall'espressione inglese "data protection by default and by design" ossia dalla necessità di configurare il trattamento prevedendo fin dall'inizio le garanzie indispensabili per assicurare la correttezza, l’integrità, la riservatezza e la sicurezza dei dati. Viene introdotto inoltre il principio della “privacy by default” ossia l’utilizzo di strumenti e modalità di trattamento volte a ridurne il rischio. Anche la designazione di un responsabile della protezione dati (RPD, ovvero DPO Data Protection Officer) riflette l'approccio responsabilizzante che è proprio del regolamento, essendo finalizzata a facilitare l'attuazione del regolamento da parte del titolare/del responsabile. Tra i compiti del RPD rientrano la sensibilizzazione e la formazione del personale e la sorveglianza sullo svolgimento della valutazione di impatto.

Il nuovo Regolamento avrà un impatto su enti e imprese, non solo dal punto di vista tecnologico, ma anche e soprattutto dal punto di vista organizzativo e legale.

Secondo il nuovo regolamento europeo ogni azienda infatti dovrà:

• effettuare un controllo interno;
• verificare il proprio livello di esposizione ai rischi;
• svolgere una serie di interventi per mitigare i rischi;
• innalzare il livello di tutela;
• documentare le scelte prese secondo un processo di accountability che caratterizza l’intero regolamento.

Sulla base di tutte quelle scelte prese, motivate e documentate, le aziende saranno valutate. Enti pubblici e imprese saranno dunque maggiormente responsabilizzati, anche attraverso, come anzidetto, sanzioni piuttosto elevate.

Linee guida del Garante per le PA - Le prime linee guida arrivano anche dal Garante, che ha suggerito alle Pubbliche Amministrazioni tre priorità:

• la designazione in tempi stretti del Responsabile della protezione dei dati (o DPO – Data Protection Officer);
• l’istituzione del Registro delle attività del trattamento, dove sono descritti i trattamenti effettuati e le procedure di sicurezza adottate;
• la notifica delle violazioni dei dati personali, i cosiddetti Data Breach.

L’applicazione del nuovo Regolamento porterà con sé sicuramente la creazione di nuove figure specializzate. Secondo l’Osservatorio di Fiderprivacy il meccanismo potrebbe richiedere in tutto il territorio ben 45mila esperti tra data protection officer e consulenti in materia di protezione dei dati, soprattutto in questa fase transitoria che sta volgendo via via al termine e per la mobilitazione in atto da parte di tutte le Pmi al fine di evitare multe e sanzioni.