Il 25 maggio entrerà in vigore la nuova normativa europea sulla privacy
Articolo di Ilaria Di Maria, Manager Operations Performance, Ayming Italia
E’ ormai nota l’imminente entrata in vigore della nuova normativa Privacy europea: il 25 maggio 2018 è la scadenza entro la quale tutti coloro che trattano dati personali dovranno uniformarsi a quanto previsto dal General Data Protection Regulation (GDPR) ovvero il Regolamento comunitario 2016/279, che disciplina la protezione delle persone fisiche relativamente al trattamento dei dati personali ed alla loro libera circolazione.
Tuttavia, per comprendere pienamente il significato complessivo di questa nuova normativa e le intenzioni del nostro legislatore comunitario, è necessario fare un passo indietro di oltre vent’anni nel corso dei quali sono state promulgate varie leggi sulla Privacy.
È del 1995 la direttiva europea, anche conosciuta come Legge sulla Privacy: nata per far rispettare gli accordi di Schengen e con lo scopo di armonizzare le varie normative degli Stati membri che ha iniziato a sensibilizzare sulla tematica in maniera diffusa.
Nel 2003 viene emanato il Codice della Privacy (D.Lgs 196/2003), che raccoglie tutta la normativa europea prodotta nel corso degli anni e introduce per la prima volta il riconoscimento del diritto sui propri dati e identifica un elenco ben preciso di misure di sicurezza che garantiscono il corretto trattamento dei dati.
Non basta ancora: la sempre più crescente velocità di trasmissione dei dati, l’ormai prevalente diffusione telematica delle informazioni e il prepotente avvento dei social network, hanno reso necessario che fossero date indicazioni su tematiche che imponevano una trattazione specifica; si pensi, solo per citarne alcuni, ai provvedimenti del garante in tema di videosorveglianza, controllo sul lavoro, uso dei cookies etc., che sono andati ad integrare le disposizioni normative divenute ormai troppo generali per avere l’ambiziosa pretesa di onnicomprensività.
Ed eccoci al 2016 e al Regolamento sul trattamento dei dati personali. La nuova normativa sulla Privacy si propone di essere pienamente esaustiva relativamente a scopi da raggiungere e modalità per perseguire gli obiettivi.
E fin qui sembrerebbe tutto bellissimo, finalmente è arrivata una legge chiara, dettagliata negli scopi e programmatica nelle attività da porre in essere, in modo da limitare al minimo le possibilità di errore, ridurre gli inadempimenti ed essere una efficace guida per chi tratta i dati personali.
Come dicevamo: sembrerebbe…
Il Regolamento descrive le finalità degli adempimenti da porre in essere ma impone che sia il titolare del trattamento a identificare la corretta e concreta modalità di perseguimento. Una scelta precisa e consapevole da parte del legislatore che può essere sintetizzata in uno dei principi cardine del regolamento, l’Accountability o Responsabilizzazione.
Questo principio implica che il titolare, per il tramite dell’operato del responsabile, sia parte attiva nella creazione di un modello Privacy che sin dalla sua nascita si pensi adeguato agli scopi della norma, e non si adatti ex post osservando un ordine legislativo.
Il regolamento introduce quindi una serie di novità e tra le più importanti possiamo identificare:
- Privacy by design and by default: la protezione dei dati deve essere garantita sin dalla progettazione e per impostazione predefinita e questo principio deve essere applicato a ogni trattamento.
- Registro dei trattamenti: è un documento che deve essere redatto dal titolare del trattamento di imprese con più di 250 dipendenti o in ogni caso di trattamento non occasionale che possa presentare un rischio per i diritti e le libertà dell’interessato. A prescindere dall’obbligatorietà è un documento che si consiglia di redigere nell’ottica della consapevolezza interna.
- Data Breach: In caso di violazione di dati personali, laddove ci siano rischi per i diritti e le libertà degli interessati, è obbligatoria la notifica all’Autorità di controllo entro 72 ore da quando se ne sia avuta conoscenza
- Privacy Impact Assessment (PIA): in caso di trattamento che può presentare un rischio elevato per i diritti e le libertà delle persone, il titolare, consultandosi con il DPO, se designato, deve effettuare una valutazione dell’impatto dei trattamenti effettuati. E’ un’attività di estrema importanza e anch’essa, come il registro dei trattamenti, a prescindere dall’obbligatorietà, è uno strumento decisivo per analizzare e indentificare sin dall’origine la probabilità del verificarsi di eventi rischiosi e stabilire quali possano essere i rimendi correttivi.
- Data Protection Officer (DPO): è una nuova figura che si aggiunge al titolare ed è responsabile della protezione dei dati. Deve avere comprovata conoscenza della normativa privacy europea, essere in grado di fornire consulenza al titolare del trattamento, sorvegliare che l’azienda rispetti il regolamento ed essere un punto di contatto con l’autorità di controllo.
Il nostro consiglio è di non vivere le richieste del legislatore con il timore delle sanzioni, con la preoccupazione di non essere adeguati, ma cogliere invece l’occasione per diventare consapevoli della propria organizzazione interna, per effettuare un’accurata analisi e verifica dei propri processi ed illustrare delle procedure veritiere e chiare: un’occasione di condivisione interna, di miglioramento della attività e delle performances mediante una reale fotografia della realtà e delle attività aziendali di tutte le risorse coinvolte.
Quest’ultimo aspetto, in particolare, riveste un’importanza fondamentale perché la consapevolezza e la conoscenza della normativa privacy Europea e delle sue implicazioni deve essere sentita a tutti i livelli, dal responsabile a tutti coloro che trattano dati personali nell’ambito della propria attività lavorativa; può inoltre diventare una splendida condivisione con le risorse stesse in termini di aspettative e reali competenze da sviluppare.
Il Regolamento dà l’opportunità di far vivere la norma in concreto nella nostra realtà aziendale.
Nessun commento