Una redazione di oltre 100 collaboratori, esperti delle tematiche che stanno a cuore alle imprese

Approvato il Regolamento Generale per il trattamento dei dati personali. I primi suggerimenti per le aziende

Finalmente il nuovo Regolamento Generale sulla Privacy è stato approvato, due anni di tempo e tutti dovranno risultare essersi adeguati alla normativa. Proviamo a delineare alcune prime considerazioni concrete che coinvolgeranno le imprese.

Il Regolamento presenta un nuovo catalogo di definizioni che imporranno molti cambiamenti nel modo in cui approcciarsi alla disciplina in materia di privacy. Per esempio il consenso viene ora identificato in qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento. Una modifica che influenzerà sia aspetti commerciali (un semplice flag probabilmente non sarà sufficiente quindi a manifestare inequivocabilmente il consenso dell’interessato) che collegati ai rapporti lavorativi.

Anche l’aspetto sanzionatorio è stato ritoccato in senso maggiormente stringente. Alle Autorità di Sorveglianza sono stati attribuiti nuovi e più penetranti poteri: ordini, previsioni penali, previsioni civili e multe che possono raggiungere i € 20 milioni, o il 4% del fatturato annuo.

Anche la redazione delle informative dovrà essere in parte ripensata. Tutte le imprese hanno il dovere di fornire un’informativa in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (laddove tal tipo di precisa obbligo non è presente nell’attuale normativa).

Allo stesso modo trova spazio l’attenzione che il Regolamento pone sull’importanza della redazione di un Codice di condotta, anche ai fini della conformità alla norma.

Allo stesso modo dovrà essere garantito con maggiore attenzione il tracciamento (documenti interni, policy, ecc.) di tutte le attività di trattamento con la nomina, quando necessario, del Data Protection Officer a cui dovranno essere assicurate risorse sufficienti e indipendenza.

Nell’ottica della rivisitazione dei processi e dei progetti aziendali le imprese dovranno tener conto dei principi di privacy by design e default, cioè ragionare in termini di compliance privacy dall’inizio e per tutto l’intero ciclo dei processi aziendali. In determinati contesti sarà anche necessario procedere ad una valutazione di impatto sui dati personali (c.d. DPIA).

Un’altra innovazione che inciderà in maniera trasversale sulle scelte delle imprese sarà la disciplina dettata in materia di profilazione. Marketing, sicurezza, monitoraggio dei clienti, analisi, controllo e tanto altro sono tutti settori che presuppongono spesso un’attività di profilazione. Le imprese che se ne occupano, sia come core business che come processi aziendali interni, avranno l’obbligo di fornire comunicazioni particolarmente precise e chiare agli interessati.

Il Regolamento innalza poi anche il livello minimo di sicurezza delle informazioni. Viene previsto un generale obbligo di segnalare eventuali violazioni dei dati subite. Ne consegue anche l’opportunità di individuare precisi processi aziendali di difesa. Andranno per esempio individuati: ruoli specifici e responsabilità, formazione dipendenti e modelli di preparazione.

Anche per i responsabili del trattamento il Regolamento impone nuovi e rilevanti obblighi di conformità alle direttive del titolare, e conseguenti doveri e responsabilità. La nuova disciplina coinvolgerà direttamente quelle aziende che lavorano come responsabili (i.e. gli outsorcers), ma può anche interessare qualsiasi attività commerciale che impegna un responsabile interno. I responsabili ed i titolari dovranno quindi rivedere gli esistenti contratti affinché risultino conformi ai dettami del Regolamento. Per le PMI che hanno sviluppato il proprio business anche al di fuori dei confini italiani va tenuta in debito conto la disciplina sul trasferimento dei dati. Per le imprese che comunque rimangono in Europa varrà il principio del One Stop Shop. Ciò sta a significare che tutte le questioni relative al trattamento dei dati personali potranno far riferimento ad un’unica Autorità di Sorveglianza e cioè quella dove hanno il proprio stabilimento.Invece, il trasferiscono dati personali verso Stati fuori dell’UE, come anche previsto dalla normativa previgente, è permesso soltanto nel caso in cui lo Stato terzo garantisca un’adeguata protezione, ovvero nel caso in cui venga sottoscritto un accordo internazionale (quale il Privacy Shiled con gli USA). Per i trasferimenti infragruppo, poi, trova maggior riscontro la necessità di predisporre opportune norme vincolanti d’impresa (le c.d. BCR)

Va infine ricordato che sebbene la normativa appena approvata intende regolamentare tutti gli aspetti del trattamento dei dati personali, rimarranno comunque molti settori da armonizzare anche in considerazione dei molteplici provvedimenti specifici emessi dall’Autorità Garante in questi anni.

Al fine di aiutare le imprese a entrare nei meccanismi del nuovo regolamento si segnala la guida in dodici passi, comunque attuale, pubblicata il 14 marzo scorso dall’Autorità Garante Inglese per la protezione dei dati personali.

Avv. Emiliano Vitelli

avatar

Emiliano Vitelli

Partecipa alla discussione

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.