GDPR Privacy

GDPR Privacy: Ultima chiamata per le aziende

Il General data protection regulation, meglio conosciuto con la sigla GDPR è il nuovo regolamento europeo sulla Privacy che è andato in vigore dal 25 maggio 2018.

Ormai la scadenza per comprendere i nuovi adempimenti da parte dei soggetti che trattano dati (con riferimento particolare alle imprese) è già arrivata, ma ancora non tutti hanno ben chiaro cosa è necessario fare effettivamente e a cosa serve questo nuovo Regolamento Europeo sulla Privacy.

Inoltre sembra sia probabile che il Garante per la privacy, l’autorità che vigila sul trattamento dei dati in Italia, conceda un periodo di tolleranza di sei mesi dopo il 25 maggio, comportandosi in maniera più elastica sui casi di infrazione.

Sappiamo tutti cosa sia un Regolamento Europeo?

Innanzitutto per capire il nuovo GDPR bisogna spiegare meglio cosa sia un Regolamento Europeo: i regolamento è uno degli atti legislativi dell’Unione europea, insieme a direttive e decisioni. A differenza di queste ultime, si caratterizza per avere portata generale e applicabilità diretta in tutti i suoi elementi: in pratica vale da subito per tutti gli Stati membri dell’Unione Europea, senza che sia necessario che ciascuno di questi lo recepisca con appositi decreti (cosa che invece accade nel caso delle direttive). I paesi possono decidere di rivedere la propria legislazione se si creano incompatibilità evidenti con le nuove regole europee. Nel caso dell’Italia, ad esempio, si è abolita la parte generale del vecchio Codice della privacy (D.Lgs. 196/03) e si sono inserite le restanti norme in un decreto.

Le principali novità introdotto dal GDPR per le aziende

Il regolamento si compone di 99 articoli e riguarda tutti i soggetti che gestiscono qualsiasi dato di tipo personale, incluse quindi tutte le aziende di qualsiasi settore e dimensione (si definiscono “titolari del trattamento”).
Il regolamento istituisce alcune novità come il diritto all’oblio (le persone possono chiedere di rimuovere informazioni a proprio riguardo), la «portabilità» dei dati (si possono scaricare e trasferire dati da una piattaforma all’altra, senza vincolarsi a un certo account) e l’obbligo di notifica in caso di data breach (le aziende, se subiscono fughe di informazioni sensibili, devono comunicarlo entro 72 ore).

Tra gli obblighi per le aziende ricordiamo informative e richieste di consenso in forma chiara (articolo 7), l’istituzione di un registro delle attività (articolo 30), la notifica delle violazioni (data breach) entro 72 ore (articolo 33) e la designazione di un «responsabile protezione dati» (articolo 37).

In sostanza ogni azienda dovrà dotarsi di un registro di trattamento,ovvero un registro delle attività dove si elencano le finalità dell’elaborazione dei dati, i destinatari, l’eventuale scadenza per la loro cancellazione e vengono analizzati eventuali rischi o falle nel sistema della sicurezza dei dati che vanno migliorati con uno specifico piano di attuazione.

Una breve guida è stata già resa disponibile ad inizio 2018 sul sito del Garante per la Privacy italiano a questo indirizzo web

Res Nova ha attivato un servizio di supporto alle PMI per avviare l’iter di analisi iniziale per la mappatura dei dati trattati e dei relativi responsabili ed incaricati, aiutando le imprese a capire dove sono eventuali punti di debolezza all’interno dei propri archivi, con riferimento particolare a quelli informatici, stabilendo insieme ai titolari del trattamento un piano di miglioramento.

Le sanzioni per chi non si adegua

Se si viola il regolamento, scattano delle sanzioni e sono divise in due scaglioni: fino a un massimo di 10 milioni di euro o, per le imprese, il 2% del fatturato (se superiore); oppure fino a un massimo di 20 milioni o il 4% del fatturato, sempre per le aziende e sempre in rapporto al giro d’affari.
La multa più “leggera” (10 milioni o 2% turnover) viene inflitta per la trasgressione di principi come la privacy by design (mancata protezione dei dati fin dalla progettazione) o la carenza di misure adatte a garantire un buon standard di sicurezza. Quella più pesante (20 milioni o 4% del turnover) arriva in caso di violazione dei principi fondamentali, come la negazione del diritto all’oblio o l’opacità nella richiesta di consenso dei dati.

Il periodo di tolleranza di sei mesi e lo slittamento al 21 agosto 2018 dell’applicazione del GDPR

Il Garante alla privacy, dalle notizie che sono trapelate sul web e sui giornali negli ultimi giorni, dovrebbe allinearsi alla posizione già intrapresa dal suo omologo francese  e consentire un periodo di quiete di sei mesi, dove le aziende che ancora non si sono adeguate alle novità del GDPR, possono evitare sanzioni, iniziando eventuali controlli solo sulle aziende più a rischio e strutturate e solo dopo alle piccole imprese senza grandi rischi: in ogni caso alla scadenza del 25 maggio 2018 l’impresa deve comunque mostrare di avere avviato un piano di analisi dei rischi, mappare i trattamenti e i relativi responsabili.  In ogni caso questa notizia non ha ancora avuto ufficializzazione dalle Autorità.

Circa l’altra notizia di un possibile slittamento al 21 agosto 2018 dell’attuazione in Italia del GDPR, ciò è vero solo in parte. I Regolamenti Europei, come sopra specificato, hanno immediata attuazione in tutti i Paesi Membri dell’UE senza necessità di recepimento dagli stessi, salvo per quanto riguarda eventuali incompatibilità. Pertanto il GDPR è pienamente operativo dal 25 maggio 2018 anche in Italia, e al 21 agosto 2018 è stata rinviata l’adozione di un decreto legislativo unicamente nelle parti in cui sussiste la competenza del legislatore nazionale connesso all’adozione del GDPR, ovvero laddove il GDPR possa in qualche modo andare in contraddizione con le Leggi già presenti nel nostro ordinamento.

Rinviamo per maggiori informazioni direttamente al sito ufficiale del Garante per la Privacy, da cui ottenere aggiornamenti continui sulle prossime novità inerenti il GDPR