Un anno e mezzo di GDPR

Con GDPR, acronimo di General Data Protection Regulation, si intende il Regolamento UE 2016/679, una norma europea sulla privacy e la protezione dei dati personali direttamente applicabile dal 25 maggio 2018.
Il GDPR coinvolge tutte le aziende europee che gestiscono in vari modi i dati personali.

Solo le attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale sono esonerate dal dover osservare quanto previsto dal Regolamento.
Le aziende, in qualità di Titolare del trattamento, devono adeguarsi ai principi del GDPR, mettendo in atto misure tecniche e organizzative per provarne l’adattamento e assicurarne il mantenimento. Il tutto per scongiurare eventuali violazioni dei dati, i data breach, nonché per rendere consapevoli gli interessati di come le aziende trattino i dati personali.

Accountability e privacy policy al centro

Un pilastro su cui si fonda l’impianto normativo del GDPR è il principio dell’accountability, cioè il responsabilizzare le aziende le quali non solo sono responsabili delle misure adottate in materia di trattamento dei dati ma devono anche essere in grado di dimostrare che tali misure siano adeguate.

A tal fine, prima di ogni trattamento sarà indispensabile progettare dei sistemi che tengano sempre in considerazione la tutela dei diritti e delle libertà delle persone alle quali i dati personali afferiscono (principio della privacy by design). Considerando sempre che per impostazione predefinita le aziende sono tenute a trattare i dati personali nella misura necessaria e sufficiente per le finalità previste e non oltre il tempo opportuno (principio della privacy by default).
Fermo stante che, per il principio di minimizzazione, bisogna acquisire ed utilizzare solo i dati di cui si ha realmente bisogno.

Fondamentale sarà l’adozione da parte delle aziende di adeguate privacy policy, nonché l’aggiornamento dei contratti in essere che abbiano come oggetto il trattamento dei dati personali (dal contratto stipulato con il consulente del lavoro a quello di fornitura di determinati servizi ai clienti, ad esempio).
Adempimenti importanti sono quelli che consistono nel rendere noto agli interessati il modo in cui le aziende trattano i rispettivi dati.

È necessario, quindi, redigere e consegnare le dovute informative non solo ai clienti ma anche ai propri dipendenti.

Quanto costa non essere a norma?

Ormai non si scherza più, il tempo delle proroghe è finito. L’Autorità di controllo nazionale ovvero il Garante per la protezione dei dati personali con l’ausilio del Nucleo Speciale Tutela Privacy della Guardia di Finanza potrà esercitare i propri poteri ispettivi e irrogare sanzioni ai soggetti inadempienti.

Gli importi possono essere davvero molto elevati:

• 10 milioni di euro o 2% del fatturato mondiale annuo dell’anno precedente per le imprese che, ad esempio, non comunichino eventuali data breach all’Autorità garante, violino l’obbligo di nomina del DPO o non applichino misure di sicurezza adeguate.
• 20 milioni di euro o 4% del fatturato per le imprese nei casi, ad esempio, di trasferimento illecito di dati personali a Paesi terzi o di inosservanza di un ordine imposto dal Garante o violazione dei diritti e degli obblighi di informativa agli interessati.

A cura di Gianfranco Di Maria, Legal & Compliance Specialist ErgonGroup