Dal 25 maggio 2018 sarà pienamente applicabile il Regolamento Europeo sulla Protezione dei Dati Personali (General Data Protection Regulation – GDPR – UE 2016/679).
Pur essendo un atto di diritto primario UE, e dunque direttamente applicabile senza necessità di adeguamento da parte degli Stati membri, il legislatore italiano sta mettendo a punto un decreto legislativo di adeguamento della normativa italiana e di “integrazione” (sulla base delle delega contenuta nella l. n. 163 del 25 ottobre 2017); anche se, allo stato, non è ancora dato sapere se procederà con l’abrogazione totale del Codice Privacy (d.lgs. n. 196/2003) o con una sua abrogazione parziale.
Quel che è certo è che il GDPR ha ripensato la disciplina della protezione dei dati personali, virando dall’approccio formalistico e difensivo (non del tutto scomparso) all’accountability proattiva aziendale, ossia una sorta di “responsabilizzazione autonoma e volontaria” da parte delle aziende. Tale principio si scorge con evidenza nei nuovi principi di privacy by design e di privacy by default.
Chi dovrà applicare il GDPR
Su questo versante, poco è cambiato.
Il Regolamento si applica a chiunque effettui qualsiasi trattamento di dati, automatizzati, semi-automatizzati o tradizionali (esentati solamente le finalità di sicurezza nazionale, politica estera, difesa, ambito penale e di indagine o i trattamenti di dati effettuati dalle persone fisiche per le attività personali o domestiche) che riguardano l’offerta di beni o servizi (anche gratuiti) o il monitoraggio dei comportamenti, nei confronti delle persone fisiche.
Cosa fare per adeguarsi?
Non esiste una risposta univoca. Il GDPR è, per forza di cose, una normativa generale da studiare ed approfondire; ma soprattutto, la risposta dipende dal titolare del trattamento: dai dati che tratta, dalla conformazione aziendale, e dai rischi che corre con la sua attività.
Detto questo, il percorso di adeguamento al Regolamento sulla privacy consigliato, che ricomprende le c.d. fasi di Gap Analysis, Risk Assessment ed Action Plan, può articolarsi nei seguenti steps:
- identificazione, comprensione e classificazione dei requisiti del GDPR in funzione degli assi del modello di funzionamento, mettendo in evidenza eventuali legami con normative settoriali e tenendo costantemente monitorata l’emanazione di nuove disposizioni e linee guida delle competenti Autorità nazionali ed europee;
- individuazione e ingaggio di tutti gli attori, sia interni sia esterni, chiamati a ricoprire un ruolo attivo in fase di pianificazione, esecuzione e monitoraggio di tale percorso;
- analisi delle attuali modalità di gestione della Data Protection in relazione ai requisiti del GDPR e individuazione del livello di maturità dell’organizzazione in materia di protezione dei dati personali;
- mappatura preliminare dei trattamenti ed eventuale creazione del Registro dei Trattamenti (che non sempre è obbligatorio, ma quasi sempre consigliabile), con riferimento al duplice ruolo di titolare e responsabile del trattamento potenzialmente ricopribile dall’organizzazione, e identificazione del livello di rischio associato al singolo trattamento;
- conferimento di incarico ad eventuali collaboratori come soggetti responsabili del trattamento o soggetti autorizzati al trattamento dei dati personali; conferimento incarico per eventuali outsourcers responsabili del trattamento (la nomina del c.d. DPO – data protection officier, non è sempre obbligatoria); redazione di informative privacy e determinazione delle misure di sicurezza tecniche e organizzative idonee;
- identificazione e classificazione dei gaps da colmare per essere GDPR compliance con particolare riferimento all’individuazione dei processi più a rischio;
- definizione del piano di adeguamento complessivo (Action Plan), comprensivo di un elenco di azioni finalizzate a colmare i gaps evidenziati da chi deve adeguarsi, sulla base della minimizzazione dei dati usati e della loro pseudonomizzazione;
- implementazione del piano di adeguamento al GDPR precedentemente definito con continuo aggiornamento e programmazione degli interventi di audit, formazione continua e monitoraggio sui nuovi contratti.
Cosa si rischia in caso di mancato adeguamento?
Un serio adeguamento al GDPR, che implica un cambiamento di approccio alla gestione dei dati personali trattati, comporta impegno economico e operativo.
Senza voler seminare terrore, le sanzioni previste dal Regolamento variano a seconda della violazione e vanno da una semplice diffida amministrativa, ad una sanzione pecuniaria che può superare anche i 10 milioni di euro.
Ad esempio, l’inosservanza dei principi base del trattamento, dei diritti degli interessati, e delle disposizioni sul trasferimento dei dati personali in paesi terzi o verso organizzazioni internazionali, può portare a delle sanzioni per le imprese fino al 4% del fatturato annuo mondiale dell’esercizio precedente.
Ciò detto, anche le Autorità sono consapevoli della complessità dell’adeguamento e di sicuro, dal 26 di maggio, non staranno immediatamente con il fiato sul collo delle imprese; anche perché, con molta probabilità, il legislatore italiano non riuscirà in tempo a rispettare la legge delega necessaria all’adeguamento.
Cosa fare, allora?
Il GDPR è pensato per offrire alle aziende ed agli Enti Pubblici un nuovo modello di gestione dei dati personali, per trasformare la protezione dei dati in un asset da gestire e tutelare in modo dinamico.
Questo vuol dire che con l’entrata in vigore del Regolamento, i titolari del trattamento possono cogliere l’occasione per revisionare i propri processi interni in vista di una migliore gestione organica e digitale dell’attività, e quindi non solo in relazione ai dati personali.
Per un preventivo di Gap Analysis, Risk Assessment ed Action Plan, è possibile contattarmi qui.