Il 25 maggio 2018 entrerà in vigore per tutti gli Stati membri dell’Unione Europea il Regolamento Generale sulla Protezione dei Dati personali – GDPR (Regolamento UE 2016/679)
Abbiamo chiesto all’avvocato Luigi Occhiuto, esperto di compliance aziendale, sistemi organizzativi e protezione dei dati personali, di fornirci le indicazioni più utili per i nostri clienti
Quali saranno le novità per le aziende in materia di trattamento di dati personali dopo l’entrata in vigore del GDPR?
È importante premettere che la normativa europea introduce un approccio al trattamento dei dati personali fondato sulla “responsabilizzazione” di coloro i quali lo effettuano, imponendo la valutazione e la conseguente gestione dei rischi (da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati) ad esso collegati, attraverso l’adozione di misure organizzative fisiche ed informatiche. Dunque, alle aziende si richiede di effettuare, anche sul trattamento dei dati personali, le attività di risk management che esse, almeno quelle più strutturate, dovrebbero essere abituate a svolgere in tema di qualità, di sicurezza sul lavoro e di prevenzione dei reati.
Le azioni che l’azienda deciderà di intraprendere a garanzia del corretto trattamento dei dati personali dovranno essere frutto di tale analisi del rischio e dovranno garantire un livello di sicurezza ad esso adeguato. Di conseguenza, non vi è, e non avrebbe ragione di esservi più, alcun riferimento alle vecchie “misure minime di sicurezza”.
In termini di adempimenti obbligatori, cosa comporterà questo per le aziende che si erano già messe in regola con la precedente disciplina?
Per le aziende che non svolgono trattamenti particolarmente significativi ed avevano attuato gli obblighi e i presidi di sicurezza già dettati dal D.Lgs. 196/03 e successive integrazioni, potrebbe essere sufficiente effettuare alcune revisioni, tra cui quella delle informative e delle modalità di richiesta del consenso (previa definizione delle fattispecie per cui essa sia necessaria), adottare il c.d. Registro dei Trattamenti di dati personali nei casi in cui ne è previsto l’obbligo, rivedere e formalizzare i rapporti con tutti i responsabili esterni dei trattamenti e con i terzi titolari a/da cui i dati dovessero essere comunicati o ceduti, definire i protocolli di conservazione dei dati e di comportamento in caso di violazione (data breach).
In particolare, le nuove informative dovranno spiegare in modo chiaro agli interessati tutte le condizioni che regolano la raccolta e il trattamento dei dati in modo trasparente e con linguaggio semplice e comprensibile a tutti i cittadini. Gli stessi criteri si applicano per gli strumenti attraverso cui l’utente esprime il proprio consenso.
Nei casi in cui ciò non fosse sufficiente, specie qualora l’azienda effettui trattamenti di dati personali sensibili o con modalità automatizzate o su ampia scala, saranno necessari ulteriori strumenti informatici ed organizzativi, per la cui predisposizione è consigliabile il supporto di soggetti dotati di comprovata competenza sia tecnico – informatica che giuridico – aziendale. Fondamentale, tra le altre cose, sarà la formazione da impartire a tutti i soggetti impegnati nel trattamento di dati personali.
Queste aziende, onde evitare il rischio di incorrere nelle gravi sanzioni introdotte dal Regolamento, dovranno preoccuparsi non solo di adottare tutte le cautele organizzative necessarie, ma anche di poter documentare, a posteriori, le attività di analisi preliminare condotte.
Vi è poi il caso delle aziende che praticano “un monitoraggio regolare e sistematico di dati su larga scala” che (insieme agli enti pubblici) dovranno nominare un Data Protection Officer con compiti di informazione, formazione, consulenza e sorveglianza dell’adempimento della disciplina ‘privacy’, nonché di interlocuzione con l’Autorità di controllo.
Quali possono essere le conseguenze per il mancato adempimento degli obblighi derivanti dal GDPR?
La violazione del GDPR può avere diverse conseguenze. Quelle di cui si è maggiormente sentito parlare sono le sanzioni economiche, con multe che, nei casi più gravi, possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuale totale di un’azienda. Tuttavia, esistono altri rischi non meno temibili anche dal punto di vista della reputazione e dell’immagine dell’azienda. Né è da sottovalutare la possibilità che l’impresa inadempiente possa incorrere in richieste di risarcimento da parte di privati, qualora essi si sentano danneggiati dall’illecito trattamento dei propri dati o si vedano ingiustamente negato l’esercizio di uno dei propri diritti, per altro estesi proprio dal Regolamento GDPR. Quanto ai profili penali delle violazioni, sarà necessario aspettare il decreto ministeriale di coordinamento tra la normativa europea e quella italiana, previsto entro il 21 maggio prossimo, che ha tra i propri contenuti più attesi, proprio la sezione dedicata alle fattispecie di reato.