Articoli

G.D.P.R. – Siamo pronti per la svolta?

Ormai il 2018 è iniziato. Mancano soltanto poco meno di quattro mesi alla data in cui diventerà direttamente applicabile (25.05.18) il regolamento europeo n. 2016/679 sulla protezione dei dati, meglio noto come GDPR:  quale è lo stato dell’arte per imprese ed enti pubblici italiani?

Benchè sia ormai trascorso quasi un biennio dalla sua pubblicazione sulla Gazzetta ufficiale dell’Unione europea, pare che il sistema si stia muovendo a rilento.

Quale sarà l’impatto della nuova normativa nelle nostre PMI? Cosa prevede esattamente questo nuovo regolamento?

L’unico dato certo è che con l’entrata in vigore del Regolamento deve cambiare il nostro modo di approcciare la Privacy.

Pensiamo alle imprese, non si tratta soltanto di adeguare l’azienda da un punto di vista strettamente tecnologico: i passaggi fondamentali vanno svolti, anche e soprattutto, dal punto di vista organizzativo e legale.

Il Garante Italiano ha fornito numerose indicazioni sulle prime verifiche ed i passaggi da porre in essere per essere compliant, in primis, per le realtà che lo necessitano, procedere con la nomina del DPO (Data Protection Officer).

Il GDPR parla chiaramente di Privacy by design – avendo riguardo all’obbligo di adottare fin dall’inizio del processo produttivo comportamenti in grado di assicurare non solo la riservatezza e la sicurezza dei dati ma anche la loro integrità e correttezza e di Privacy by default – onere di adottare strumenti e modalità di trattamento dei dati in grado di ridurre il rischio.

Il Regolamento spinge sulla pseudo-anonimizzazione ed introduce il principio di accountability. Tale principio rappresenta la sfida più grande, sostanziandosi nell’obbligo – per enti e imprese – non solo di rispettare le norme del Regolamento, ma anche di mettere in pratica quanto stabilito in fase di analisi dei rischi.

Viene quindi richiesta una maggiore proattività e responsabilizzazione delle aziende che dovranno dimostrare non tanto di aver adottato un elenco di precauzioni minime, quanto di aver adottato – prima di iniziare il trattamento dei dati – le misure idonee per ridurre al minimo i rischi.  Meno forma e più sostanza, si potrebbe dire.

Il Titolare del trattamento se da un lato può decidere se, come e per quanto  trattare i dati, dall’altro egli dovrà essere in grado di dimostrare che ogni decisione è stata svolta valutando le possibilità concrete (e soprattutto i rischi) ed elaborando degli specifici modelli organizzativi.

Quali i rischi in caso di mancata conformità alla normativa? Le sanzioni previste dal Legislatore Europeo sono particolarmente pesanti: queste potranno infatti arrivare fino a 20 milioni di euro o al 4% del fatturato annuo!

Sono quindi quattro mesi di fuoco quelli che rimangono alle aziende per adeguarsi alla nuova privacy europea, anche perchè – a volte ce se ne dimentica – trattandosi di un regolamento (e non di una direttiva), le nuove misure saranno direttamente applicabili dal 25 maggio 2018 senza alcuna necessità di recepimento (o altro atto formale da parte del nostro Stato) e soprattutto senza previsione di alcun rinvio dell’ultimo minuto!