PRIVACY: SCADENZE E ADEMPIMENTI PER LE IMPRESE
Il nuovo Regolamento europeo sulla privacy, noto anche come GDPR, che entrerà in vigore il prossimo 25 maggio 2018, definisce un quadro normativo comune in tutti gli Stati membri e rafforza i diritti fondamentali dei cittadini nell’epoca digitale e comporterà un cambiamento radicale sul fronte della protezione dei dati personali.
Sintetizzare i contenuti del Regolamento non è facile, è strutturato in 99 articoli: di seguito diamo alcune informazioni essenziali.
Il Codice per la protezione dei dati personali (D.Lgs. 196/2003), attualmente in vigore, prevede un approccio formale alla privacy; in sostanza dispone una serie di adempimenti obbligatori (nomine di figure quali incaricati e responsabili, fornitura di informative, richiesta di consenso agli interessati realizzazione di specifiche misure minime di sicurezza etc); adempiere a precisi obblighi definiti dalla legge significa quindi esimersi dalla responsabilità.
Con il nuovo Regolamento europeo il titolare del trattamento (legale rappresentante dell’impresa) deve, oltre adempiere alcuni obblighi già previsti dalla normativa in vigore, aaffrontare sostanzialmente (e non formalmente) la questione della protezione dei dati personali in riferimento alla propria realtà aziendale; adottando sin dall’inizio le migliori soluzioni adeguate al proprio caso concreto e allo specifico livello di rischio.
Ad esempio l’adozione delle misure di sicurezza, a protezione dei dati personali, è obbligatoria, ma non essendo previste dal Regolamento misure minime, dovranno essere adottate dal titolare “misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”. Il titolare oltre a definire le misure di sicurezza da adottare ed a verificarne l’efficacia, deve dimostrare, attraverso evidenze documentali, di averle adottate.
Fra i diritti dell’interessato più rilevanti, introdotti dal Regolamento, è il cosiddetto diritto all’oblio: ogni interessato ha diritto ad ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo; il titolare del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali di chi lo richiede (e dimostrare di averlo fatto).
Atra novità consiste nell’obbligo del titolare di comunicare tempestivamente all’Autorità garante la perdita di dati personali (data breach).
Il Regolamento prevede che le sanzioni penali per gli inadempienti siano stabilite dagli stati membri, mentre quelle amministrative sono estremamente pesanti in alcuni casi fino a 10 milioni di euro in altri fino a 20 milioni di euro.
Il Parlamento sta lavorando alla definizione di una legge delega finalizzata ad adeguare, con abrogazioni e modificazioni, le disposizioni del Codice per la protezione dei dati personali (d.Lgs. 196/2003) attualmente vigente con quanto prevede il regolamento europeo; la scadenza dell’applicazione al 25 maggio 2018 rimane.
Per adempiere a quanto dispone il Regolamento europeo sulla privacy la cosa più importante e urgente è che i titolari di trattamento, cioè i legali rappresentanti delle imprese, siano consapevoli di quanto devono fare ed in relazione alle caratteristiche aziendali avviino un programma di adeguamento.
Confartigianato Imprese Grosseto per maggiori chiarimenti sulla questione, ha organizzato per la giornata del 12 dicembre p.v. alle ore 14:30 presso la sala riunioni dell'associazione un incontro formativo con esperti del settore.
Per maggiori informazoni contattare l'Ing. Gianluigi Ferrara al 3338418381.