PRIVACY E GDPR: NON RESTARE INDIETRO!
201804.19
4

PRIVACY E GDPR: NON RESTARE INDIETRO!

di

Ci siamo: il prossimo 25 maggio diverrà operativo ed efficace, a tutti gli effetti, il regolamento UE n. 679 del 2016, in materia di protezione dei dati personali.

La normativa intende adeguare strumenti giuridici pensati su un  contesto economico e tecnologico superato, introducendo nuovi principi che si sviluppano in diritti esigibili per gli interessati ed obblighi effettivi per i titolari del trattamento.

I recenti sviluppi tecnologici e sociali hanno comportato un sensibile incremento economico del valore del dato personale, affermazione immediatamente riscontrabile nei fatturati degli operatori del settore e non solo, risultando la dinamica del trattamento comune a una serie di soggetti, principalmente attivi in settori diversi, comunque in possesso di dati di persone fisiche, potenzialmente spendibili in attività accessorie.

D’altro canto, la velocità con cui circolano e si diffondono le informazioni comporta una serie di rischi in capo ai soggetti ai quali il dato si riferisce che variano dalla mera intrusione nella sfera privata al danno alla reputazione, talvolta irrimediabile.

La riforma muove dai principi generali di proporzionalità e adeguatezza del trattamento rispetto alle sue finalità: il legislatore comunitario, almeno in partenza, non si preoccupa delle conseguenze, ravvisando nel trattamento del dato, puro e semplice, una situazione meritevole di tutela.

Sicché il trattamento di qualsiasi dato, anche potenzialmente innocuo, va circoscritto alle azioni necessarie ed adeguate alla finalità, senza possibilità di praticare trattamenti ulteriori. Le finalità devono dunque essere determinate, esplicite e le

gittime e debbono riguardare dati adeguati, pertinenti, esatti ed aggiornati.

Condizione del trattamento è, naturalmente, la liceità, criterio che si realizza nel consenso dell’interessato, nella necessità di adempiere ad un contratto, a un obbligo di legge o nella necessità di salvaguardare interessi vitali dell’interessato.

Stringenti requisiti regolano gli obblighi informativi e il consenso: quest’ultimo può essere ottenuto solo con richieste esposte in modo chiaro e comprensibile, idonee a rendere edotto l’interessato su tutti gli aspetti del trattamento, dalle modalità ai diritti, in netta espansione rispetto alla disciplina previgente anche in ragione di potenziati obblighi in capo al titolare.

La predeterminazione di oneri e adempimenti in capo al titolare del trattamento costituisce il profilo innovativo della riforma. La figura viene, infatti, ancorata a rilevanti aspetti di responsabilità: il titolare deve, in primo luogo, predisporre le misure tecniche ed organizzative utili a garantire il rispetto del regolamento, in modo adeguato al contesto del trattamento, organizzando la propria attività, in modo predefinito, con lo scopo di limitare l’utilizzo del dato alle specifiche finalità.

Tali adempimenti non riguardano le sole procedure organizzative ma si estendono al personale (dall’incaricato al responsabile) coinvolto nell’attività di trattamento il quale dovrà, d’ora in poi, conseguire competenze e conoscenze specifiche della materia, tramite adeguata formazione predisposta dal titolare.

Vi è tuttavia di più: non solo il titolare deve “fare” ma deve “provare di avere fatto”, ossia avere modo di dimostrare l’adozione delle misure richieste (senza tuttavia in tale modo precostituirsi alcuna “innocenza” automatica); da qui una serie di adempimenti burocratici che vanno dal registro delle attività del trattamento, alle nomine di responsabili ed incaricati, alla valutazione d’impatto, ecc…

La conformità alla normativa richiede, in ultima analisi, una profonda revisione dei processi produttivi e la modifica in senso privacy dei meccanismi e automatismi interni che presidiano il funzionamento dell’impresa. La sfida del regolamento è, dunque, quella di introdurre la protezione dei dati personali nelle fasi della produzione, mirando ad un principio di compliance che assimili tale tutela agli altri aspetti della realtà aziendale, dalla sicurezza sul lavoro alla qualità.

Significativa di tale esigenza è la previsione normativa della figura ad hoc del Data Protection Officer (DPO), al quale il regolamento assegna un ruolo di garante, indipendente, dell’applicazione della normativa Privacy e di contatto con l’autorità di controllo, con prerogative apicali sia sotto il profilo della posizione gerarchica sia delle scelte strategiche aziendali. La figura, seppure obbligatoria nei soli casi previsti dall’art. 37, è indicativa della dignità che il regolamento intende attribuire al profilo privacy e dei diritti che ne conseguono.

In ultima analisi: più diritti per gli interessati, più obblighi e burocrazia per titolari e, last but not the least, sanzioni pantagrueliche – a seconda dei casi, fino al 2% o al 4% del fatturato mondiale annuo dell’esercizio precedente o sino a 10.000.000,00 o 20.000.000,00 di euro – a presidio non solo dei diritti della persona fisica ma di una serie di adempimenti, a ben vedere, meramente burocratici.

L’adeguamento, che alla luce delle sanzioni è sinonimo di sopravvivenza, si realizza attraverso la creazione di un sistema gestione privacy efficace, preordinato non solo alla conformazione ma all’implementazione di tutti i processi interni in ottica protezione dei dati.

Tanto più il profilo Privacy entrerà nel funzionamento delle attività, sino a divenire indistinguibile, tanto più sarà semplice conseguire, in un campo in continua evoluzione, l’auspicata conformità.

Non restare indietro!