Come noto, il prossimo 25 maggio 2018, diventerà operativo e dunque applicabile in tutti gli Stati membri della CE, il Nuovo Regolamento Europeo (GDPR General Data Protection Regulation) sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Il Nuovo Regolamento promuove la tutela dei dati personali, con una nuova filosofia di approccio rispetto al passato, basata sulla responsabilizzazione dei titolari del trattamento dati (c.d. accountability). La logica propria del Regolamento è quella di richiedere alle aziende una messa a punto di processi interni di trattamento dati che, partendo da una preventiva valutazione dei rischi sull’utilizzo dei dati stessi, possa mettere in atto sistemi e condizioni di tutela ad hoc specializzati, dunque, in ragione dell’effettiva attività aziendale. Per le aziende, pertanto, sarà obbligatorio, effettuare una valutazione di impatto preventiva (DPIA) laddove e qualora il trattamento dei dati ponga rischi per i diritti delle persone, e adoperarsi per evitare danni agli interessati.
Alcuni dei principi caratterizzanti la precedente normativa vengono confermati e pertanto rimangono operativi anche con l’entrata in vigore del nuovo Regolamento, se pur con qualche modifica e un contenuto più pregnante (per esempio l’obbligo di informativa, il consenso dell’interessato, la distinzione tra dati personali e dati sensibili). Altri, invece, rappresentano delle novità o parzialmente tali (citiamo la denominazione degli attori – il titolare del trattamento, il responsabile del trattamento, i corresponsabili, il responsabile della protezione dati, il diritto all’oblio, il data breach, l’accountability).
Per alcune aziende ed enti pubblici sarà necessario dotarsi anche di un Responsabile della protezione dei dati (RPD) Data Protection Officer (DPO), ossia di una figura specializzata che assicuri la corretta gestione delle informazioni. Scompariranno alcuni oneri amministrativi, quali ad esempio quelli di notificazione anticipata di particolari trattamenti al Garante; in tal senso, si parla di una maggiore responsabilizzazione a fronte di una semplificazione.
Nelle aziende, pertanto, il titolare dovrà effettuare le valutazioni del caso per ridurre al minimo il trattamento dei dati dei propri dipendenti e, in particolare, per utilizzare i dati necessari di ciascun dipendente unicamente per le specifiche finalità previste dal trattamento oggetto di informativa e consenso.
Il Regolamento ridisegna, infine, il sistema sanzionatorio, prevedendo sanzioni che sono state particolarmente inasprite. Si passa da violazioni più leggere, con sanzioni fino a 10 milioni di euro, a quelle più gravi, che possono tradursi in multe fino al 4% del fatturato mondiale di gruppo.
Proprio in tale ottica, e in considerazione delle criticità sollevate da più parti, Confindustria, unitamente ad altre associazioni datoriali, ha inviato due note al Garante per la protezione dei dati personali e al Governo, con l’obiettivo di ottenere a beneficio delle imprese «le necessarie certezze applicative». Confindustria evidenzia la preoccupazione del mondo produttivo in relazione alla circostanza che il quadro normativo al quale le imprese dovranno fare riferimento è ancora caratterizzato da notevoli incertezze anche in ragione del fatto che il termine per approvare il decreto che dovrà integrare le regole europee nel sistema italiano è il 21 maggio e ancora il testo del Decreto non ha concluso l’iter. Gli operatori si trovano davanti un perimetro di regole ancora in via di assestamento e le difficoltà vengono accentuate dall’ampiezza dell’intervento del Regolamento, che, come detto, modifica radicalmente l’approccio richiesto ai titolari di trattamenti di dati personali.
I dubbi normativi e applicativi rallentano le attività di Compliance (conformità) delle aziende già parecchio articolate, con il rischio molto concreto di arrivare al prossimo 25 maggio senza averle ultimate o, comunque, senza avere le necessarie certezze applicative.
Due sono, sostanzialmente le richieste avanzate da Confindustria.
La prima è diretta al Governo: considerando la prossima scadenza del 25 maggio, è necessario che l’iter di attuazione della citata delega sia il più rapido possibile in modo da consentire a tutti gli operatori di adeguarsi pienamente alla nuova disciplina.
La seconda è diretta al Garante della Pricacy: Confindustria auspica un impegno formale, volto a improntare a criteri di gradualità e progressività l’esercizio del potere sanzionatorio e i controlli che l’Autorità svolgerà sull’osservanza di nuovi adempimenti. Torneremo sull’argomento non appena il decreto verrà pubblicato in Gazzetta Ufficiale e comunque allorquando il Garante della Privacy fornirà le necessarie istruzioni operative.
Circolare Assindustria Notizie N. 7859
