Nuovo Regolamento Europeo (GDPR) in materia di Privacy

Come noto, il prossimo 25 maggio 2018, diventerĂ  operativo e dunque applicabile in tutti gli Stati membri della CE, il Nuovo Regolamento Europeo (GDPR General Data Protection Regulation) sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchĂ© alla libera circolazione di tali dati. Il Nuovo Regolamento promuove la tutela dei dati personali, con una nuova filosofia di approccio rispetto al passato, basata sulla responsabilizzazione dei titolari del trattamento dati (c.d. accountability). La logica propria del Regolamento è quella di richiedere alle aziende una messa a punto di processi interni di trattamento dati che, partendo da una preventiva valutazione dei rischi sull’utilizzo dei dati stessi, possa mettere in atto sistemi e condizioni di tutela ad hoc specializzati, dunque, in ragione dell’effettiva attivitĂ  aziendale.  Per le aziende, pertanto, sarĂ  obbligatorio, effettuare una valutazione di impatto preventiva (DPIA) laddove e qualora il trattamento dei dati ponga rischi per i diritti delle persone, e adoperarsi per evitare danni agli interessati. 

Alcuni dei principi caratterizzanti la precedente normativa vengono confermati e pertanto rimangono operativi anche con l’entrata in vigore del nuovo Regolamento, se pur con qualche modifica e un contenuto piĂą pregnante (per esempio l’obbligo di informativa, il consenso dell’interessato, la distinzione tra dati personali e dati sensibili). Altri, invece, rappresentano delle novitĂ  o parzialmente tali (citiamo la denominazione degli attori – il titolare del trattamento, il responsabile del trattamento, i corresponsabili, il responsabile della protezione dati, il diritto all’oblio, il data breach, l’accountability).

Per alcune aziende ed enti pubblici sarĂ  necessario dotarsi anche di un Responsabile della protezione dei dati (RPD) Data Protection Officer (DPO), ossia di una figura specializzata che assicuri la corretta gestione delle informazioni. Scompariranno alcuni oneri amministrativi, quali ad esempio quelli di notificazione anticipata di particolari trattamenti al Garante; in tal senso, si parla di una maggiore responsabilizzazione a fronte di una semplificazione.

Nelle aziende, pertanto, il titolare dovrĂ  effettuare le valutazioni del caso per ridurre al minimo il trattamento dei dati dei propri dipendenti e, in particolare, per utilizzare i dati necessari di ciascun dipendente unicamente per le specifiche finalitĂ  previste dal trattamento oggetto di informativa e consenso.

Il Regolamento ridisegna, infine, il sistema sanzionatorio, prevedendo sanzioni che sono state particolarmente inasprite. Si passa da violazioni piĂą leggere, con sanzioni fino a 10 milioni di euro, a quelle piĂą gravi, che possono tradursi in multe fino al 4% del fatturato mondiale di gruppo.

Proprio in tale ottica, e in considerazione delle criticitĂ  sollevate da piĂą parti, Confindustria, unitamente ad altre associazioni datoriali, ha inviato due note al Garante per la protezione dei dati personali e al Governo, con l’obiettivo di ottenere a beneficio delle imprese «le necessarie certezze applicative». Confindustria evidenzia la preoccupazione del mondo produttivo in relazione alla circostanza che il quadro normativo al quale le imprese dovranno fare riferimento è ancora caratterizzato da notevoli incertezze anche in ragione del fatto che il termine per approvare il decreto che dovrĂ  integrare le regole europee nel sistema italiano è il 21 maggio e ancora il testo del Decreto non ha concluso l’iter. Gli operatori si trovano davanti un perimetro di regole ancora in via di assestamento e le difficoltĂ  vengono accentuate dall’ampiezza dell’intervento del Regolamento, che, come detto, modifica radicalmente l’approccio richiesto ai titolari di trattamenti di dati personali. 

I dubbi normativi e applicativi rallentano le attività di Compliance (conformità) delle aziende già parecchio articolate, con il rischio molto concreto di arrivare al prossimo 25 maggio senza averle ultimate o, comunque, senza avere le necessarie certezze applicative.

Due sono, sostanzialmente le richieste avanzate da Confindustria.

La prima è diretta al Governo: considerando la prossima scadenza del 25 maggio, è necessario che l’iter di attuazione della citata delega sia il piĂą rapido possibile in modo da consentire a tutti gli operatori di adeguarsi pienamente alla nuova disciplina. 

La seconda è diretta al Garante della Pricacy: Confindustria auspica un impegno formale, volto a improntare a criteri di gradualitĂ  e progressivitĂ  l’esercizio del potere sanzionatorio e i controlli che l’AutoritĂ  svolgerĂ  sull’osservanza di nuovi adempimenti. Torneremo sull’argomento non appena il decreto verrĂ  pubblicato in Gazzetta Ufficiale e comunque allorquando il Garante della Privacy fornirĂ  le necessarie istruzioni operative.

Circolare Assindustria Notizie N. 7859