Privacy: la tua azienda e’ pronta alle novita’ del nuovo Regolamento Europeo?

Il 24 Maggio 2016 è entrato in vigore il nuovo Regolamento Europeo in materia di protezione dei dati personali (GDPR- General Data Protecion Regulation) nonché la Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini.

Per adeguarsi alle nuove regole, imprese e pubbliche amministrazioni avranno tempo sino al 25 Maggio 2018, rivedendo i propri sistemi di gestione dei dati all’interno dell’organizzazione e prevenire la perdita di dati e la loro diffusione.

Malgrado il nuovo GDPR interessi tutte le aziende di qualsiasi dimensione e settore di mercato, operanti nell’Unione Europea o anche al di fuori qualora trattino dati relativi a cittadini comunitari, sono poche le imprese pronte a fare fronte ai nuovi obblighi.

Ma cosa prevede il nuovo Regolamento?

E’ prevista, innanzitutto, una maggiore responsabilità per i soggetti che pongono in essere il trattamento dei dati, la quale passa attraverso un sistema che vincola la propria attività a maggiori adempimenti.

Il titolare designa il responsabile del trattamento tramite contratto (o altro atto giuridico conforme al diritto nazionale), che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.

Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio, devono tenere un registro delle operazioni di trattamento che deve contenere i dati indicati all’art. 30, tra cui le categorie di destinatari a cui i dati personali sono stati o saranno comunicati e, ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate per garantire un livello di sicurezza adeguato al rischio.

Si tratta di uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Nel caso di:

1. trattamenti automatizzati compresa la profilazione

2. trattamenti su larga scala di categorie particolari di dati personali o dati relativi a condanne penali

3. sorveglianza sistemica su larga scala di zone accessibili al pubblico

è obbligatoria la c.d. valutazione d’impatto sulla protezione dei dati (Privacy Impact Assessment) da effettuarsi preliminarmente prendendo in considerazione le modalità, finalità e contesto in cui si esplica il trattamento e mettendoli in relazione ai possibili rischi.

Altra importante novità introdotta dal GDPR è quella dell’estensione, a tutti i titolari del trattamento, dell’obbligo di comunicazione di un’eventuale violazione dei dati personali.

Mentre ora la normativa nazionale stabilisce l’obbligo di comunicazione di eventi lesivi della sicurezza dei dati solo in casi specifici, nel GDPR ogni titolare del trattamento ha l’obbligo di comunicare al Garante l’eventuale violazione dei dati personali da lui trattati, entro 72 ore dal momento in cui ne è venuto a conoscenza e comunque senza ingiustificato ritardo, qualora ritengano probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati.

Tale comunicazione deve contenere alcuni dati essenziali circa l’avvenuto “incidente informatico” tra cui, la natura della violazione dei dati personali e le misure adottate o che si prospetta di adottare da parte del titolare per porvi rimedio ed attenuarne le conseguenze negative.

Risulta, inoltre, notevolmente potenziato l’apparato sanzionatorio e il profilo delle responsabilità.

Chiunque, infatti, subisca un danno materiale o immateriale causato da una violazione del Regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento, i quali sono esonerati da responsabilità solo se dimostrano che l’evento dannoso non gli è in alcun modo imputabile.

Per la violazione del Regolamento, inoltre sono stabilite pesanti sanzioni pecuniarie: per queste, infatti, si prevedono soglie molto alte, con possibilità di quantificazioni fino a 20 milioni di Euro o fino al 4% del fatturato globale annuo.