gdpr cosa cambia per le imprese

GDPR: cosa cambia per le imprese?

Questa è la domanda che in molti ci poniamo in questo periodo. Il nuovo regolamento europeo sul trattamento dei dati sta creando un po' di scompiglio. E se anche tu sei qui, vuol dire che vuoi vederci chiaro, e che anche la tua domanda ricorrente ultimamente è stata: con l'arrivo del GDPR cosa cambia per le imprese?

Hai bisogno di chiarezza, ed hai ragione. Ci sono talmente tante notizie in rete sull'argomento. Ed alcune di esse, purtroppo, sono scritte da persone non proprio ferrate sul tema e non sono ben approfondite come dovrebbero. Oppure vengono scritte solo per fare notizia e conquistare la buzz word di turno.

Per rendere il discorso "GDPR per le imprese" chiaro e comprensibile, ho chiesto all'avvocato Sergio Alberto Codella dello studio legale associato Boursier Niutta & Partners di fare luce sull'argomento, per evitare di trovarsi impreparati al momento dell'effettiva entrata in vigore.

 

Sergio Alberto Codella, già ospite di Spremute Digitali in occasione dello Smart Working Day, ci parlò in un'intervista delle nuove regole per lo Smart Working. 

Con l'arrivo del GDPR cosa cambia per le imprese?

Q. Prima di iniziare a spiegare ai lettori cosa cambia con l’arrivo del GDPR, introduciamo bene cos'è e in cosa consiste, il nuovo regolamento europeo.

A. GDPR è l’acronimo di General Data Protection Regulation e consiste nella disciplina europea, contenuta nel Regolamento UE 2016/679, volta ad innovare il sistema di trattamento e di circolazione dei dati personali delle persone che operano nell'Unione.

Alla luce del sempre maggiore sviluppo tecnologico, si è sentita la necessità di offrire non solo certezza giuridica, ma anche strumenti di più semplice comprensione alle persone interessate.

Peraltro negli ultimi tempi l’attenzione sull’argomento sta crescendo sempre più, considerato che nel Maggio 2018 la nuova disciplina europea entrerà in vigore.

È importante sottolineare l’approccio adottato nel regolamento e, cioè, quello di tentare di estendere significativamente il campo di applicazione della normativa, arrivando a ritenere “incluse” nella disciplina del GDPR, anche le ipotesi in cui il titolare del trattamento non sia stabilito nell'Unione Europea. Ma l’offerta di beni e di servizi, oppure il monitoraggio dei comportamenti, riguardi persone presenti all'interno dell’Unione stessa.

Ciò significa che il GDPR è efficace, non solo nei confronti delle imprese “europee", ma anche nei confronti di quelle che, pur essendo “extra-UE”, trattano dati di soggetti residenti all'interno della UE. Le imprese “straniere” saranno quindi costrette ad adattarsi alla normativa europea, qualora decidano di trattare dati di cittadini UE.

L’atteggiamento “espansionistico” della normativa europea si deduce anche dalla stessa definizione di “dato personale” che è davvero ampia, andando a ricomprendere “qualsiasi informazione riguardante una persona fisica identificata o identificabile” ivi inclusi “uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Il fatto che l’Europa stia dando sempre più importanza alla materia, si evince anche dall'articolato sistema sanzionatorio che, per ipotesi di gravi violazioni, arriva addirittura a configurare sanzioni fino al 4% del fatturato mondiale annuo, oppure fino a 20 milioni di euro.

Q. Con l’entrata in vigore del GDPR, cosa cambia per le imprese?

A. I cambiamenti sono molti e le società che non si sono ancora adeguate, hanno la necessità di recuperare il tempo perso.

Tra le tante novità se ne possono annoverare alcune che possono ritenersi più significative per comprendere le finalità e gli obiettivi che si è posta l’Unione Europea.

Si può menzionare, ad esempio, il ruolo sempre più centrale dell’informativa e del consenso al trattamento. L’Unione Europea impone infatti di dovere predisporre informative facilmente comprensibili e ciò al fine di potere ottenere un valido consenso.

Vi sono, inoltre, importanti previsioni in tema di “breach notification”. In caso di “violazione” che possa determinare un rischio per i diritti e le libertà delle persone, si dovrà darne una tempestiva notifica (entro 72 ore) alle autorità locali competenti, e anche le persone interessate dovranno essere avvertite senza ritardo. Ciò, di fatto, obbliga le imprese ad implementare adeguati sistemi che possano offrire una tempestiva segnalazione del breach.

In questi mesi si è anche molto discusso sul DPO (Data Protection Officer) e, cioè, del soggetto che - per le proprie competenze professionali e per svolgere compiti di consulenza, verifica e controllo in materia - deve essere nominato non solo nelle pubbliche amministrazioni, ma anche nelle imprese che, su larga scala, richiedono il monitoraggio sistematico di grandi quantità di dati o di dati sensibili.

Nel GDPR è anche prevista una specifica declinazione del diritto di accesso delle persone, in quanto l’interessato ha diritto di conoscere - gratuitamente e con trasmissione elettronica - l’esistenza dei dati che lo riguardano, così come il “luogo” in cui sono tenuti, le finalità etc.

Ovviamente molti diritti degli interessati non sono altro che una faccia della medaglia cui corrispondono, dall’altra parte, gli obblighi per le imprese.

Si pensi, ad esempio, al diritto all’“oblio” inteso come l’obbligo del titolare del trattamento, di cancellare senza ingiustificato ritardo i dati personali dell’interessato, la previsione della tenuta di un registro delle attività di trattamento svolte, l’implementazione di metodologie di “privacy by design” per la valutazione del rischio (con l’adozione di comportamenti in grado di assicurare la tutela della privacy sin dall'inizio del processo) e di “privacy by default” (e, quindi, di implementazione di strumenti che possano ridurre al minimo il trattamento dei dati).

Q. Privacy e protezione dati. È permesso trasferire i dati fuori dall’UE?

A. Un ulteriore punto cardine del GDPR è quello relativo alla disciplina sull'“esportazione” dei dati fuori dall'Unione Europea.

In generale, il trasferimento dei dati fuori all'Unione Europea è consentito solo in specifici casi ed a determinate condizioni. Vi deve essere infatti un espresso consenso (concesso a seguito di una adeguata informativa), oppure la verifica sulla sussistenza di elevati standard di sicurezza nel Paese terzo.

La valutazione sul rispetto dei detti standard è rimessa in primis alla Commissione europea che, peraltro, deve periodicamente ri-verificarla.

A questa situazione se ne possono aggiungere altre due:

  • l’ipotesi in cui il trasferimento è permesso, qualora il titolare del trattamento possa offrire adeguate garanzie anche in punto di esercizio di effettiva tutela;
  • oppure qualora siano state implementate delle norme aziendali vincolanti (le c.d. BCR – Binding Corporate Rules) che offrano un livello - adeguato - di tutela all'interno dei gruppi societari che sia stato verificato dalle autorità di controllo europee o nazionali.

Alcune ulteriori deroghe sono inoltre state previste, ad esempio, in caso di esigenze di ordine pubblico o giudiziarie.

In ogni caso, il trasferimento fuori dalla UE deve essere sempre effettuato con modalità che, da un lato, tutelino sempre l’interessato e, dall’altro, che siano meno invasive e massive possibili.

Q. Quali suggerimenti ti sentiresti di dare ad aziende ed imprese per prepararsi al GDPR?

A. La necessità di adeguarsi al GDPR ha determinato per molte aziende l’opportunità di avviare un virtuoso processo di analisi, progettazione e sviluppo delle attività.

Solitamente, è necessario prestare un’attività di pre-verifica sui requisiti previsti dal GDPR. Poi, “calarli” all’interno della specifica realtà aziendale per verificare lo “stato dell’arte”, tenendo ben presente anche la particolarità di alcuni settori (come può essere quello sanitario).

Prestata tale analisi preliminare, si attiva un processo di interventi volti a sanare subito le “falle” più gravi, attraverso, ad esempio, la nomina delle figure chiave, l’introduzione e la modifica di sistemi, modelli, procedure o registri aziendali. Il tutto, tenendo sempre ben presente i rischi e le sanzioni previste, in caso di mancato adeguamento alla normativa.

È poi importante sottolineare che, nell’ottica dell’accountability, il percorso progettuale di adeguamento al GDPR costituisce di per sé un elemento di fondamentale importanza per la valutazione della compliance.

Appare centrale anche l’attività di documentazione, tracciamento e registrazione del processo di adeguamento e “messa a norma” del modello.

Tutto ciò è peraltro coerente con lo “spirito” del GDPR che sembra volere introdurre in modo sempre più significativo, verifiche effettive e non solo formali del rispetto della normativa in materia di trattamento dei dati, con una crescente responsabilizzazione degli operatori.

 

Commenti

commenti

Sara Duranti

4 comments

Leave a reply