GDPR (privacy) – A pochi giorni dal 25 maggio 2018 occorre fare il punto della situazione e sensibilizzare quelle imprese che non hanno ancora intrapreso il percorso di adeguamento al nuovo Regolamento europeo.
Il termine ultimo per adeguarsi alla nuova normativa privacy è il 24 maggio 2018 e il Regolamento europeo è direttamente applicabile nei singoli stati membri, dunque non c’è spazio per proroghe da parte del legislatore nazionale, anche se tutto fa pensare che il Garante non ricorrerà da subito al massimo delle sanzioni (che possono arrivare fino al 4% del fatturato mondiale). Infatti, altre Autorità, come il Garante francese, hanno dichiarato che in un primo momento saranno preferite prescrizioni alle sanzioni; tuttavia il CNIL ha sottolineato che questo “periodo di grazia” riguarda solo i nuovi obblighi o diritti derivanti dal GDPR ed è subordinato alla condizione che l’impresa evidenzi una complessiva buona fede, abbia messo in atto un percorso di adeguamento e abbia manifestato la volontà di cooperare con l’Autorità.
Verrà emanato un decreto di armonizzazione della normativa, ma indipendentemente dal decreto il Regolamento sarà comunque applicabile e costituirà il nuovo quadro normativo, peraltro risultando prevalente laddove la normativa nazionale di recepimento fosse difforme.
Tutte le imprese sono coinvolte in questo adeguamento?
Si, chi più chi meno, ma tutte. L’8 maggio alle ore 15 presso il nostro Centro Congressi incontriamo le imprese con un’iniziativa promossa dalla Confindustria : “Una bussola per la nuova privacy” al fine di condividere le ultime novità normative e interpretative e di sfatare alcune leggende quali la nomina obbligatoria del Responsabile per la protezione dei dati (RPD o DPO) indistintamente per tutte le imprese o la necessità di effettuare la valutazione d’impatto sulla protezione dei dati indipendentemente dai trattamenti effettuati.
Diversi livelli di adempimenti: sistema privacy organizzato su misura
Il GDPR prevede livelli di adempimenti diversi a seconda dei trattamenti che vengono effettuati dal titolare. Pertanto, il sistema privacy aziendale deve essere creato su misura per ogni realtà imprenditoriale al fine inserirsi in modo intelligente e dinamico all’interno della struttura aziendale Più l’imprenditore utilizza mezzi tecnologici per trattare dati personali (dei dipendenti o dei clienti persone fisiche) più si trova coinvolto nel bacino del nuovo regolamento, in una sorta di trade off tra efficientamento e data protecion. Anche sistemi piuttosto diffusi, come il servizio cloud, sono in realtà aspetti da presidiare in un’ottica di protezione dei dati personali.
La nuova normativa privacy, basata sulla valutazione dei rischi, sulla responsabilizzazione del titolare e sul concetto di Privacy by design ha una ratio condivisibile, che si adegua alla realtà odierna, perché nel mondo dei Big Data, di impresa 4.0 , non possiamo non occuparci della sicurezza e della globalizzazione dei dati.
Con il nuovo regolamento la Privacy dovrà far parte del sistema aziendale, perciò le imprese dovranno dotarsi di un “sistema privacy organizzato”, che sarà più semplice per alcune realtà e più complesso per altre, ma che non si deve tradurre in ogni caso oneri formali ed ingiustificati, perché ciò non corrisponderebbe alla ratio della nuova normativa.
Diritto alla protezione dei dati e libertà di impresa
Ci deve sempre essere un giusto bilanciamento tra diritto alla protezione dei dati e libertà di impresa. Il Regolamento annovera tra le sue finalità sia la protezione dei dati personali che la loro libera circolazione. Infatti, il considerando n. 4 recita: “Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, [tra cui] la libertà d’impresa.” In questo contesto è necessario attuare gli adempimenti previsti dal Regolamento con ragionevolezza e buon senso, calandosi nella realtà aziendale senza venire meno ai nuovi obblighi.
La privacy può diventare un’opportunità
Molte aziende che hanno già intrapreso questo percorso di adeguamento al GDPR si sono rese conto che partendo da un’attività di mappatura dei dati aziendali, rivedendo chi fa che cosa (organigramma e filiera) e facendo un po’ di pulizia e chiarezza nell’organizzazione dei dati aziendali a 360°, l’impresa, oltre che adempiere al Regolamento, riesce ad avere un sistema più efficiente e riesce anche a valorizzare i propri dati. I dati aziendali, personali e non, sono sempre più un asset da difendere e tutelare e questa nuova normativa rappresenta un ulteriore strumento utile a difendere il patrimonio aziendale e a stimolare le possibilità di crescita dell’economia digitale.