Privacy. GDPR, manca meno di un mese dall'entrata in vigore delle norme europee. Le aziende sono pronte?
10:28:28 3849Manca poco all’ entrata in vigore del nuovo Regolamento Ue e la maggior parte delle imprese italiane sembra essere impreparata ad accoglierne le novità. Tutto ciò che c’è da sapere sulla nuova, rivoluzionaria, normativa. Severe le sanzioni fino a 20 milioni di euro o 4% del fatturato.
A partire dal prossimo 25 maggio sarà direttamente applicabile in tutti gli Stati membri dell’Unione Europea il Regolamento 2016/679, noto come GDPR (General Data Protection Regulation) – volto a modificare le modalità di trattamento e di circolazione dei dati personali delle persone che operano nell'Unione. Il GDPR nasce come risposta, necessaria, alle nuove sfide poste dai continui sviluppi tecnologici, nonché dall’ esigenza di armonizzare e semplificare le norme riguardanti il trasferimento dei dati personali provenienti da tutta l’ unione e tutte le aziende saranno costrette a uniformarsi, dalle grandi alle piccole.
In estrema sintesi le nuove disposizioni prevedono l’introduzione di regole più chiare e precise sull’informativa e il consenso, la definizione di limiti al trattamento automatizzato dei dati personali e fissano norme rigorose per i casi di violazione dei dati (fenomeno del data breach). Le norme verranno applicate anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue e la valutazione e il monitoraggio sul rispetto dei parametri sarà affidata alla Commissione europea.
Alla luce dei numerosi cambiamenti previsti dalla nuova normativa, diventerà dunque prioritario, per ciascun paese, definire i criteri per allinearvisi. Attualmente in Italia oltre la metà delle aziende non è ancora pronta, nonostante le severe sanzioni (fino a 20 milioni di euro o il 4% del fatturato) previste per gli inadempienti. Tuttavia un aiuto potrebbe arrivare dal Piano Industria 4.0 che permetterebbe di investire ingenti risorse per avviare l’adeguamento richiesto.
Il Regolamento sembra, quindi, destinato a introdurre un cambiamento significativo in materia di trattamento dei dati personali, esattamente come era avvenuto con l’introduzione del “Codice privacy”, entrato in vigore nel 2004 e considerato per oltre vent’anni la “direttiva madre” in materia, e prima ancora con la legge 657/1996.
Tra le novità più importanti merita di essere segnalata l’introduzione della figura del “Responsabile della protezione dei dati” (Data Protection Officer o DPO) che avrà il compito di garantire una gestione corretta dei dati personali nelle imprese e negli enti e le norme in tema di breach notification : nel caso in cui vi fosse una violazione dei dati personali che possa comportare seri rischi per i diritti e le libertà delle persone si dovrà avvertire tempestivamente (entro 72 ore) le autorità locali competenti e le persone interessate. L’ obbligo di notifica tempestiva costringe le imprese a fornirsi di sistemi adeguati.
Il GDPR, inoltre, introduce il principio di responsabilizzazione, anche noto come principio dell’ Accountability, di cruciale importanza per aziende e pubbliche amministrazioni e in virtù del quale il titolare del trattamento dei dati dovrà sempre dimostrare l’adeguatezza e la conformità delle proprie azioni al Regolamento.
La vera e propria rivoluzione arriva, però, con l’ articolo 17 che enuncia il diritto all’oblio che stabilisce la richiesta di cancellazione rivolta a un titolare che abbia reso pubblici i dati e l’obbligo di trasmetterla a tutti coloro che li utilizzano.
A preoccupare, tuttavia, la possibilità per gli Stati membri di legiferare autonomamente al fine di allineare le norme contenute nel Regolamento alle leggi nazionali, aspetto che potrebbe in qualche modo contrapporsi alla volontà dell’ Unione di creare una normativa universale e valida per tutti i membri allo stesso modo. Ad ogni modo per risolvere eventuali difficoltà è stato introdotto lo sportello unico, così da cercare di garantire l’approccio uniforme desiderato.
Carmen Chiara Camarca