Cosa sapere sul GDPR, il nuovo regolamento europeo sulla privacy

GDPR è l’acronimo di General Data Protection Regulation, il Regolamento Europeo UE 2016/679 che diventerà pienamente efficace in tutti i Paesi membri il prossimo 25 maggio e che apporterà importarti modifiche alla disciplina del trattamento dei dati personali.

Cosa Cambia

Il nuovo Regolamento se da un lato riduce gli adempimenti formali a carico del Titolare del trattamento, - persona fisica, giuridica o pubblica amministrazione che determina le finalità e i mezzi del trattamento di dati personali, anche sotto il profilo della sicurezza - dall’altro introduce il principio di “responsabilizzazione”.

In sostanza, sarà il Titolare, tenuto conto del contesto, della natura dei dati e dei rischi che incombono sugli stessi, ad organizzare la propria azienda in modo da assicurare un livello normativamente adeguato di sicurezza, del quale dovrà, se richiesto, giustificare le scelte.

Per raggiungere un adeguato grado di responsabilizzazione è dunque fondamentale in primo luogo acquisire consapevolezza degli adempimenti e degli obiettivi da raggiungere, interpretando correttamente le norme applicabili e successivamente individuare i singoli adempimenti concretamente imposti al Titolare dal Regolamento.

Spesso si conosce la propria struttura sotto profili fiscali o amministrativi, ma non si analizza lo stato di salute dell’azienda sotto il profilo della sicurezza e della corretta gestione del flusso dei dati personali.

A questo proposito un buon punto di partenza potrebbe essere una analisi dell’azienda partendo da alcuni punti fondamentali da tenere in considerazione per valutare quanti degli adempimenti previsti dal Regolamento interessano l’azienda in questione.

Di cosa bisogna tenere conto

• Natura Pubblica o privata del Titolare
• Oggetto dell’attività;
• Tipologia di dati trattati (sensibili, giudiziari, comuni);
• Finalità del trattamento;
• Dimensione della attività (superiore o inferiore a 250 dipendenti);
• Carattere occasionale o meno del trattamento;
• Tipologia e qualifica dei soggetti coinvolti nel trattamento;
• Dimensione dell’azienda

Prima del fatidico 25 maggio, a prescindere dalla valutazione di cui sopra, andrà comunque certamente revisionata ed aggiornata la modulistica, la quale - senza le modifiche previste dalla nuova normativa - potrebbe dare luogo alle sanzioni previste dal Regolamento, che sono state sensibilmente elevate (fino a 10 milioni di euro o fino a 20 milioni di euro a seconda della gravità della violazione).

Sin qui si è parlato di adempimenti del Titolare, il quale continua ad essere il destinatario (in alcuni casi in solido con il Responsabile) delle sanzioni previste dal Regolamento. Va da se che il Titolare può e deve essere supportato nel difficile percorso di adeguamento da professionisti del settore che possano contribuire al processo di “responsabilizzazione” e di consapevolezza delle scelte.

Infine, per verificare lo stato di salute in termini di privacy della propria azienda può essere utile rispolverare la check list predisposta dal Garante al punto 8 della “Guida pratica e misure di semplificazione per le piccole e medie imprese” del 24 maggio 2007

Ad esito del controllo sopra indicato, è evidente che più sono i NO, più lontani si è da un adeguamento a una normativa la cui piena efficacia è ormai alle porte.