Privacy: le novità introdotte dal Regolamento Europeo 2016/679 (GDPR)

Come essere in regola con la nuova normativa - Avv. Massimo Pucci

a) Premessa

Il termine “privacy” ha subito, negli anni, incredibili e ciclici picchi di popolarità: temuto dalle aziende che hanno quasi sempre visto la regolamentazione del trattamento dei dati personali come una briglia allo svolgimento della loro attività di impresa, invocato dai cittadini che in esso hanno sempre individuato un freno all’intrusione nella propria vita quotidiana e snobbato da chi ha avuto sempre più “fame” di dati personali, di capire le abitudini dei propri clienti e dei potenziali clienti, per massimizzare il proprio profitto.

Il 25 giugno 2018 è entrato in vigore il nuovo regolamento europeo in materia di tutela dei dati personali (2016/679, meglio conosciuto come GDPR - acronimo di General Data Protection Regulation) e la “privacy” è tornata improvvisamente sulla cresta dell’onda; ma quali sono le principali novità introdotte da tale normativa?

b) GDPR Vs. D.Lgs. 196/03

L’impatto del nuovo regolamento è stato abbastanza dirompente: a parte l’iniziale ritrosia di chi ha sottovalutato una norma avente applicazione due anni dopo la sua emissione (non siamo evidentemente abituati a programmare per tempo gli adempimenti) l’approssimarsi della data del 25 giugno 2018 ha creato una notevole agitazione nei settori coinvolti.

Viene da chiedersi, però, se tale reazione (che continua in parte anche a quasi due anni da tale data) sia giustificata, ovvero se il regolamento europeo sia una riforma radicale del panorama della tutela dei dati personali o se sia la mera formalizzazione di concetti già noti ed elaborati in seguito all'applicazione ed all'interpretazione delle norme esistenti.

Chi scrive è del parere che il regolamento rappresenti una via di mezzo: riproduce concetti e norme già note e già esistenti (in Italia contenute nel D.Lgs. 196/03 - c.d. “codice privacy”) innovando, però, le modalità di implementazione delle stesse da parte dei soggetti coinvolti e introducendo un impianto sanzionatorio di impatto non trascurabile.

c) le principali novità introdotte dal GDPR

Premesso, quindi, che la grande parte delle norme contenute nel GDPR erano già in vigore con la normativa italiana, si deve sottolineare come sia stato totalmente ribaltato l’approccio richiesto alla applicazione di tali norme nelle realtà che trattano i dati personali: al bando la lista predeterminata delle misure di sicurezza minime da adottare per essere al riparo dalle sanzioni, via libera per i concetti di “privacy by design” e “privacy by default”.

In altre parole viene richiesto a chi effettua trattamenti di dati personali di analizzare i propri processi inerenti il trattamento, i rischi cui essi sono sottoposti e introdurre, conseguentemente, le misure di sicurezza che si ritengono essere adeguate a scongiurare tali rischi.

Pertanto la responsabilità di aver svolto una attenta analisi e di aver predisposto le misure di sicurezza adeguate si sposta interamente in capo al soggetto che effettua il trattamento, che sarà soggetto alle ingenti sanzioni in caso di inosservanza e di inadeguatezza del proprio operato.

Altre tra le principali novità introdotte dal regolamento sono un opportuno restyling e snellimento della informativa (che deve essere chiara e comprensibile), l’introduzione di nuovi diritti, quali il diritto all’oblio e il diritto alla portabilità dei dati e la introduzione della figura del D.p.o. (Data Protection Officer).

d) le sanzioni

Il GDPR prevede due gruppi di sanzioni:

• nel primo rientrano le violazioni di minore gravità, per le quali sono previste le sanzioni amministrative pecuniarie di importi fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore;

• nel secondo gruppo rientrano le violazioni più gravi; le sanzioni previste arrivano fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Se sei un’azienda o se effettui comunque trattamenti di dati personali per svolgere la tua attività, sai perfettamente quanto sia difficile organizzare le operazioni e i sistemi di trattamento in modo da rendere agevole l’attività di impresa rispettando in toto le disposizioni normative e minimizzando il rischio di sanzioni.

L’improvvisazione può causare gravi danni alla tua attività: Nettuno Consulting, con i suoi professionisti in campo tecnico e legale, può fornire consulenza e assistenza a 360° per analizzare la situazione attuale della tua azienda e suggerire le modalità per rispettare la normativa vigente e minimizzare i rischi derivanti dal trattamento dei dati personali.

Il contenuto del presente articolo, nonchè di quanto contenuto nell’intero sito web e nelle pagine social è di proprietà esclusiva dei professionisti partner di Nettuno Consulting. E’ vietato ogni genere di uso, riproduzione, manipolazione o estrapolazione differente dalla mera lettura e dalla citazione dei contenuti mediante link diretto alla pagina del sito www.nettunoconsulting.com o del profilo social allo stesso afferente in cui essi sono presenti.