PRIVACY – Il percorso verso la GDPR tra novità, obblighi e opportunità

Il General Data Protection Regulation, ossia il nuovo Regolamento europeo in materia di privacy e protezione dei dati personali, concretizza l’ideale perseguito a livello comunitario di fornire a tutti gli Stati membri dell’Unione Europea una disciplina comune in tale materia.

Tuttavia, com’è facile immaginare, una normativa sovranazionale unica e valida per tutte le aziende, i professionisti e i cittadini sparsi sul territorio europeo non può tenere certo in considerazione le singole particolarità degli Stati membri, specie in un campo delicato com’è quello della diffusione dei dati personali.

E’ consigliabile, quindi, rivolgersi a soggetti particolarmente qualificati nel fornire assistenza e consulenza; con qualche esempio pratico, sarà agevole capirne l’importanza.

Partiamo dal consenso: quand’è necessario che sia espresso? E quando, invece, è sufficiente un mero comportamento dell’utente? E’ necessaria la forma scritta? E per i minori come funziona? E se l’azienda (o il professionista) ha raccolto il consenso prima dell’entrata in vigore del GDPR (25 maggio), il consenso resta valido?

Come si può vedere, i quesiti che un’azienda o un professionista devono affrontare sono molteplici già solo sul tema del consenso al trattamento dei dati.

Il GDPR, però, introduce significative novità anche su altre questioni che già normalmente, con l’attuale Codice della Privacy italiano (D. Lgs. 196/2003), si rivelavano spinose per aziende e professionisti: una di queste è senza dubbio l’informativa sul trattamento dei dati personali.

Dimentichiamoci, infatti, le formule di stile e i richiami a leggi e normative di vario genere, delle quali noi italiani siamo maestri: il Regolamento impone che l’informativa sia concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice e, per i minori, occorre prevedere informative idonee.

La predisposizione di un’informativa che sia rispettosa di tali requisiti, ma anche completa e idonea dal punto di vista tecnico a soddisfare tutte le richieste del Regolamento, non può essere certo lasciata all’improvvisazione ed è sconsigliato limitarsi a “semplificare” la vecchia informativa sinora utilizzata.

Ulteriori incombenze per aziende e professionisti possono sorgere, poi, nel caso in cui un utente voglia richiedere l’accesso ai propri dati personali che siano in possesso di terzi: il GDPR, infatti, prevede tempi abbastanza stringenti per riscontrare tali richieste e, quindi, impone l’adozione di misure tecniche e organizzative per favorire l’esercizio dei diritti degli interessati.

Fra questi diritti, è particolarmente significativo il cosiddetto “diritto all’oblio”, ossia alla cancellazione dei propri dati personali, che è stato fortemente rafforzato dal GDPR rispetto all’attuale Codice della Privacy.

Infine, la necessità di un’assistenza e consulenza esterna è inevitabile per adempiere a una serie di ulteriori obblighi previsti dalla nuova normativa europea, dall’adozione di misure di sicurezza finalizzate a evitare la diffusione illecita dei dati personali alla nomina di un apposito responsabile della protezione dei dati (“RPD”, oppure “DPO” se si utilizza la dicitura inglese).

Altrettanto importante è l’adeguata formazione del personale aziendale: il semplice rispetto degli adempimenti formali, infatti, non è sufficiente se poi i soggetti che materialmente lavorano in azienda ogni giorno non conoscono la nuova normativa, almeno nelle sue linee essenziali, e rischiano quindi di commettere inosservanze.

Attraverso i servizi offerti da Sistema Impresa Roma, quindi, l’azienda potrà essere inserita in un percorso completo per adeguarsi al GDPR, dalla fase preliminare di studio della singola realtà imprenditoriale fino alla fase esecutiva (nomina dei responsabili, mappatura delle criticità, verifica continua dell’adeguatezza della privacy policy, etc.); le imprese, poi, potranno essere eventualmente inserite in piani di formazione finalizzati ad assicurare l’adeguata conoscenza, in tutti i settori aziendali, degli obblighi nascenti dal Regolamento, così da ridurre costi, sprechi e inefficienze.

Sistema Impresa Roma
Sistema Impresa Roma

3 Commenti finora

ViolaScritto il 4:57 pm - Mag 18, 2018

Salve, avrei una domanda e spero che possiate aiutarmi… se ho raccolto il consenso al trattamento dei dati prima del 25 maggio con la vecchia normativa, posso utilizzare i dati raccolti oppure devo procedere all’acquisizione di un nuovo consenso? Grazie

Sistema Impresa Roma

Sistema Impresa RomaScritto il 3:49 pm - Mag 22, 2018

A questa domanda ha risposto il nostro Garante per la Privacy, il quale ha chiarito che resta valida l’acquisizione antecedente al 25 maggio solo se il consenso ha tutte le caratteristiche imposte dal nuovo regolamento: in caso contrario, è necessario procedere a una nuova acquisizione.

Ecco perché è necessario affidarsi alla consulenza di soggetti particolarmente qualificati: la verifica delle caratteristiche dei consensi raccolti prima del 25 maggio potrebbe infatti far risparmiare all’azienda i costi di una nuova “campagna” di acquisizione del consenso, oppure (nel caso di invalidità del vecchio consenso) potrebbe evitare all’impresa le pesanti sanzioni previste dal GDPR.

Non esiti a contattarci per ulteriori informazioni.

Lascia un commento