L'adeguamento al GDPR europeo sulla privacy

Dal 25 maggio 2018, anche in Italia, è divenuto efficace il Regolamento europeo n. 679/2016 in materia di trattamento dei dati personali. Attraverso la nuova disciplina, l’UE esige da parte di tutti coloro che trattano dati personali un’attenta riflessione in merito al valore del “bene” che gestiscono: ed è proprio la privacy intesa come bene personale la chiave attraverso la quale interpretare l’intera disciplina.

Infatti, la riservatezza è ormai da intendere come il nuovo “bene di lusso” che solo pochi privilegiati si possono permettere e a carissimo prezzo. Per tutti gli altri, la vita quotidiana costringe ad avventurarsi in una selva di login, username e password per ottenere i quali occorre sacrificare un “quantum” della propria vita privata.

Non pare, dunque, ingiustificato che l’Unione Europea abbia richiesto da parte di tutti coloro che in qualche modo si trovino a gestire dati, non necessariamente sensibili, l’adozione di protocolli e procedimenti valutativi al fine di tutelare i diritti dei titolari del bene della riservatezza.

L’aspetto peculiare della disciplina, che forse è sfuggito a molti, è che in realtà coloro che gestiscono i dati personali non sono solo le aziende di medie e grandi dimensioni o coloro che raccolgono dati per via telematica, con siti internet o social network, ma anche le più piccole realtà commerciali o artigianali che, ad esempio, tengono traccia dei nominativi dei loro clienti o fornitori nelle fatture: infatti, persino la  raccolta e l’utilizzo di un numero di telefono o di un indirizzo e-mail costituisce trattamento dei dati personali.

A questo riguardo vi è da rilevare che l’informazione è stata scarsa, nonostante il rischio per coloro che non si adeguano alla nuova normativa sia assolutamente importante e da non trascurare: il Garante delle Privacy è, infatti, in grado di irrogare ai trasgressori sanzioni fino al 4% del fatturato.

Che fare allora? Intanto affidarsi a un professionista esperto che sia in grado, dopo uno screening dell’azienda, di personalizzare le procedure di adeguamento e che si possono riassumere nel modo che segue:

• Preliminare disamina dei dati che saranno oggetto di trattamento, individuando le varie tipologie di dati, le categorie di appartenenza e la verifica della finalità di ogni trattamento

• Predisposizione dell'informativa (o il suo aggiornamento) che deve essere fornita agli interessati nel rispetto di tutti gli elementi indicati agli artt. 13 e 14 del GDPR.  In particolare, gli interessati dovranno essere messi a conoscenza dei diritti che il Regolamento riconosce loro (diritto di accesso, diritto all'oblio, diritto di rettifica, diritto di limitazione e di opposizione al trattamento, diritto alla portabilità dei dati)

• Predisposizione del registro delle attività di trattamento dei dati personali, qualora esso risulti necessario in base al disposto dell'art. 30 del GDPR

• Instaurazione di una procedura da adottare in caso di eventuali violazioni dei dati (c.d. Data Breach), ad esempio al verificarsi di una divulgazione (intenzionale o meno), della distruzione, della perdita, della modifica o dell'accesso non autorizzato ai dati personali oggetto di trattamento

• Come da art. 35 del GDPR, si configura, in capo al titolare del trattamento (e con la possibilità di consultare il Responsabile della protezione dei dati se esistente), l'obbligo di procedere ad una valutazione d'impatto sulla protezione dei dati nel caso in cui un tipo di trattamento, in considerazione della natura, dell'oggetto, del contesto e delle finalità del trattamento stesso, presenti un rischio elevato per i diritti e le libertà delle persone fisiche. Il GDPR non sancisce un vero e proprio obbligo di effettuazione della valutazione d'impatto, ma prevede un generale obbligo, in capo al titolare del trattamento, di attuare le misure idonee al fine di gestire adeguatamente i rischi per i diritti e le libertà degli interessati che possono derivare dal trattamento dei loro dati. Sarà, quindi, opportuno procedere all'effettuazione della valutazione d'impatto anche quando sul titolare non incombe l'obbligo normativo in tale senso

• Un altro adempimento che viene richiesto al titolare del trattamento consiste nella designazione del Responsabile della protezione dei dati. Tale nomina è obbligatoria, come previsto dall'art. 37 del GDPR, soltanto in una serie di ipotesi, e precisamente, nel caso in cui il trattamento dei dati sia effettuato da un'autorità pubblica o da un organismo pubblico (ad eccezione per le autorità giurisdizionali quando esercitano le loro funzioni); quando le attività principali svolte del titolare o del responsabile del trattamento consistono in operazioni che, per la loro natura, l'ambito di applicazione o le finalità, richiedono un monitoraggio regolare e sistematico degli interessati su larga scala; e infine nel caso in cui le attività principali effettuate consistano nel trattamento, su larga scala, di dati sensibili o di dati relativi a condanne penali e a reati consistenti nell'illecito trattamento dei dati personali. Anche quando il regolamento non impone l'obbligo di nominare un DPO, è comunque possibile che la sua nomina avvenga su base volontaria

Ad oggi bisogna segnalare che solo le imprese più strutturate si stanno impegnando nelle procedure di adeguamento, mentre per le realtà piccole o piccolissime molto rimane da fare e ciò a fronte di rischi certamente non trascurabili.

Tuttavia, nonostante il termine per l’adeguamento alla normativa europea sia scaduto, è ancora possibile mettersi in regola evitando così l’irrogazione di pesanti sanzioni.