Adempimenti per la privacy: guida Ance per le imprese
Diventerà applicabile il 25 maggio 2018, in tutti gli Stati membri, il Nuovo Regolamento Europeo (GDPR) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, (in vigore dal 24 maggio 2016).
Il Nuovo Regolamento, che fa parte di un pacchetto di protezione dati, unitamente alla “Direttiva in materia di trattamento dati personali nei settori di prevenzione, contrasto e repressione dei crimini”, promuove la tutela dei dati personali basata sulla responsabilizzazione dei titolari del trattamento dati (c.d. accountability).
La logica propria del Regolamento prevede che vengano individuati processi interni alle aziende (a Enti o a tutti coloro che trattano dati personali) che, partendo da una valutazione dei rischi sull’utilizzo dei dati stessi, possano permettere di attuare sistemi di tutela ad hoc.
Diventerà, pertanto, obbligatorio, effettuare una valutazione di impatto preventiva (DPIA) laddove il trattamento dei dati possa comportare rischi per i diritti delle persone o evitare danni agli interessati.
Alcuni dei principi della precedente normativa rimarranno validi anche con l’entrata in vigore del nuovo Regolamento (l’obbligo di informativa, il consenso dell’interessato, la distinzione tra dati personali e dati sensibili). Altri, invece, rappresentano delle novità o parzialmente tali (la denominazione degli attori – il titolare del trattamento, il responsabile del trattamento, i corresponsabili, il responsabile della protezione dati, il diritto all’oblio, il data breach, l’accountability).
Per alcune aziende ed enti pubblici sarà necessario dotarsi anche di un Responsabile della protezione dei dati (RPD)/Data Protection Officer (DPO), ossia di una figura specializzata che assicuri la corretta gestione delle informazioni.
Scompariranno alcuni oneri amministrativi, quali ad esempio quelli di notificazione anticipata di particolari trattamenti al Garante; in tal senso, si parla di una maggiore responsabilizzazione a fronte di una semplificazione.
Stante la carenza di precisi riferimenti per molti degli istituti descritti nel Regolamento e l’indeterminatezza di alcune regole e della loro attuazione, le disposizione regolamentari dovranno essere oggetto di specifici interventi da parte delle c.d. Autorità di controllo dei singoli Stati membri (in Italia l’Autorità Garante), o singolarmente o attraverso iniziative congiunte, al livello europeo, da recepire poi nei singoli Stati membri (ad esempio linee guida ad hoc).
Il Regolamento ridisegna, poi, il sistema sanzionatorio, prevendendo sanzioni che sono state particolarmente inasprite. Si passa da violazioni più leggere, con sanzioni fino a 10 milioni di euro, a quelle più gravi, che possono tradursi in multe fino al 4% del fatturato di gruppo.
Le sanzioni riguardano qualsiasi soggetto (azienda o ente) che tratta dati personali e che come tale rientra nella disciplina del Regolamento.
Nelle realtà imprenditoriali, pertanto, il titolare dovrà effettuare le valutazioni del caso per ridurre al minimo il trattamento dei dati dei propri dipendenti e, in particolare, per utilizzare i dati necessari di ciascun dipendente unicamente per le specifiche finalità previste dal trattamento oggetto di informativa e consenso.
Nell’intento di fornire alcune prime indicazioni pratiche alleghiamo una prima guida redatta dall’ANCE, suscettibile di eventuali ulteriori aggiornamenti, in tema di privacy, con riferimento alle novità introdotte dal Nuovo Regolamento UE 679/2016 unitamente al Dossier ANCE sul Regolamento UE 2016/679 stesso.
La guida si compone di una parte riepilogativa dei principi generali e di una parte operativa per le imprese, con indicazione dei principali adempimenti.
È, inoltre, allegato un fac simile di registro dell’attività di trattamento dei dati, redatto sulla base delle indicazioni finora fornite dal GDPR, dal Garante e sulla base di quanto emerso in occasione del Gruppo di lavoro presso la Confindustria.
All.:
Link al sito del garante privacy
Guida 23_Privacy_ANCE