Il Regolamento Europeo: gli adempimenti documentali

10/11/2014
di Alessandro Cecchetti

L’incremento delle violazioni informatiche e la percezione dei rischi nelle operazioni on-line, come del resto l’incertezza giuridica specie per le multinazionali circa il diritto applicabile, sono solo alcune delle esigenze fondanti un cambiamento epocale in materia di protezione di dati personali, ed alle quali l’ormai prossimo Regolamento Europeo in materia di Data Protection intende rispondere.

Significativo è indubbiamente il tipo di atto derivato vincolante prescelto per attuare la riforma della materia. Difatti la portata generale, l’obbligatorietà e soprattutto la diretta applicabilità, tutte caratteristiche attribuite dall’art. 288 TFUE al Regolamento, evidenziano la ferma intenzione delle Istituzioni sovranazionali a dettare in modo uniforme in tutti gli Stati membri la disciplina sul trattamento dati. Una volta stabilito il testo definitivo, la nuova normativa entrerà in vigore senza atti di recepimento statali che ne possano compromettere la simultanea ed omogenea applicazione, e l’attuale frammentazione delle normativa nazionali in materia di privacy verrà effettivamente ricondotta ad unità.

EuropaBen presto, quindi, molte delle imprese stabilite nel territorio dell’UE o extra UE, che forniscono servizi gratuiti o a pagamento a cittadini che si trovano in Europa, dovranno confrontarsi con gli adempimenti (anche) documentali imposti dal Regolamento.

Provando a definire quelli principali, da una prima lettura è evidente che la trasparenza nei confronti dell’interessato in merito al trattamento dei dati personali che lo riguardano è fatto proprio anche dal nuovo testo di riforma, atteso che il titolare sarà ancora tenuto a rendere un’informativa privacy ed acquisire, se dovuti, i necessari consensi. L’informativa avrà probabilmente un contenuto più ampio di quello oggi noto, dettato dall’art. 13 dell’attuale Codice, posto che dovrà precisare anche quali sono i dati ulteriori ed eccedenti a quelli necessari per il raggiungimento dello scopo, nonché l’indicazione del periodo di conservazione ultroneo rispetto a quello minimo per il perseguimento delle finalità.

Inoltre i concetti di privacy by design e privacy by default disposti dal Regolamento, imporranno al titolare l’obbligo di mettere in piedi adeguate procedure, sia tecniche che organizzative, volte ad assicurare che il trattamento sia già ab initio conforme alle disposizioni del nuovo testo. Saranno pertanto indispensabili specifiche clausole contrattuali, o meglio – anche in considerazione dell’incidenza del trattamento sulla riservatezza dell’interessato o rispetto all’evoluzione informatica degli strumenti usati per effettuarlo – la sottoscrizione di SLA (Service Level Agreement) o PLA (Privacy Level Agreement) con i fornitori.

Rispetto poi a specifici trattamenti quali – a titolo meramente esemplificativo e non esaustivo – la profilazione, la geolocalizzazione, la solvibilità economica, la videosorveglianza o la biometria, il titolare dovrà compiere una preventiva valutazione di impatto (PIAPrivacy Impact Assessment) adeguatamente documentata, che contenga almeno una descrizione sommaria del trattamento, i rischi per i diritti degli interessati e le conseguenti misure di sicurezza e procedure attuate per ovviare a tali rischi, sì da dimostrare la conformità del trattamento al Regolamento.

Come si può notare a cambiare è la concezione della privacy in azienda, che passa da adempimento successivo ad analisi propedeutica. Cambiamento “incoraggiato” anche dalle sanzioni avvisate dal testo europeo.

Per di più le eventuali violazioni di dati personali (c.d. data breach) dovranno essere notificate senza ritardo (ove possibile entro 24 ore) alle autorità preposte e tale comunicazione dovrà contenere alcune specifiche informazioni utili a descrivere le circostanze della violazione stessa.

Una risposta efficace a tutti questi obblighi (si pensi anche solo al data breach o ai PIA) passa da un’organizzazione precisa e ben ponderata per le Società titolari, che dovranno strutturarsi internamente attraverso un organigramma privacy che si spieghi in atti di nomina diretti a definire in modo inequivocabile “chi fa cosa”, ma anche con accordi infragruppo per i servizi corporate, e con i già citati SLA e PLA. Delle procedure precise in tal senso sono quasi un atto dovuto anche in considerazione degli audit imposti dal Regolamento, stabiliti per garantire una valutazione costante dello stato dell’arte in materia di protezione dei dati personali.

Questi sono solo alcuni degli adempimenti documentali contenuti nel Regolamento, ricordando, in ultimo, che anche la scelta del DPO (Data Protection Officer) – figura già soggetta ad ampie interpretazioni e dibattiti – e la sua formalizzazione sarà un passaggio obbligato critico, ma fondamentale per garantire in azienda la data protection.

Articolo pubblicato su Il Corriere della Privacy – 6 Novembre 2014

Riproduzione riservata ©

ALTRE NEWS

Droni: cresce l’interesse business oriented

Una vera e propria esplosione di tecnologia quella a cui abbiamo assistito negli ultimi mesi che ha visto i droni protagonisti indiscussi di tavoli di… Leggi Tutto

IT Manager x.0: il futuro di una figura chiave in azienda

IT Director Forum 2015: si parla di innovazione a tutto tondo Dall’Internet of Things ai Bitcoins, dell’intelligenza artificiale alle nanotecnologie, senza dimenticare cybersecurity, cloud e Big… Leggi Tutto

Tlc, data retention, sentenza della Corte di giustizia: dubbi e conseguenze

L’invalidazione della Direttiva 2006/24/CE è ormai un fatto e per quanto manchino ancora le motivazioni della tanto nota sentenza, i suoi effetti cominceranno a manifestarsi… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.