Home / Blog / Regolamento Europeo Privacy: l’impatto pratico sull’impresa

Regolamento Europeo Privacy: l’impatto pratico sull’impresa

Inserito da Valentina Frediani 24 Marzo 2016 in Privacy e tutela delle informazioni

Colin Focus DayDirigere l’Azienda ha dato spazio all’approfondimento dell’Avv. Valentina Frediani su quale impatto avrà sulle imprese il Regolamento Europeo in via di pubblicazione (GDPR).

In primavera l’Unione Europea pubblicherà il nuovo Regolamento Europeo in materia di trattamento dati. Il Regolamento impatterà particolarmente sulle aziende europee, in quanto, in caso di violazione del trattamento dati di cui è Titolare l’azienda, la stessa potrà essere sottoposta ad una sanzione sino al 4% del fatturato annuo globale mondiale. È pertanto essenziale che ogni azienda in qualità di Titolare del trattamento, effettui un’analisi attenta di quelli che saranno gli effetti che il Regolamento produrrà sulla propria gestione interna dei dati detenuti in formato elettronico. Nel nostro Paese l’Autorità Garante per la protezione dei dati personali è stata nel tempo particolarmente sensibile ed ha prodotto provvedimenti che hanno certamente condotto le aziende italiane ad un livello di sicurezza nella protezione dei dati superiore a quanto ottenuto in altri Paesi europei. Detto questo, oggi l’imprenditore per confrontarsi con il Regolamento dovrà di sicuro tener presente che si tratta di un’evoluzione del nostro attuale decreto legislativo 196 datato 2003, sulla base del quale devono essere stati comunque raggiunti degli obiettivi di compliance normativa propedeutici agli adempimenti previsti dal Regolamento Europeo all’interno della propria azienda.

Ma vediamo in modo pratico alcuni aspetti salienti

Innanzitutto appare indispensabile una verifica dei ruoli aziendali rispetto al trattamento dei dati. Ricordiamoci che non stiamo parlando solo di dati sensibili, ovvero quelli relativi alla salute o allo status sindacale o religioso di una persona, ma stiamo parlando di tutti quei dati atti ad identificare una persona fisica, sia che questa presti la propria attività in qualità di professionista che di fornitore, sia in qualità di dipendente che di cliente.

Da questo punto di vista, appare evidente come qualsiasi azienda sia obbligata a rispettare la normativa in materia di protezione dei dati personali. Individuare, pertanto, quali siano le persone che all’interno della propria struttura aziendale trattano i dati, è basilare in quanto devono essere già state nominate e incaricate al trattamento sotto la 196, e dovranno veder integrate le proprie nomine sulla base delle disposizioni del Regolamento con indicazione di apposite istruzioni in merito alle specifiche operazioni di gestione dei dati. A titolo esemplificativo, occorrerà che l’azienda individui delle regole specifiche sul trattamento dati effettuato rispetto ai dipendenti, ai richiedenti impiego o ai soggetti sui quali vengono effettuate attività di marketing. Per far questo, occorre effettuare a monte un’analisi delle tipologie di trattamento sussistente all’interno dell’azienda, mappare i ruoli dei soggetti che intervengono nel trattamento sia attraverso l’inserimento di dati piuttosto che in consultazione, e procedere a stilare un organigramma sotto il profilo privacy.

Un sistema di gestione dei dati

Mercato unico digitale UENel Regolamento la privacy viene concepita come un sistema di gestione dei dati: per questo è essenziale ricostruire il flusso relativo ai dati sulla base dell’organizzazione aziendale catalogando, quindi, i trattamenti sia per direzioni che eventualmente ricostruendo l’interazione tra direzione e direzione rispetto al transito del dato personale. Un altro aspetto fondamentale è quello relativo alla prova che ricadrà sul Titolare del trattamento nel caso in cui i dati subiscano una violazione. Nel Regolamento viene evidenziato come le policy relative alla tutela dei dati personali debbano essere proporzionate alla tipologia di trattamento. Potrà quindi verificarsi un minor impatto a livello privacy su tipologie aziendali il cui core business sia basato su attività esclusivamente produttive per conto terzi, mentre potrà essere particolarmente elevata l’attenzione da dover prestare da parte di quei soggetti che hanno rapporti con i consumatori finali, che effettuano attività di marketing anche B2B, che si occupano di dati sanitari o di servizi consulenziali.

I fornitori

Particolarmente rilevante sarà l’aspetto relativo al rapporto tra il Titolare del trattamento ed i propri fornitori: il Titolare, infatti, potrà ricorrere solo ed esclusivamente a fornitori che assicurino misure tecniche organizzative idonee a soddisfare il rispetto del Regolamento, nel caso in cui quindi vi sia una esternalizzazione di un trattamento, ad esempio attraverso servizi di trasferimento dati all’esterno (pensiamo al caso di esternalizzazione della gestione delle buste paga, piuttosto che dell’amministrazione) o in cloud (come nel caso del back-up su server di un fornitore terzo). Secondo le previsioni del Regolamento, l’esecuzione del trattamento su commissione deve essere disciplinata da un apposito voto contratto che contempli non solo la durata del trattamento, la natura, le finalità e le tipologie di dati, ma specifichi anche tutte le misure di sicurezza e la ripartizione delle responsabilità in merito alla protezione dei dati tra il Titolare del trattamento ed il fornitore.

Data retention e PIA

Sarà anche essenziale che l’azienda adotti un sistema di data retention: questo significa che dovranno essere stabiliti i termini di conservazione per ogni tipologia di trattamento, contemperando l’obbligo di conservazione previsto dalla legge per taluni documenti e taluni dati rispetto all’obbligo di cancellazione che il Regolamento renderà ancor più coercitivo rispetto alla vecchia 196. Difatti, laddove non venga effettuata la cancellazione di un trattamento come previsto per legge, le responsabilità del Titolare potranno essere sia di natura sanzionatoria che penale. In alcuni casi sarà obbligatorio per le aziende redigere anche un Privacy Impact Assessment: il cosiddetto PIA dovrà essere effettuato quando il trattamento dei dati potrà rappresentare un rischio per i diritti e le libertà fondamentali dell’interessato oppure nell’ipotesi di profilazione o ancora quando riguardi categorie particolari di dati come ad esempio la raccolta di dati di natura biometrica. Anche nel caso di sorveglianza di zone accessibili al pubblico oppure di trattamenti effettuati tramite nuove tecnologie potrà rendersi necessario la redazione di un PIA. In sostanza, questo documento dovrà contenere tutti gli aspetti relativi all’impatto dal punto di vista della sicurezza della gestione dei dati che il trattamento posto in essere potrà avere sui medesimi: l’analisi dovrà essere condotta sia da un punto di vista di verifica del flusso rispetto ai dati che da un punto di vista delle misure di sicurezza adottate per gestirli.

ICT, sicurezza, 231In alcuni casi il Titolare sarà anche tenuto a notificare eventi di data breach: questo significa che, in caso di violazione di un trattamento dati personali effettuato tramite un attacco hacker piuttosto che direttamente dall’interno della propria azienda, dovranno essere effettuate comunicazioni sia all’Autorità competente sia all’interessato nel caso in cui la violazione possa comportare un rischio elevato per i diritti e le libertà dell’interessato. Questo passaggio appare particolarmente importante sull’organizzazione aziendale con riferimento al profilo del monitoraggio degli attacchi e quindi della protezione, nonché sotto il profilo organizzativo.

Flusso di dati al di fuori dell’UE

Merita particolare attenzione anche l’aspetto relativo al trasferimento dei dati personali fuori dai confini europei. Infatti, sarà vietato il trasferimento laddove non siano garantite le misure previste dal Regolamento, rispetto al Paese destinazione dei dati stessi. L’Azienda che comunichi dati a società collegate o controllate, o di cui sia controllata se dislocate fuori dai confini europei piuttosto che a clienti e fornitori con i quali collabora sempre oltre Europa, dovrà effettuare un’analisi della tipologia di trattamento ed adottare conseguenti misure di natura contrattuale affinché il trasferimento sia lecito.

Gli imprenditori pertanto devono prendere atto che la gestione della privacy non è più solo una questione di adeguamento documentale ma deve essere concepita come un sistema di gestione dei dati da integrare nei propri processi e sul quale effettuare sensibilizzazione presso i propri operatori. Con l’aumento degli strumenti di natura tecnologica non poteva che aumentare anche la tutela approntata dal legislatore. Un approccio ragionato e preventivo da parte dell’azienda non solo consentirà di ridurre i rischi legati alle conseguenze di natura sanzionatoria ma potrà agevolare una riorganizzazione dei flussi informativi, aumentando le capacità concorrenziali dell’azienda in un’ottica anche di tutela della propria immagine sul mercato interno ed internazionale.

Don`t copy text!