GDPR PRIVACY: cosa cambia per le aziende italiane

GDPR italiano cosa cambia per le aziende

L’entrata in vigore del nuovo Regolamento UE 2016/679 o GDPR (General Data Protection Regulation) dal 25 maggio 2018 in materia di privacy, introduce piena parità di condizioni tra le imprese dell’UE e le imprese di paesi extra UE che forniscono beni e servizi ai cittadini europei, poiché tutte dovranno rispettare le stesse norme in materia di protezione dei dati.

E’ importante ricordare, in questa sede, che i regolamenti UE sono immediatamente esecutivi e quindi non richiedendo la necessità di recepimento da parte degli Stati membri. E’ grazie ad essi che la UE raggiunge una maggiore armonizzazione legislativa nei paesi europei: in materia di privacy, quindi, l’entrata in vigore di questo Regolamento comporta che la medesima normativa entri contemporaneamente in vigore nei 28 stati membri UE, uniformandoli sotto un unica disciplina.

Vediamo allora cosa cambia per le aziende italiane, fermo restando che (come appena introdotto) l’entrata in vigore del regolamento comporterà l’adeguamento alla nuova normativa non solo per le aziende che hanno sede legale in CE, ma anche per quelle che sono fuori dal territorio della Unione Europea e trattano dati personali di cittadini europei.

In questo articolo parleremo di:

GDPR: cosa cambia per le imprese italiane

Per quanto riguarda il nostro Paese, il Codice della Privacy Dlgs 196/2003 verrà abrogato da apposito decreto legislativo. In ogni caso, nel momento in cui entrerà in vigore il Regolamento UE, le norme europee in materia di privacy prevarranno sulle norme nazionali dei singoli stati membri (Italia inclusa).

Se fino ad ora la privacy è stata concepita come un semplice adempimento, come un foglio contente alcune clausole che l’interessato (cioè il soggetto cui si riferiscono i dati personali) doveva firmare, con il GDPR cambia completamente la prospettiva e il trattamento dei dati personali diventa non più una semplice formalità, ma un vero e proprio processo aziendale da integrare con tutti gli altri processi aziendali.

Ma quali cambiamenti comporta l’adeguarsi a questa nuova mentalità?
Vediamoli in breve:

» Prima di tutto cambia l’informativa: deve essere concisa, trasparente, intelligibile e facilmente accessibile,con un linguaggio semplice e chiaro, senza riferimenti normativi. Deve essere comprensibile anche ai minori e contenere nuovi dati rispetto a quella vigente, come ad esempio l’esplicitazione del tempo di conservazione dei dati da parte del titolare del trattamento.

» Cambia anche il consenso che non deve essere per forza espresso, ma sicuramente deve essere inequivocabile e quindi desumibile in base al comportamento. Questo significa che può anche essere implicito (non assolutamente tacito) purché, nel momento in cui sia desunto dalle circostanze, non sussista alcun dubbio che l’interessato abbia voluto dare il suo consenso.

» Viene introdotto il principio importantissimo della responsabilizzazione (accountability) che sancisce la responsabilità, in capo al titolare del trattamento di comprovare di aver adempiuto al regolamento: l’azienda dovrà quindi mappare tutte le prove al fine di essere sempre in grado di dimostrare, tramite documenti e prove tangibili, di avere sempre rispettato il Regolamento.

» Vengono introdotti nuovi ruoli come il Data Privacy Officier (DPO o Responsabile della protezione dei dati personali) che svolgerà praticamente un ruolo di management dei database aziendali e non solo un semplice garante interno.

» Non esiste più la notifica al Garante ma viene introdotto l’obbligo, in alcuni casi, del registro delle attività di trattamento dei dati.

» Viene introdotto il Privacy Impact Assessment (PIA o Documento di valutazione d’impatto nel trattamento dei dati) per la valutazione d’impatto e le misure di sicurezza da adottare.

» Sono stati introdotti nuovi diritti, come quello alla portabilità dei dati e ampliati quelli già esistenti come il diritto alla cancellazione (diritto all’oblio).

» Vengono introdotti due nuovi concetti di approccio alla gestione dei dati: la privacy by design e la privacy by default, rispettivamente l’introduzione della gestione dei dati personali sin dalla progettazione di un prodotto e/o servizio che implichi il trattamento degli stessi e la garanzia della tutela della vita privata come impostazione predefinita.

» Sono state inasprite decisamente le sanzioni amministrative che nel caso di multinazionali vengono calcolate su percentuale del fatturato del gruppo a cui appartengono.

 

Per ogni punto abbiamo realizzato un articolo specifico di approfondimento.

GDPR italiano: cosa devono fare le aziende

Tutte le aziende italiane trattano dati personali: i dati dei dipendenti, dei clienti, dei fornitori e così via. Ci sono poi aziende il cui core business è proprio il trattamento dei dati personali, come ad esempio la raccolta dei dati per attività di marketing online e offline.

Sono tante le innovazioni apportate dal Regolamento e per le aziende e/o professionisti coinvolti occorrerà adeguarsi il più presto possibile, mappando i propri database, ripensando ai processi che interessano il trattamento dei dati personali all’interno della loro realtà e, soprattutto, cambiando l’approccio di mentalità dove la privacy non è più un assolvimento di formalità legali, ma un approccio gestionale organizzato e documentato.

In questa fase di adeguamento è importante che le aziende capiscano fino in fondo l’importanza e il valore che hanno dei dati personali presenti nei loro database. La domanda giusta da porsi non è “Quanto costa un progetto di adeguamento al GDPR?” ma “Quanto costa non adeguarsi al GDPR?”.



 

Vuoi saperne di più?

Vuoi ricevere maggiori informazioni?
Contattaci subito: siamo a tua completa disposizione!