Regolamento Europeo Privacy, per le PMI cosa cambia?

Dal 25 maggio 2018 entra in vigore il nuovo Regolamento Europeo sulla Privacy: per le PMI cosa cambia?

La precedente normativa (ancora in vigore, almeno fino al 25 maggio), faceva riferimento alla direttiva europea 95/46/CE. Il Regolamento Europeo sulla Privacy si pone l’obiettivo di disciplinare adeguatamente il mondo digitale e di proteggere i dati personali ed anche le piccole e medie imprese dovranno assicurare la loro totale conformità.

Le nuove norme, infatti, richiedono che le aziende riorganizzino la loro policy interna per la gestione dei dati sia dei loro dipendenti sia degli utenti o dei clienti. Secondo il regolamento Gdpr, gli individui hanno il diritto di richiedere la cancellazione o il trasferimento dei propri dati personali a un’altra organizzazione. Da ciò scaturiscono numerose domande sugli strumenti e sui processi di cui le aziende devono disporre.

Aziende in ritardo

Il Regolamento UE 2016/679 è stato emanato il 27 aprile 2016, e gli stati membri hanno avuto 2 anni di tempo per mettersi in regola: tuttavia a pochi giorni dal momento clou, c’è ancora quasi la metà degli stati membri a non esser pronta.

E a quanto pare solo un azienda su dieci sembrerebbe essere in linea con la nuova normativa.

Adempimenti

Va nominata la figura del RPD, un (Responsabile Protezione Dati) che dovrà occuparsi delle politiche della privacy dell’istituto e che sarà responsabile come il dirigente di eventuali violazioni del regolamento. il Titolare del trattamento deve essere in grado di comprovare che i dati utilizzati siano utilizzati nel rispetto della normativa. Tale rispetto deve essere Obbligo fattivo, non soltanto giuridico e verbale dimostrabile mediante documentazione ed adeguate misure tecnico-organizzative. Chi non è capace di esibire tale documentazione è passibile di sanzioni, indipendentemente dalla liceità dell’uso svolto.

Tra gli adempimenti che vanno messi in atto c’è quello di adottare un registro in cui saranno inseriti i dati degli utenti sia che se ne venga in possesso in forma fisica che elettronica.

Serve anche un DPO (Data Protection Officer) che  è un consulente esperto, che va ad affiancare il titolare nella gestione delle problematiche del trattamento dei dati personali; in tal modo si garantisce che un soggetto qualificato si occupi in maniera esclusiva della materia della protezione dei dati personali, aggiornandosi sui rischi e le misure di sicurezza, in considerazione della crescente importanza e complessità del settore.

La designazione del DPO è obbligatoria in tre ipotesi:

• Se il trattamento di dati personali è effettuato da un’autorità pubblica o da un organismo pubblico,
• Se le attività principali dell’organizzazione consistono in trattamenti che, richiedono il “monitoraggio regolare e sistematico” degli interessati “su larga scala”;
• Se le attività principali dell’organizzazione consistono nel trattamento “su larga scala” di dati “sensibili” o “giudiziari”.

Tassatività della normativa

Non ci sono alibi:

• Il GDPR è un Regolamento, non una Direttiva: non richiede una legge nazionale di recepimento, è immediatamente esecutivo.
• Il GDPR è stato approvato il 24 maggio 2016: non richiede ulteriori approvazioni.
• Il GDPR prevede, con un proprio articolo, che la piena applicabilità delle nuove norme decorra dal 25 maggio 2018, solo per consentire alle organizzazioni pubbliche e private di adeguarsi: non ci saranno rinvii.

Si erano diffuse anche Fake News su una eventuale proroga. Lo stesso garante della Privacy ha risposto:

“Con riferimento a notizie circolanti in Internet, è necessario precisare che non è vero che il Garante per la protezione dei dati si sia pronunciato sul differimento dello svolgimento delle funzioni ispettive e sanzionatorie né il provvedimento richiamato nei siti attiene a tale materia. Nessun provvedimento del Garante, peraltro, potrebbe incidere sulla data di entrata in vigore del Regolamento europeo fissata al 25 maggio 2018.”

Sanzioni

Non ci si riferirà, infatti, soltanto della gravità concreta del fatto, ma anche alla dimensione dell’azienda, al danno effettivamente arrecato ai soggetti e alla buona condotta dell’azienda prima e dopo. Sono previste due macro-categorie di violazioni, una prima più lieve, che coinvolge ad esempio i nuovi adempimenti in materia di misure di sicurezza, fino a 10 milioni di euro o al 2% del fatturatoglobale annuo mondiale dell’azienda, e una seconda collegata alle violazioni dei diritti dell’interessato, dei principi del trattamento, delle norme sul trasferimento dei dati all’estero, con sanzioni fino a 20 milioni di euro e al 4% del fatturato.