La necessità di gestire un registro dei trattamenti e garantire nel tempo la sicurezza dei dati, l’obbligo di notificare i data breach, l’esigenza di introdurre la figura del Data Protection Officer, l’esigenza di adottare un approccio ispirato al principio di “privacy by design” e nuove aspre sanzioni: tutto questo – e non solo – è quanto prevede il nuovo regolamento europeo sulla data protection.
La principale differenza, rispetto al passato, è che gestire la “privacy” all’interno dell’organizzazione non potrà più essere un semplice adempimento, a volte più formale che sostanziale, ai singoli obblighi normativi, ma implicherà di impostare un processo, analizzare i rischi e gestire, nel tempo, con continuità e nel fermo rispetto dei diritti di ogni individuo, i dati personali che si trattano. Il rispetto del regolamento rimane un obbligo per tutti, ma diviene anche indispensabile governare il percorso che conduce alla compliance: sia perchèle sanzioni sono più rigide, sia perchè le nuove regole entrano in vigore per tutta l’Europa. C’è tempo per adeguarsi fino a maggio del 2018, ma la portata innovativa del regolamento non è da sottovalutare: chi ha tempo non aspetti tempo!
UE GDPR – Il nuovo regolamento europeo in materia di dati personali.
Il 4 maggio 2016 il testo del regolamento è stato pubblicato in gazzetta ufficiale e dal 25 maggio è formalmente entrato in vigore, dando tempo fino al 25 maggio 2018 per la definitiva applicazione: il regolamento quindi è già in vigore ma la sua applicazione è differita al 25 maggio 2018. Cambiano le norme da rispettare ma cambia, soprattutto, l’approccio al tema della protezione dei dati personali. Fino ad ora siamo stati abituati a considerare la privacy come un adempimento, un obbligo da rispettare con comportamenti formali, affidati di solito alla supervisione di un legale. Con il regolamento europeo cambia tutto: la “Privacy” diventa un processo aziendale da gestire in tutte le sue fasi, da quella ideativa a quella esecutiva. Da subito le nuove norme europee generano la necessità di avviare un processo di armonizzazione e di cambiamento delle ormai consolidate prassi, legate ad una normativa nazionale che è destinata ad essere in gran parte sostituita dal nuovo regolamento europeo.
La spiegazione di questo cambiamento è semplice. Si parte da una constatazione elementare: i dati personali sono diventati quello che nell’economia tradizionale è una materia prima, sono l’elemento base che va trasformato per produrre ciò che va sul mercato. Sono il petrolio dell’era digitale, l’elemento che va elaborato per generare i fatturati delle aziende.
- Cosa occorre sapere: la riforma in dieci punti.
- Cambiano i criteri per stabilire a chi si applicano le norme
- Aumentano gli obblighi a carico di chi tratta i dati: il nuovo principio dell’accountability
- Cambia la disciplina degli adempimenti tradizionali (informativa, consenso)
- Sono previsti meccanismi semplificati per l’esercizio dei diritti degli interessati
- Dal DPS al PIA: analisi dei rischi e valutazione di impatto del trattamento dei dati personali attraverso un approccio basato sul rischio:
– Analisi dei rischi (list analisys) e analisi dei dati (registro dei trattamenti)
– Definizione della lista delle criticità (gap list)
– Definizione del programma di intervento (action plan) - Meno burocrazie e più sostanza: cessa l’obbligo della notificazione al garante
- Un nuovo protagonista della privacy aziendale: il Data Privacy Officer (DPO).
- I nuovi principi della protezione della privacy fin dalla sua progettazione (privacy by design) e della protezione di default (privacy by default).
- Il generalizzato obbligo di autodenuncia delle violazioni di dati personali.
- Un sistema sanzionatorio di nuova generazione:
– Fino a € 20.000.000 per i privati e le imprese non facenti parte di gruppi.
– Fino al 4% del fatturato complessivo (consolidato) su base mondiale per i gruppi societari multinazionali.
Dulcis in fundo: consenso e profilazione.
