14.3.2018 – Articolo dell’avvocato Vincenzo Colarocco pubblicato da BusinessCommunity.it

Attualmente ci sono ancora molte aziende che non hanno colto la profonda rivoluzione apportata dal Regolamento europeo sulla privacy (GDPR) e il relativo impatto sull’organizzazione e sul business. Ancora oggi circa il 50% delle imprese italiane non ha ancora avviato un progetto per l’adeguamento al GDPR.
Il motivo è semplice: la mancanza di consapevolezza sia nei vertici aziendali, sia nei dipendenti e soprattutto nella maggior parte dei cittadini. A ciò si aggiunga che vi sono anche realtà aziendali che hanno sottovalutato il processo di adeguamento il quale appare relativamente facile, ma nell’attuazione rivela profili di complessità non indifferenti, in quanto oltre ad esser coinvolte differenti funzioni aziendali vi è la necessità di un team di lavoro in cui siano coinvolti diversi profili di competenza: da quello legale, a quello informatico, passando per quello organizzativo aziendale. Ne abbiamo parlato con l’avv. Vincenzo Colarocco, alla guida del nuovo Dipartimento protezione dei dati personali, compliance e sicurezza informaticadello Studio Previti Associazione Professionale.

Esattamente, cosa prevede il nuovo regolamento?

Il GDPR che sarà efficace dal prossimo 25 maggio rappresenta un cambiamento epocale. Si passa da una normativa corroborata di adempimenti vissuti sia dalle aziende che dalle persone fisiche come un fastidioso compito burocratico, a una normativa che vuole garantire concretamente la tutela del diritto dell’interessato al controllo sui propri dati: il tutto affidando a ogni singolo titolare le scelte per garantire detto diritto, nel rispetto del principio dell’accountability.
Proprio per tracciare puntualmente il ciclo vitale del dato, dal momento in cui viene acquisito sino al momento in cui viene cancellato, è stato introdotto il “registro delle attività di trattamento“. Inoltre, il GDPR prevede che le aziende devono adottare misure organizzative e tecniche idonee a garantire un livello di sicurezza adeguato al rischio sia informatico che legale: dunque non si può prescindere da una puntuale analisi del rischio di ogni trattamento del dato.
Le ulteriori novità sono rappresentate dall’introduzione della figura del Data Protection Officer, oggi la figura certamente più conosciuta del GDPR, nonché dall’introduzione dei principi di “privacy by design” e “privacy by default” per cui il dato deve esser protetto fin dalla progettazione e per impostazione predefinita.
A ciò si aggiunga che è stata introdotta la valutazione d’impatto sulla protezione dei dati ovvero, quando un trattamento presenta un rischio elevato per i diritti e le libertà delle persone, il titolare del trattamento effettua, – prima di procedere al trattamento – un processo analitico, iterativo e ciclico volto a ridurre i rischi appena ricordati.
Infine, non possiamo non ricordare il principio di trasparenza, la “data portability“, il diritto all’oblio, il diritto d’accesso e la possibilità per i minori di 16 anni di prestare il proprio consenso per i servizi della società dell’informazione (quali ad esempio Facebook, Instagram, ecc.).
Tra tutti, la portata maggiormente innovativa è quella rappresentata dalla “data portability“, ovvero il diritto degli interessati di ricevere dall’azienda – anche senza cessare il contratto in essere – in un formato idoneo a garantire l’interoperabilità tra i vari sistemi informatici, i dati personali che li riguardano, e hanno il diritto di trasmettere tali dati ad un’altra azienda. Ma quali dati le aziende concretamente dovranno trasmettere all’interessato o ad un’altra azienda?
A chiarire il quadro sono intervenuti i Garanti Europei che hanno precisato come i dati oggetto di portabilita?:
a) riguardano l’interessato (sono ad esempio esclusi i dati anonimi);
b) coincidono con quelli forniti consapevolmente e in modo attivo dall’interessato (ad esempio, i dati di registrazione inseriti compilando un modulo online, come indirizzo postale, nome utente, eta?, ecc.);
c) i dati forniti dall’interessato attraverso la fruizione di un servizio o l’utilizzo di un dispositivo(ad esempio, la cronologia delle ricerche, i dati relativi al traffico e all’ubicazione, dati grezzi come la frequenza cardiaca registrata da dispositivi sanitari o di fitness).
Mentre non sono oggetto di portabilità i dati creati dal titolare alla luce delle informazioni fornitegli dall’interessato (ad esempio, l’esito di una valutazione concernente la salute di un utente, o il profilo creato al fine di attribuire uno score creditizio o di ottemperare alla normativa antiriciclaggio).
Da ultima, ma non in ordine di importanza, ricordiamo la procedura di “data breach“ ovvero l’obbligo per ogni azienda di dotarsi di misure organizzative, tecniche e contrattuali che consentano alla stessa di notificare entro tempi stringenti sia agli interessati che al Garante la violazione dei dati personali trattati.
In conclusione, il Regolamento rovescia la prospettiva della privacy puntando sui doveri e sulla maggiore responsabilizzazione del titolare del trattamento dei dati personali, al fine di garantire concretamente i diritti dell’interessato.

Quali sono i soggetti sottoposti alla nuova disciplina e quali invece quelli che non devono preoccuparsene?

Il GDPR si applica a chiunque, sia alla persona fisica che alla persona giuridica, che effettui un trattamento di dati personali, sanitari, sensibili, biometrici, genetici di terzi. Inoltre, bisogna sottolineare come il GDPR si applichi anche a imprese ed enti con sede legale fuori dall’Unione Europea, che trattano però dati personali di cittadini europei. Il tutto attraverso la figura del rappresentante stabilito nel territorio europeo e designato dal titolare o dal responsabile del trattamento.

Continua a leggere