Maggio 2018 si prospetta un mese ricco di novità grazie all’ingresso del nuovo regolamento sulla protezione dei dati personali. Trattasi di un quadro normativo completamente nuovo per il panorama sociale, che comporterà inevitabili cambiamenti per imprese ed enti pubblici. In concreto, a partire dal 25 Maggio 2018 il General Data Protection Regulation, noto con l’acronimo GDPR o Regolamento Ue 2016/679, integralmente dedicato alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali, sarà direttamente applicabile a tutti gli Stati membri dell’Unione Europea.
La scelta di optare per un testo normativo recante precise disposizioni di tutela della privacy, in termini di dati personali, deriva dalla sempre più avvertita necessità di salvaguardare le informazioni facenti capo alla persona. La stessa Commissione Europea ha sostenuto che il GDPR sintetizza una risposta necessaria ed urgente alle nuove sfide messe in atto dagli ultimi sviluppi tecnologici, sempre più pericolosi riguardo alla violazione delle informazioni personali.
L’aspetto più preoccupante del Regolamento Ue 2016/679 riguarda la fase di recepimento concreto dello stesso. Com’è noto, ciascuno Stato membro gode della possibilità di legiferare in autonomia, traducendo le norme contenute nel GDPR nel proprio asset territoriale in modo personalizzato. Questo margine di libertà legislativa interna potrebbe portare, infatti, a disallineamenti non solo tra le varie legislazioni nazionali, ma anche tra quelle degli Stati membri e il Regolamento.
Cosa c’è di nuovo e cosa cambia per le aziende
I destinatari delle norme contenute nel GDPR sono sia le imprese collocate all’interno del territorio dell’Unione sia tutte quelle aziende che, seppur situate al di fuori del territorio dell’Unione Europea, offrono prodotti o servizi all’interno del mercato Ue. Ovunque si trovino, dunque, le aziende saranno tenute al rispetto delle nuove regole.
La puntuale osservanza del documento normativo in questione consentirà ad imprese ed enti di evitare gravi sanzioni e il rispetto del nuovo e più accurato senso di responsabilità potrà tradursi in un principio efficace per tutti.
Il contenuto del Regolamento prevede una serie di cambiamenti cosi sintetizzabili:
- Regole più chiare e precise su informativa e consenso del soggetto;
- Il trattamento automatizzato dei dati personali viene limitato e circoscritto a determinate ipotesi e modalità precise;
- Si pongono le basi per l’esercizio di nuovi diritti e si stabiliscono criteri tassativi e rigorosi per il trasferimento delle informazioni al di fuori del territorio europeo.
Nello specifico, viene introdotto il diritto alla portabilità dei propri dati personali. Ad eccezione degli archivi di interesse pubblico come le anagrafi, per le quali questa possibilità è preclusa, trattasi della facoltà attribuita al titolare di trasferire liberamente le proprie informazioni da un trattamento dei dati all’altro. Se il trasferimento riguardasse informazioni o dati della persona che dovrebbero transitare verso un Paese extra UE, o un’organizzazione internazionale, che non presenta gli stessi standard di sicurezza in materia di tutela, lo spostamento verrebbe impedito.
In più, l’ipotesi di data breach nonché la violazione di dati o informazioni della persona, vengono tassativamente previsti e sanzionati da un pacchetto di norme rigorose, precise e puntuali, nella descrizione della fattispecie.
Lo sportello unico europeo e la figura del DPO
Per garantire una corretta applicazione del GDPR è stato introdotto il cd. Sportello Unico, one stop shop, con il compito specifico di semplificare la gestione dei trattamenti e garantire un approccio univoco a tutte le imprese operanti sul territorio.
A tutti gli enti che operano anche al di fuori dello Stato italiano sarà offerta la possibilità di rivolgersi al Garante Privacy del Paese in cui hanno la sede principale. Le priorità del Garante sono rivolte per lo più alla designazione di un Responsabile della Protezione dei dati in tempi brevi e all’istituzione di un Registro dove tener conto delle attività di trattamento e delle notifiche dei data breach, e per la realizzazione degli stessi ha previsto la creazione di una figura che funge da anello di congiunzione tra la propria struttura e l’ente richiedente: il Data Protection Officer o DPO, un responsabile della protezione dei dati incaricato di assicurare una gestione dei dati personali, archiviati o raccolti in tutte le imprese o enti, pienamente rispondente alle linee guida del Regolamento.
Nata per svolgere, dunque, una funzione specialistica in relazione alla normativa e prassi in tema di protezione dei dati, la figura del DPO appare piuttosto controversa, in quanto presenta profili di assoluta indipendenza nella gestione del suo lavoro, previa attribuzione di risorse umane e finanziarie adeguate. Inoltre, riferisce solo al vertice del suo operato senza ricevere istruzioni sulla esecuzione dei compiti che gli vengono assegnati.
Un ruolo certamente rilevante ma complesso che deve possedere conoscenze di settore specifiche anche in ambiti correlati alla salvaguardia dei dati, a seconda degli ambienti che gli vengono affidati, basti pensare alla sanità. Lo caratterizzano, pertanto, autonomia decisionale ed estraneità rispetto alla determinazione delle finalità e delle modalità del trattamento delle informazioni personali; il DPO rappresenta certamente un modo per garantire che vi sia una certa sovranità e autorevolezza nella gestione e circolazione dei propri dati.
Quali sono le sanzioni per chi non si adegua alla normativa?
Le sanzioni previste in caso di violazione delle prescrizioni di legge sono varie e piuttosto rigide. Vediamone in dettaglio alcune:
- sanzione pecuniaria da 18 a 30 mila euro in caso di omessa o inidonea informativa afferente a dati personali identificativi; previsto anche un aggravio da 5 a 30 mila euro per alcuni casi;
- merita menzione l’articolo 162 del Codice che punisce la cessione dei dati personali tra titolari autonomi preposti al trattamento di dati sanitari, in violazione dell’art. 84 del Codice medesimo;
- il comma 2 bis dell’art. 162 del Codice, punisce con una sanzione amministrativa chi omette le misure minime di sicurezza e realizza un trattamento illecito dei dati personali.
Un panorama complesso e articolato, dunque, sembra delineare il Regolamento Ue che già nel mese di Maggio apre i battenti, e la corsa agli adeguamenti sembra essere già iniziata. In questo clima di adattamento volto alla tutela dei dati si rende necessario intervenire con strumenti tecnici che siano in grado non solo di rilevare adeguatamente tutte le informazioni, ma anche di tracciarle e archiviarle nel modo più corretto possibile.
I vecchi sistemi di rilevazione presenze in uso potrebbero rivelarsi inadeguati a tal fine, ecco perché Winit fornisce tecnologie già adeguate e idonee alla normativa in arrivo.
Lo strumento di rilevazione delle presenze dei dipendenti e gli altri strumenti di controllo assumono essenziale centralità in questo cambiamento normativo ormai alle porte; si necessita di un avanzamento tecnologico che tutte le aziende dovranno essere in grado di dare.