Siamo sinceri, nel 2020 tutti abbiamo sentito parlare del Regolamento GDPR: ma cosa sappiamo esattamente?
Chi sono le persone interessate dal nuovo Regolamento Europeo? Cosa comporta? Quali sono i rischi che si corrono e perché si è resa necessaria l’introduzione di una nuova disciplina organica?
Per rispondere a queste domande e non solo, oggi abbiamo organizzato una breve intervista con l’Avvocato, Lorenzo Sciarra, DPO & Privacy Expert, che ci guiderà alla scoperta della normativa europea in materia di protezione dei dati personali.
Senza porre ulteriore indugio andiamo a rivolgere la parola al nostro esperto che ci fornirà una panoramica generale di quello che rappresenta il GDPR; successivamente andremo a snocciolare i punti più delicati ed innovativi di questo Regolamento.
Ciao Lorenzo, grazie mille per il tempo che hai messo a nostra disposizione. Vorrei cominciare subito chiedendoti “Cos’è questo nuovo regolamento GDPR?”
Il GDPR, che sta per General Data Protection Regulation, è il nuovo Regolamento EU sulla protezione dei dati personali, entrato in vigore il 24 maggio 2016 e diventato applicabile in tutti gli Stati membri a partire dal 25 maggio 2018.
L’obiettivo principale del GDPR è quello di realizzare una completa armonizzazione della regolamentazione in materia di protezione dei dati personali all’interno dell’Unione europea.
Non a caso il legislatore europeo ha fatto ricorso per la prima volta in tema di protezione dei dati personali allo strumento del Regolamento che, come noto, non necessita di attività di recepimento da parte degli Stati dell’Unione, dovendo dunque essere attuato allo stesso modo in tutti gli Stati dell’Unione senza margini di libertà nell’adattamento.
L’Italia ha armonizzato il Codice Privacy già vigente alla nuova normativa mediante Il Decreto legislativo 10 agosto 2018, n. 101.
Quali sono i soggetti interessati da questo regolamento?
Il Regolamento coinvolge direttamente chi abbia a che fare con i dati personali, quindi al giorno d’oggi davvero chiunque.
Per dato personale, ai sensi dell’art. 4 del GDPR, si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale“.
Con la dematerializzazione dell’economia che stiamo osservando oggi giorno e con la conseguente esplosione dell’economia e del mercato dei dati, si è reso necessario un intervento armonico del legislatore europeo. Questo non è il primo intervento del legislatore europeo nel settore.
Infatti, il diritto alla protezione dei dati personali si è sviluppato nel corso del tempo in modo parallelo all’avanzamento della tecnologia dell’informazione e delle comunicazioni e nell’Ue e la prima tappa fu raggiunta nel 1995 con la Direttiva Ce 95/46.
Quali sono i principali elementi di innovazione di questo nuovo regolamento?
Quando il titolare del trattamento raccoglie, tratta o menziona dati di persone fisiche deve rispettare 6 principi fondamentali che sono:
Liceità, Correttezza e Trasparenza, Limitazione della finalità, Minimizzazione dei dati, Esattezza, Limitazione della conservazione, Integrità e Riservatezza.
Oltre a questi principi, ci sono molte importanti novità introdotte come (per citarne solo alcune e senza pretesa di esausitività) il principio dell’accountability, ovvero di autoresponsabilità del titolare del trattamento.
Al giorno d’oggi, quindi, la normativa, indica quali sono i diritti da rispettare, qual è la documentazione da redigere e, pertanto, in caso di controllo, il titolare del trattamento deve saper dimostrare di essere in regola.
Altra novità molto rilevante è quella relativa alla Portabilità dai Dati che consente, in pochissime parole, all’interessato di richiedere che i suoi dati vengano trasferiti da un titolare del trattamento ad un altro, senza ostacoli ed anche il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano.
Un ulteriore particolarità del GDPR riguarda l’introduzione di una nuova figura professionale ovvero il DPO (Data Protecion Officer).
Suo compito è quello di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.
Questo professionista, altamente specializzato opera dunque non solo nell’interesse del titolare ma anche degli interessati e del sistema di protezione dati e può essere sia interno che esterno all’azienda.
Il mio personale consiglio, è rivolgersi ad un DPO esterno per garantire quella massima autonomia decisionale e indipendenza dal Titolare del Trattamento richiesta dal Regolamento al DPO.
Sono obbligati alla nomina i soggetti le cui principali attività consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati.
Questa figura deve essere nominata obbligatoriamente da tutte le pubbliche amministrazioni (ad eccezione dell’autorità giudiziaria), oltre che dalle imprese private che, come già detto, trattano dati su larga scala (ad esempio un’agenzia di recruiting) o dati particolari (ex dati sensibili).
Dopo questa spiegazione del GDPR e gli elementi di nuova introduzione andiamo al cuore della vicenda: che cambiamenti introduce nella “vita” di un’attività commerciale?
Tutte le aziende devono adeguarsi al GDPR in quanto, tutti, trattano, chi più chi meno, determinate categorie di dati.
E’ importante adeguarsi in quanto, le sanzioni sono molto pesanti; queste possono arrivare ad un massimo del 4% totale del fatturato o fino a 20 milioni di euro.
In pratica come possiamo noi di DOMINO Consulting guidare le aziende verso questo processo di armonizzazione?
In primo luogo organizziamo un audit in azienda con il cliente per cercare di avere una visione a 360 gradi dell’attività, online ed offline e per capire dove è necessario andare a lavorare.
Dopo questa prima fase di mappatura dei dati guidiamo le aziende verso un adeguamento totale, fornendo al Titolare il Modello Organizzativo Privacy al fine di garantire la completa conformità dei trattamenti al GDPR.
Quali sono le raccomandazioni che vuoi dare a chi ha bisogno di adeguarsi al nuovo regolamento GDPR?
Per le aziende che sono obbligate alla nomina di un DPO, consiglio di rivolgersi alla nostra società di consulenza affidandosi a professionisti seri, qualificati e che sappiano guidare e consigliare il titolare del trattamento in tutte le scelte più importanti in tema privacy.
Per le aziende più piccole, che devono comunque adeguarsi al GDPR, consigliamo di fissare un appuntamento con noi per poter organizzare, il prima possibile, l’audit che ci permetterà di capire come e dove è necessario agire.
Intendiamo realizzare una consulenza privacy realmente cucita su misura delle esigenze dei nostri clienti.
Un approccio standardizzato non può essere considerato efficace vista la variabilità della materia.
Se anche tu hai bisogno di adeguarti al nuovo regolamento GDPR e vuoi richiedere una consulenza ad esperti del settore, contattaci per una prima consulenza gratuita.
