Sempre più vicini alla fatidica data del 25 maggio 2018, giorno a partire dal quale le sue norme diventeranno definitivamente applicabili in tutti gli Stati membri dell’Unione europea, anche per le start up incombe il dovere di conformarsi alle previsioni del nuovo Regolamento Privacy europeo: il GDPR.
Il nome stesso è allo stesso tempo estremamente accurato e piuttosto fuorviante: General Data Protection Regulation, Regolamento Generale per la Protezione dei Dati.
Il motivo per il quale potremmo ritenerlo fuorviante è che il termine “regolamento” richiama subito l’ambito legale, relegandolo apparentemente a una prerogativa esclusiva degli “azzeccagarbugli” di turno, mentre il riferimento alla protezione dei dati suggerisce immediatamente una competenza esclusiva di coloro che si occupano di IT, lasciando “incolumi” tutti gli altri settori.
Niente di più sbagliato, invece: per assicurare una totale compliance, la risposta deve essere sistemica, deve provenire contemporaneamente da tutte le aree della realtà imprenditoriale che tratta dati personali.
Ma in cosa consiste, nella pratica, lo sforzo che deve compiere un’impresa per assicurarsi la totale compliance, e quali sono le principali norme da rispettare ? Ve le sintetizzo :
- Ambito di applicazione: è quello del soggetto i cui dati vengono raccolt
- Codici di condotta: in base al settore adozione di codici di condotta specifici
- Regolamentazione diretta del responsabile del trattamento: nuovi obblighi posti a carico e nuovi principi di responsabilità
- Principio di trasparenza: rafforza l’obbligo di informativa chiara, concisa, semplice
- Diritti degli interessati: amplia i diritti
- diritto di ricevere una copia dei dati
- diritto alla cancellazione dei dati
- diritto di opporsi al trattamento
- diritto alla portabilità dei dati
- Responsabilizzazione all’interno dell’organizzazione: stabilisce il principio per cui il titolare è tenuto a dimostrare la conformità con gli obblighi posti a proprio carico (attraverso l’attuazione di un programma completo che documenti tutte le attività di trattamento) sviluppando un efficace programma di formazione interna, attuando meccanismi per assicurare la privacy by design (devo pensarci prima di raccogliere i dati) e by default (devo predisporre alti livelli di controllo), nominando se necessario un DPO
- Il DPO richiama anche nuove forme di responsabilità professionale rispetto alle quali la copertura PI dovrà rispondere in modo adeguato
- Gestione dei flussi di dati esterni: assicurarsi chi deve occuparsi di quali attività, chiara definizione degli obblighi in capo ai responsabili del trattamento (con chiara derivazione del titolare del trattamento)
NUOVE AZIONI DI RESPONSABILITA’ : LE SANZIONI
- Il regolamento impone sanzioni effettive, proporzionate e dissuasive (per il titolare e il responsabile del trattamento)
- L’importo dipende da vari fattori quali la natura della violazione, il grado di colpa, violazioni precedenti
- Fino a € 20 mil o al 4% del fatturato dell’anno precedente per responsabilità di grave inadempimento
- Fino a € 10 mil o al 2% del fatturato dell’anno precedente per le altre responsabilità di conformità
Il 25 maggio si avvicina e anche alle nuove imprese innovative conviene accogliere con consapevolezza il cambiamento, per non essere lasciate indietro quando si trovano ancora alla casella “start”.