Il nuovo Regolamento Europeo sulla Privacy

/in , /da

Nel maggio 2015 la Commissione Europea pubblicava un documento nel quale illustrava una strategia atta a creare un mercato unico europeo nella fornitura di merci e servizi a base digitale. Parte di questa strategia riguardava l’adozione di una serie di regole per facilitare l’accesso ai mercati on-line e rendere più sicure le reti digitali.

In tale contesto si inseriva il Nuovo Regolamento Europeo n. 679/2016 sulla protezione dei dati personali (GDPR “General Data Protection Regulation”), emanato per rispondere all’esigenza di unificare la normativa in materia. Non era più tollerabile, infatti, la frammentazione legislativa presente in Europa su un tema così fondamentale, soprattutto a seguito della rapida espansione dei servizi digitali.

Oggi qualsiasi attività economica non può prescindere dalla raccolta di informazioni e di dati personali e pertanto l’armonizzazione a livello europeo delle regole da adottare per garantirne la protezione rappresenta una significativa semplificazione.

Il Regolamento entrerà in vigore il 25 maggio prossimo in tutti gli Stati membri dell’Unione Europea così tutte le imprese dovranno adeguarsi alla nuova normativa per poter lecitamente trattare i dati personali dei cittadini europei.

A questo punto è lecito domandarsi cosa deve fare oggi un’impresa per essere conforme al GDPR.

I primi passi da compiere possono essere semplificati come segue:

  • avere un quadro preciso di ciò che viene trattato in azienda in termini di dati personali ed adottare gli accorgimenti necessari al fine di proteggere tali dati dai rischi di perdita, distruzione, furto, modifica, divulgazione non autorizzata etc.;
  • essere a conoscenza del fatto che prima di trattare un qualsiasi dato personale è necessario fornire all’interessato (ossia a colui il quale si riferiscono i dati) una informativa che deve essere conforme ai nuovi dettami del Regolamento Europeo;
  • ottenere il consenso al trattamento dei dati personali nei casi in cui ciò sia richiesto esplicitamente dalla normativa e richiederlo in modo conforme a quanto dalla stessa sancito;
  • formare il proprio personale dipendente che compie attività di trattamento per conto del titolare (cd “incaricati del trattamento”).

Questi sono sicuramente alcuni degli adempimenti primari da adottare. Va tenuto conto poi che ogni impresa è diversa dall’altra e per ognuna va compiuta una specifica valutazione. Il titolare infatti deve poter dimostrare di aver attuato tutte le misure e procedure interne necessarie al fine di rendere effettivi i principi di protezione dei dati – come sancisce appunto il principio dell’”Accountability” (responsabilizzazione), uno dei nuovi concetti giuridici presenti nel GDPR – in caso contrario l’impresa rischia di venire condannata al pagamento di pesanti sanzioni amministrative pecuniarie, oltre ad incorrere in responsabilità sia civili che penali.