Privacy, nuovo Regolamento Europeo GDPR investire in organizzazione e reputazione per non soccombere tra le sanzioni
Su 99 articoli del nuovo Regolamento Ue sulla privacy (679/2016 sul trattamento dei dati personali che abroga la direttiva 95/46/Ce),
ben 49 sono assoggettati a sanzione amministrativa. Supera il 49% la percentuale delle nuove prescrizioni che porta a sanzioni amministrative, tra l’altro pesantissime.
Le violazioni degli obblighi in capo alle imprese (20 articoli su 49, cioè il 41%) sono punite fino a 10 milioni di euro; mentre gli altri 29 articoli (il 59%) puniscono, fino a 20 milioni di euro, la violazione dei principi del regolamento e dei diritti degli interessati. Un articolo su due espone, quindi, a forti esborsi pecuniari.
Senza contare che tutti gli articoli contengono ciascuno numerosi comandi e divieti: per esempio in materia di Responsabile della protezione dei dati (figura necessaria in alcuni casi, anche se non si sa bene quali, utile sempre) ci sono almeno 19 condotte sanzionabili.
Certo la leva per l’applicazione delle nuove disposizioni europee in materia di privacy non può essere quella sanzionatoria. Però con questo nuovo quadro sanzionatorio bisogna pure fare i conti e bisogna verificare il da farsi, affinché il costo sia un investimento in termini organizzativi e reputazionali. Il rispetto della privacy deve portare l’impresa ad una migliore organizzazione e a più fatturato. Altrimenti le imprese non comprendono per quale ragione devono esporsi a una serie di adempimenti, che comunque hanno un costo.
Se si chiedesse, infatti, se il regolamento europeo porta più o meno «burocrazia», l’unica risposta corretta è quella che si appella non a elementi quantitativi, ma a elementi qualitativi.
Anche il Regolamento europeo chiede adempimenti. Si dirà che non sono vuoti adempimenti formali, ma pieni adempimenti sostanziali. Vuoti o pieni, sempre di adempimenti si tratta e magari bisogna ricorrere a consulenti esterni e a spese per i necessari adeguamenti.
Alle imprese si chiede di documentare il consenso, di comprovare la base giuridica del proprio operato, di tenere un registro dei trattamenti, di redigere una analisi dei rischi e, in alcuni casi, una valutazione di impatto privacy. Alle imprese si chiede di valutare se aderire a un codice di condotta e se acquisire una certificazione. All’impresa si chiede maggiore attenzione nella stipulazione di contratti con il responsabile del trattamento e di lasciare traccia di avere istruito i propri dipendenti e collaboratori. In alcuni casi, non infrequenti, all’impresa si chiede di cambiare l’organizzazione aziendale, individuando una funzione specifica: la funzione della responsabilità della protezione dei dati.
Per quanto molti si affannino a ridurre la protezione dei dati all’oggetto di un profilo professionale, nell’ottica del Regolamento europeo è molto di più.
La protezione dei dati è un’attività costante di qualunque impresa. È come se nella visura della camera di commercio, nella parte dell’oggetto sociale, prima della elencazione delle attività dello specifico settore merceologico, vi fosse scritto «protezione dei dati».
Tutte le imprese che trattano dati devono proteggere i dati, solo alcune devono nominare un responsabile ad hoc.
Al di là di questo specifico adempimento, lasciare traccia è la parola chiave. L’imprenditore, di fronte al garante o un giudice, ha l’onere di provare che ha fatto tutte le cose per bene. E come fa a provarlo? Con un apparato documentale specifico, curato ed aggiornato.
L’impresa, è bene chiarirlo, non deve solo documentare e provare di avere gli apparecchi elettronici e le reti dotati di sistemi di sicurezza adeguati (obiettivo questo, tra l’altro, da garantire a prescindere dalla normativa privacy); l’impresa deve assicurare che le prescrizioni sulla protezione delle persone e la circolazione di dati siano in linea con le regole europee specifiche (quando ci sono) o con i principi giuridici vaghi e generici delle norme del regolamento (ed è quello che capita il maggior numero di volte).
L’impresa e i professionisti cui l’impresa si rivolge devono essere in grado di risolvere questioni giuridiche complesse, da cui dipende il rischio di sanzioni salate: devo chiedere il consenso o posso derogarvi visto che ricorre un legittimo interesse? Il trattamento dati è occasionale o devo tenere il registro dei trattamenti? Tratto dati sensibili di categorie di soggetti vulnerabili: devo o no fare la valutazione di impatto privacy? E i quesiti, che presuppongono una conoscenza specialistica giuridica della normativa, potrebbero continuare.
Ognuno di questi interrogativi, in questo conto alla rovescia verso il 25 maggio 2018 (data di piena efficacia del regolamento europeo), diventa giocoforza uno dei punti dell’agenda dei titolari di trattamento.
Il responsabile della protezione dei dati o DPO o lo chief officer privacy o delegato privacy, per non incorrere in responsabilità proprie (per lo meno contrattuali nei confronti del titolare del trattamento) si faccia un esame di coscienza: sono in grado di affrontare questi macigni giuridici?
D’altra parte il garante italiano, nella sua prima guida al regolamento Ue, ha ammonito: bisogna arrivare alla data fatidica con le idee chiare.
Fonte: Prynet da Italia Oggi del 22 maggio 2017
Leggi anche “Che cos’è il GDPR?“