VERSO UNA PRIVACY SOSTANZIALE

COME STABILITO NEL NUOVO REGOLAMENTO EUROPEO

Il Parlamento Europeo ha approvato e pubblicato in data 27 aprile 2016 il nuovo Regolamento in materia di privacy, cioè relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ed abroga la direttiva 95/46/CE precedentemente in vigore. Il Regolamento entrerà in vigore dal 25 maggio 2018 portando con sé nuovi obblighi ed adempimenti a carico delle imprese.

Ovviamente anche in Italia è partito il conto alla rovescia per adeguarsi a tale normativa e quindi le aziende dovranno mettersi in regola ottemperando ai nuovi obblighi nel termine suddetto. Lo scalino da compiere è acquisire una nuova cultura della privacy, in quanto finora era spesso considerata una semplice questione di forma e un costo senza benefici. Ora dovrà essere incorporata come parte integrante nei processi aziendali stessi. Bisogna dunque cogliere anche gli aspetti positivi che la nuova disciplina genera in termini di potenziamento del proprio management aziendale, di opportunità per tutte le aziende di respiro internazionale che hanno sempre avuto una naturale propensione a farsi parte attiva verso la compliance, data la maggior uniformità normativa all’interno dell’Unione, e non ultimo per l’importanza della gestione dei dati nell’attuale vision del marketing.

Le imprese hanno il problema di identificare correttamente quali dei nuovi obblighi imposti dal regolamento siano applicabili nel loro caso specifico, di come organizzarsi per far fronte ai nuovi diritti degli interessati e della gestione della sicurezza dei dati in presenza di una maggiore flessibilità; senza contare la necessità di dimostrare la conformità alle norme: occorre mettere in atto un piano con l’assistenza di consulenti in materia giuridica, gestionale e tecnica che preveda un’analisi di rischio e del gap tra la situazione riscontrata e una piena conformità alle nuove norme. In base ai risultati di tali analisi, si procede a definire un modello di gestione della privacy (Privacy by design). In questo caso il principio è volto a garantire che gli strumenti e i sistemi di trattamento di dati personali utilizzati sin dall’inizio, siano effettivamente pensati per rispettare la privacy, nonché l’obbligo di effettuare una valutazione di impatto di tutte le attività di trattamento che comportino un elevato rischio per la libertà e i diritti delle persone fisiche e – per le imprese che trattano su larga scala categorie particolari di dati – la nomina di un Responsabile DPO (acronimo di Data Protection Officer). Il Responsabile è dunque una figura chiave avendo tra gli altri proprio il compito strategico di guidare l’azienda verso un regime di “privacy sostanziale”!

A questo riguardo, gli studi specializzati si stanno già affrettando a mettere ordine nelle procedure interne e trovare quelle competenze necessarie a formare i professionisti in grado di dialogare con il Garante della Privacy. Anche la nostra società è a disposizione delle aziende che ne facciano richiesta per fornire la consulenza e l’assistenza necessaria a mettersi in regola con la normativa.

Si può affermare, senza tema di smentita, che al riguardo della gestione della privacy regna in Italia molta confusione e approssimazione, in specie nelle PMI che rappresentano oltre il 99% del nostro tessuto imprenditoriale. Vi è un’evidente mancanza di validi sistemi di data management e di controlli tecnici e organizzativi sul trattamento dei dati, non solo a livello dei sistemi informatici adottati nella stessa azienda, ma anche di quelli dei partner con i quali essa instaura le proprie relazioni (fornitori, agenti, ecc.). Come già accennato, il primo passo è dunque quello di far effettuare un’analisi dei gap esistenti in materia di trattamento dei dati personali all’interno del contesto aziendale per poi procedere alla predisposizione del nuovo modello di privacy conforme al nuovo Regolamento. In buona sostanza l’analisi altro non è che una sorta di mappatura di tutti trattamenti in modo da evidenziare come vengono raccolti e conservati i dati, per quali finalità, come vengono protetti e a chi viene dato loro accesso, come vengono comunicati e perché.

I riflessi dunque sull’organizzazione aziendale sono notevoli, così come gli oneri per il rispetto dei principi e degli obblighi previsti dal nuovo Regolamento, sono tutti a carico dell’azienda che dovrà uniformarsi velocemente, pena incorrere in sanzioni molto importanti. Il Garante della Privacy ha già emanato delle prime linee guida in materia, ma senz’altro ulteriori indicazioni verranno successivamente fornite a chi deve affrontare una materia nuova che potrebbe essere soggetta a numerose interpretazioni, dato l’amplissimo ambito di applicazione. Infine occorre rimarcare che è essenziale una grande attenzione alla formazione di tutte le persone afferenti al contesto aziendale coinvolte nel trattamento dei dati personali.

Sergio Capperucci - Studio Capperucci & Associati