La gestione dei dati personali e la nomina del Responsabile

Un termine pronunciato con molta frequenza dal 25 Maggio 2018 è certamente “GDPR”, General Data Protection Regolation. Questo perché la Commissione Europea ha introdotto il nuovo regolamento generale sulla protezione dei dati, al fine di:

  • Permettere alle aziende di operare in modo più chiaro possibile, nella raccolta e nell’utilizzo dei dati personali
  • Migliorare la protezione di questi ultimi e prevenirne la violazione
  • Stabilire controlli potenziati e maggiore reattività per prevenire la fuga dei dati

 

Cosa cambia con il GDPR?

Il nuovo Regolamento Europeo ha generato, specialmente nelle ultime settimane, un allarmismo diffuso. Perché?
Perché non interessa soltanto le aziende che operano nel settore sanitario e finanziario, a stretto contatto con il trattamento di dati personali, ma tutte le organizzazioni che trattano dati riservati, ovvero la stragrande maggioranza delle imprese.
Che cosa è cambiato? Rispetto all’ormai lontano Codice Privacy, in cui il trattamento dei dati collegato ad un interesse pubblico veniva inquadrato dal punto di vista soggettivo, ora la prospettiva è diversa e l’oggettività è all’ordine del giorno.
È molto importante che l’utente, qualora decida di consentire il trattamento i propri dati, abbia la possibilità di essere informato periodicamente, affinché possa controllarne il percorso e conoscerne il tempo di conservazione e i destinatari.

Il mancato adeguamento comporta delle conseguenze?

La risposta a questa domanda è decisamente sì e questo è uno dei principali motivi per cui il Regolamento Europeo 2016/679 ha in qualche modo generato molta ansia. Le aziende europee che non si preoccupano di rispondere alle linee guida della nuova normativa sono infatti a rischio di sanzioni dal valore complessivo del 4% del fatturato.
Vengono inoltre circoscritti alcuni obblighi in merito al mancato adeguamento: le organizzazioni che non hanno tutelato i dati degli utenti, devono segnalare la mancata conformità al Regolamento agli utenti entro 72 ore. I dati, perciò, dovranno essere utilizzati solo in conformità alle istruzioni e opportunamente documentati anche in ipotesi di trasferimento al di fuori dell’Unione Europea.

Outsourcing dei dati

Per il trattamento dei dati e l’utilizzo di essi, sono stati sanciti alcuni obblighi:

  • Obbligo di cancellazione e restituzione, su scelta del titolare, al momento di cessazione del rapporto lavorativo, salvo specifici vincoli di conservazione imposti dalla normativa stessa
  • Dovere di informare il titolare di tutte le informazioni necessarie, permettendo così di rispettare gli obblighi presenti in elenco
  • Consenso al titolare di effettuare eventuali attività di audit

Spesso, nei contesti aziendali, capita che i dati trattati vengano affidati a soggetti esterni. Questo accade, ad esempio, nei casi di utilizzo di fornitori, subappaltatori o società esterne per attività di terziarizzazione dei servizi.
In questi casi si parla di outsourcing dei dati e diventa di rilevante importanza porre attenzione alle misure di sicurezza messe in atto dalle aziende a cui cediamo le informazioni. Ad esempio, una perdita di controllo degli stessi, effetto di una violazione del sistema, se non affrontata in modo adeguato e tempestivo, può provocare danni fisici, materiali o immateriali alle persone fisiche.

Ecco alcuni esempi di danni causati dalla perdita del controllo dei dati personali:

  • Discriminazione
  • Furto o usurpazione di identità
  • Perdite finanziarie
  • Pregiudizio alla reputazione

Preoccuparsi che ogni singolo passaggio venga gestito in conformità con la normativa risulta quindi essenziale, non solo per far sì che i diritti dell’interessato siano sempre tutelati ma anche per evitare sanzioni.

Il nuovo testo del GDPR segna nuovamente l’importanza della figura del Garante, che ha diverse mansioni tra cui:

  • Controllare che il trattamento dei dati personali sia conforme alle leggi
  • Esaminare eventuali reclami
  • Adottare provvedimenti
  • Predisporre relazioni annuali sulle attività svolte

Il GDPR implica indubbiamente attività e sforzi da parte delle aziende, ma garantisce anche un trattamento adeguato e responsabile dei dati di clienti, dipendenti e fornitori.

È necessario stare al passo con i tempi: adeguati alla normativa per non incorrere in sanzioni!