Regole privacy più vincolanti
In tutta l’Unione europea, il 25 maggio 2018 entrerà in vigore il regolamento europeo sulla protezione dei dati (general data protection regulation - Gdpr). È un cambiamento di notevole impatto, tanto formale (una legge unica, per tutti i cittadini dell’Unione, su un tema così delicato) quanto sostanziale. Cambia, infatti, il quadro normativo e con esso cambiano gli adempimenti richiesti ai titolari dei dati, compresi i datori di lavoro, le definizioni e le sanzioni per il mancato rispetto delle norme.
Ambito esteso
È utile partire da qui per rendere l’idea delle dimensioni del cambiamento: le sanzioni più pesanti arrivano a venti milioni di euro o al 4% annuo del fatturato mondiale di gruppo. Fino a oggi la privacy è stata, per gli imprenditori italiani e per il sistema, un concetto dai contorni incerti: sulla bocca di tutti ma con limitate applicazioni pratiche (e rischi). Il nuovo sistema europeo cambierà questa percezione, o almeno esige fin d’ora da tutti gli imprenditori l’esame dei propri processi e una preparazione per l’applicazione della nuova normativa.
L’ambito di applicazione del regolamento è molto ampio: comprende, infatti, tutti i trattamenti effettuati nell’Unione europea da un soggetto che ha la sede sul territorio (e fin qui, nulla di strano). L’applicazione, però, è espressamente estesa anche ai trattamenti effettuati fuori dal territorio da un soggetto che ha la sede all’interno, nonché ai trattamenti effettuati da soggetti non stabiliti nell’Unione ma relativi a offerte di beni, servizi o monitoraggi del comportamento che hanno come destinatari chi si trova nella Ue. In breve, il Gdpr è una norma generale e ramificata, e ogni trattamento di dati che ha a che fare con l’Ue ricade sotto la sua applicazione, nessuno escluso.
Questa (quasi) extra-territorialità della norma, di per sé peculiare, è coerente con il suo lungo iter di approvazione. L’attenzione dell’Unione per la privacy e i rischi connessi viene dall’enorme importanza che i dati, e la loro conservazione, hanno nel panorama economico contemporaneo. Non è più l’industria manifatturiera o la fornitura dei servizi a occupare il centro dei mercati: sono le società liquide che immagazzinano, ricevono e trattano dati personali; la new economy che ha oggi una dimensione necessariamente transnazionale se non, in alcuni casi, mondiale.
Dati e titolari
Le definizioni di dato e trattamento sono anch’esse ampie: «trattare un dato» significa compiere qualsiasi operazione o insieme di operazioni, con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione, mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione (articolo 4, del Gdpr). In pratica tutto.
L’ultimo passaggio necessario per presentare il Gdpr è capire chi sono i soggetti interessati dal cambiamento. La risposta è semplice: ogni ente, società, soggetto (compreso ogni datore di lavoro) che tratti dati. Di nuovo, in breve: tutti. Il problema è che, fino a oggi, il trattamento dei dati avveniva, per lo più, in modo inconsapevole, automatico. I dati venivano immagazzinati (nei server, negli archivi, nei sistemi gestionali, negli armadi elettronici o fisici degli uffici) e lasciati là, in eterno o quasi.
I titolari di dati non possono più permettersi una gestione di questo tipo. La nuova normativa impone una mappatura dei dati veritiera, costante ed effettiva. I titolari dovranno dare conto di quanti dati trattano, di come e di perché lo fanno e il trattamento dovrà avvenire limitando al minimo i rischi per la privacy. Di sicuro, il 25 maggio 2018, da molti punti di vista, è già arrivato; o almeno, dovrebbe esserlo per i molti titolari di dati attivi nel nostro Paese.
Arresto e ammende in caso di appalti e distacchi illeciti
di Aldo Bottini
Tfr, il coefficiente di marzo è 0,690391
di Nevio Bianchi e Pierpaolo Perrone