Rapporti di lavoro

La tutela della privacy con sistemi su misura

di Aldo Bottini

Una nuova figura responsabile, un registro delle attività, maggiore chiarezza delle finalità del trattamento dei dati personali. Sono alcune delle novità portate dal regolamento europeo sulla protezione dei dati (generale data protection regulation - Gdpr) che dal 25 maggio 2018 sarà efficace in tutti i Paesi dell’Unione europea, senza bisogno di ulteriori passaggi o approvazioni a livello nazionale. È quindi utile, pur nella complessità del testo (173 considerando e 99 articoli), elencare brevemente i punti di maggior impatto del provvedimento, con l’avviso che è la sua struttura generale a costituire una novità, più delle singole disposizioni.

Il data protection officer

Il Regolamento, infatti, non costituisce una rottura drammatica con l’attuale legge italiana sulla privacy (il Codice del 2003), piuttosto ne rappresenta un potenziamento: un rafforzamento dei principi, un inasprimento delle sanzioni, un messaggio a cittadini e imprese dell’Ue sulla centralità dei temi e degli adempimenti privacy per gli anni a venire. Ci sono, comunque, delle novità: per esempio la figura del Dpo (data protection officer), che ha funzioni di controllo sul trattamento dei dati, obbligatoria per determinati soggetti e trattamenti.

Nasce e viene codificato il diritto all’oblio (informatico). Arriva un preciso obbligo di notificare all’autorità garante entro un termine generale di 72 ore ogni fuga di dati o violazione di sistema (data breach). Diventa obbligatorio per le aziende con più di 250 dipendenti (ma è già stato consigliato a tutte le altre dal nostro Garante) un registro delle attività di trattamento, da tenere e aggiornare costantemente, per poter dare conto, in caso di breach ma anche di semplice richiesta, di ogni misura adottata.

Anticipare i pericoli

Proprio il registro ci porta a vedere chiaramente la struttura generale della nuova normativa: la privacy non sarà più una formalità da smarcare, ma diventerà un necessario adempimento da curare e strutturare all’interno di ogni azienda, grande o piccola. Come la sicurezza sul lavoro, o la prevenzione dei reati aziendali, la privacy diventa un tema su cui attrezzarsi, e in anticipo. Solo la prova di aver considerato ogni aspetto dei trattamenti effettuati potrà tutelare i titolari in caso di contenziosi o richieste provenienti dall’esterno.

In questo senso, si delineano fin d’ora due “fronti” su cui le imprese dovranno misurarsi. Da un lato, il rapporto con i soggetti che affidano dati alle società (clienti, persone che semplicemente accedono a un sito, dipendenti, collaboratori). Con riferimento a questi soggetti, la necessaria maggiore chiarezza delle finalità del trattamento porterà, specularmente, una maggiore possibilità di esercitare i propri diritti in relazione ai dati affidati. È quindi prevedibile una crescita di istanze, richieste, contestazioni circa l’uso dei dati e le sue finalità. È necessario avere sistemi e procedure in grado di soddisfare tali richieste.

Il secondo fronte è quello delle autorità garanti dei Paesi Ue, che diventano soggetti centrali nel vigilare sul rispetto delle nuove norme, oltre che riferimenti interpretativi imprescindibili.

Questo, unito alle pesanti sanzioni previste per gli inadempimenti, fa intravedere nuovi orizzonti per l’attività (giurisdizionale e regolamentare) dei Garanti, anche considerato che il punto di ingresso per reclami, procedure e richieste può essere qualunque Stato europeo.

Nuovo parametro di riferimento

Da oggi fino al maggio 2018 gli operatori, gli Stati e i Garanti si devono preparare all'applicazione delle nuove norme. Quello che le imprese possono (anzi devono) fare è analizzare i dati al proprio interno, il modo in cui sono trattati e conservati e tutte le procedure e strutture deputate alla loro gestione. Se queste procedure e strutture mancano, vanno create ex novo. Le procedure e strutture che esistono devono essere valutate alla luce del Gdpr.

Il regolamento esige l’adeguatezza dei sistemi alla tutela dei dati; un concetto diverso da quello oggi in vigore, ossia lo standard minimo e sufficiente per la tutela stessa. Una volta pronti, non resta che aspettare l’applicazione del regolamento. Stando alla carta (della legge), le cose dovrebbero cambiare non poco.

Per saperne di piùRiproduzione riservata ©