E’ in vigore il nuovo Regolamento per il trattamento dei dati personali (GDPR), dopo la pubblicazione in GUUE. Descrizione e schemi sono da tempo reperibili, ma saranno necessari costanti approfondimenti, a partire dall’impatto concreto della nuova normativa sulle imprese, entro due anni direttamente applicabile in Italia. Il Regolamento apporta modifiche e integrazioni al set di definizioni, di cui le imprese dovranno tener conto cambiando il proprio approccio all’interpretazione del norma. Basta richiamare ad esempio, la nuova definizione di “dato personale” che include esplicitamente elementi come identificatori online e i dati relativi alla ubicazione.
Di grande rilevanza è anche la nuova definizione di consenso che viene identificato in qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento. Questi cambiamenti nelle definizioni andranno a influenzare tanti aspetti del business da quelli commerciali a quelli più strettamente connessi ai rapporti datore-dipendenti). A titolo di esempio si potrebbe ipotizzare che un semplice flag potrebbe non essere più sufficiente a considerare inequivocabile una manifestazione di consenso. Tanto più che il Regolamento ha innalzato maniera sensibile le sanzioni applicabili, sia in termini economici (multa massima. 20 milioni di euro o 4% del fatturato annuo) che penali e civili. Senza contare che sono stati attribuiti alle Autorità di Sorveglianza nuovi e più pervasivi poteri.
Già da quanto accennato appare evidente come anche la redazione delle informative dovrà essere in parte ripensata: concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (laddove tal tipo di precisa obbligo non è presente nell’attuale normativa). È probabile che le Autorità metteranno a disposizione anche modelli di riferimento.
Le imprese dovranno riesaminare la conformità del proprio business alle nuova normativa; garantire con maggiore attenzione il tracciamento (documenti interni, policy, ecc.) delle attività di trattamento; quando necessario, identificare una persona idonea al ruolo di DPO, garantendone risorse e indipendenza. Nell’ottica della rivisitazione dei processi e dei progetti aziendali, le imprese dovranno quindi tener conto dei principi di privacy by design e default, ragionando in termini di compliance privacy fin dall’inizio e per tutto il ciclo. Un aspetto così rilevante che, in determinati casi, sarà necessario procedere a una valutazione di impatto sui dati personali (DPIA) sviluppata in maniera più o meno approfondita a secondo del contesto aziendale di riferimento. Allo stesso modo si giustifica il favore che il Regolamento presta alle imprese che procederanno alla redazione di un Codice di condotta.
Nessun commento:
Posta un commento