Privacy cosa fare dopo il 25 Maggio 2018? Le leggi nazionali di ogni Stato Membro dell’Unione Europeo devono fare i conti con il nuovissimo Regolamento Europeo n. 679/2016 in Materia di Tutela Dati Personali (e quindi Privacy), il cui nome è riassunto in una sigla GDPR (General Data Protection Regulation).
Il timore iniziale è stato sostituito dalla corsa a mettersi in sicurezza ed in regola con le nuove linee guida in merito alla Privacy nonostante difficoltà ed incertezze.
Infatti, in Italia questo vacillare in dubbi e tecnicismi, trova il suo fulcro nella mancata traduzione legislativa del GDPR europeo. Solo il 25 Maggio scorso è stato pubblicato in Gazzetta Ufficiale il Decreto legislativo n. 51 del 18 maggio 2018 che adegua la normativa italiana in merito alle regole del GDPR circa il trattamento dei dati personali a fini penali e di sicurezza pubblica. La nuova privacy mette in rilievo la protezione delle persone fisiche focalizzandosi sulle modalità di trattamento dei dati delle stesse, da parte delle autorità competenti, a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati.
Per tutto il resto si deve attendere la scadenza del 21 Agosto 2018 che vedrà il decreto definitivo italiano in cui si adegua la parte nazionale della nuova normativa GDPR.
Fatte queste doverose premesse analizziamo cosa effettivamente si deve fare affinché ogni azienda e professionista adegui il proprio comportamento alla privacy europea.
La dimensione di sicurezza è la prima questione da affrontare: gli spazi reali e virtuali devono assolutamente essere in linea con il GDPR. Per quanto riguarda i sistemi informatici, computer fissi e/o portali, qualsiasi dispositivo, spazi di conservazione dati devono essere dotati di un sistema AntiVirus efficace, di copia di Backup, di crittografia ed essere ubicati in zone sicure sia che debbano rimanere in ufficio che essere traslocati in archivio. Trattandosi invece di documenti e materiale cartaceo il modus operandi è di collocare questa tipologia di materiale in luoghi appositi e protetti. A tal proposito è bene ricordare che la violazione di dati e/o la perdita degli stessi (data breach) deve essere comunicata al Garante della Privacy entro e non oltre 72 ore.
Non è solamente una mera protezione da “attacchi di panico” ma il rischio è alto: sanzioni e ripercussioni sono effettivamente pesanti.
Predisporre nuovi moduli è un secondo passo importante ma non sufficiente: è necessario conservare i dati delle persone con cura e metodica. A tale scopo un valido aiuto (obbligatorio per determinate categorie di aziende e professionisti) è tenere il registro dei trattamenti in cui si ha la classificazione accurata ed aggiornata di tutti i dati delle persone.
Nominare un responsabile della protezione dati è importante e necessario, nonchè obbligatorio per alcune categorie di soggetti e raccomandabile per tutti gli altri; il ruolo del responsabile della protezione dati è consigliare, informare, assicurare e sorvegliare che gli adeguamenti alla privacy siano corretti e seguano una buona condotta. Chiaramente è un ruolo sopra le parti altrimenti non potrebbe essere garante della propria responsabilità.
Responsabili interni ed esterni al trattamento dati, gli autorizzati (ex- incaricati) al trattamento dati sono figure che precedentemente trattavano dati in modi poco delineati. Oggi non bisogna sottovalutare tali figure ma formarle e rivestirle di ruoli precisi perché adottino nella loro attività il GDPR.
Responsabilità e trasparenza nella gestione dei dati personali sono le basi della nuova privacy: tenere presente queste due parole chiave ed intersecarle ad ogni attività interna ed esterna è applicare il GDPR. Passo, passo senza allarmismi.
Per qualsiasi informazioni potete rivolgervi e contattare lo Studio dell’Avvocato Ruggiero.