Brevi cenni sul GDPR – Regolamento UE in materia di protezione dei dati personali (privacy)

  • February 12, 2018

biksadsky-partners-logo.png Articolo redatto da JUDr. Pavol Biksadský, advokát, e Avv. Andrea Cianti, usadený euroadvokát, dello Studio legale Biksadský & Partners
www.biksadsky-partners.com

In questo periodo è decisamente ricorrente come gli imprenditori vengano sommersi su ogni fronte da una miriade di spot pubblicitari, informazioni e avvertimenti riguardanti il GDPR (acronimo di: Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE). Il GDPR è motivo per allarmarsi? È solo un’ulteriore aggravio burocratico che gli imprenditori dovranno sopportare?

La risposta è complessa, sì e no. Il GDPR è sicuramente motivo per allarmarsi fintantoché l’imprenditore – “titolare del trattamento” ai sensi della terminologia del GDPR – ha sino ad oggi considerato la questione della protezione dei dati personali come un’invenzione burocratica inutile e superflua e ha risolto l’intera questione, nel migliore dei casi, procurandosi qualche documento, eventualmente pure scaricandolo da internet.

Al contrario, se l’imprenditore si è correttamente conformato alla normativa attuale (per esempio, mediante l’adozione di misure organizzative, tecniche e personali, l’elaborazione del c.d. “progetto di sicurezza”, l’ottemperamento all’obbligo di registrazione e di evidenziazione, ecc.), il GDPR decisamente non rappresenta motivo per allarmarsi.

La Repubblica slovacca, infatti, già da prima dell’acquisto della piena efficacia del GDPR applicava un regime di protezione dei dati personali che può essere considerato come uno dei più rigorosi in Europa (giusto per curiosità, anche il regime applicato in Italia è parimenti considerato essere molto rigoroso). La ragione è che la Repubblica slovacca ha recepito la direttiva 95/46/CE in maniera molto documentale e estensiva. Molte novità che il GDPR apporta quindi non saranno affatto novità per la Repubblica slovacca; anzi, per certi versi taluni obblighi attuali verranno meno (per esempio, l’obbligo di registrazione dei sistemi informatici presso l’Ufficio della protezione dei dati personali, il c.d. “progetto di sicurezza” come istituto esplicitamente richiesto dalla normativa).

La sostanza di base del GDPR è il passaggio del tema della protezione dei dati personali al centro dell’attenzione della gestione dell’azienda e il successivo raggiungimento di tale protezione in senso effettivo e non solo “sulla carta”.

La protezione dei dati personali non è una tematica solo per il giurista, bensì anche e soprattutto per esperti della sicurezza informatica e IT.

Sarà necessario considerare i dati personali come oggetto di alto valore, meritevole della massima tutela. Per citare un paragone quasi biblico, il dato personale corrisponde a una perla preziosa.

Se dovessimo riassumere brevemente alcune differenze tra il GDPR e l’attuale disciplina normativa, tali differenze sarebbero le seguenti:

-    Il GDPR è una fonte normativa direttamente applicabile in tutti gli Stati membri dell’UE, il che vuol dire che nell’ambito dell’UE esiste un unico regime uniforme della protezione dei dati personali e quindi è anche facilitato il flusso dei dati personali tra le imprese nell’ambito dell’UE;

-    Cambia la competenza territoriale delle norme europee nel campo dei dati personali, con l’introduzione di elementi di extraterritorialità (per esempio, il GDPR si applicherà anche agli imprenditori di territori fuori dall’UE, fintantoché si tratteranno i dati personali di soggetti interessati che si trovano nell’UE per quanto riguarda l’offerta di merci e servizi a tali soggetti interessati);

-    Si irrigidisce il regime ed i requisiti del consenso dell’interessato, quale titolo giuridico per il trattamento dei dati personali;

-    Si amplia l’applicazione del principio della trasparenza del trattamento dei dati personali mediante la definizione di nuovi dettagli per quanto concerne l’obbligo di informativa del titolare del trattamento nel rapporto con gli interessati;

-    Si introduce il meccanismo della comunicazione della violazione della protezione dei dati personali all’autorità di controllo entro un determinato termine (72 ore);

-    Si pone un nuovo accento all’applicazione del principio di responsabilizzazione (c.d. accountability) del titolare del trattamento, il quale deve essere in grado di dimostrare il rispetto del GDPR, e ciò soprattutto con l’adozione di misure tecniche e organizzative adeguate, l’attuazione di politiche adeguate in materia di protezione dei dati personali, la realizzazione della protezione dei dati su base standard o su base specifica (“data protection by default” e “data protection by design”), ecc. Il nuovo regime e gli obblighi giuridici non sono parimenti limitati solo al c.d. “titolare del trattamento”, bensì anche ai c.d. “responsabili del trattamento” (soggetti che trattano i dati personali in nome del titolare del trattamento, per esempio aziende esterne di consulenza contabile, contabili esterni per le buste paga…), ai quali il GDPR impone nuovi obblighi;

-    Si precisa il regime del trasferimento internazionale dei dati personali e si amplia il novero delle misure mediante le quali si realizza legalmente il trasferimento (per esempio mediante l’adozione di regole aziendali interne vincolanti, l’approvazione del codice di condotta o del meccanismo di certificazione);

-    Viene notevolmente incrementato l’importo delle potenziali sanzioni per la violazione del regime giuridico del GDPR (i numeri pubblicamente noti di 20 milioni di Euro, ovvero del 4% del fatturato mondiale annuo, che spesso servono a spaventare gli imprenditori, sono tuttavia solo un limite edittale massimo, ed il regime di comminazione delle sanzioni prevede rigide regole di proporzionalità);

-    Si disciplina il rapporto tra le autorità di controllo dei singoli Stati membri dell’UE con le singole autorità per la protezione dei dati personali mediante l’introduzione di un regime di collaborazione e di consistenza mediante la definizione dii termini come “autorità di controllo capofila”, la quale avrà il potere più influente in sede di trattamento transfrontaliero di dati personali e la quale sarà determinata in base al c.d. stabilimento principale del titolare del trattamento nell’ambito dell’UE.

Ovviamente il fine di questa pubblicazione non è presentare una trattazione completa ed esaustiva del GDPR; la problematica del GDPR è del resto quantomeno estesa ed occorre valutarla e applicarla sempre tenuto conto delle circostanze della concreta impresa e del concreto sistema di trattamento dei dati personali.

In vista dell’avvicinarsi della data dalla quale il GDPR si applicherà – 25/5/2018 – è ad ogni modo possibile fornire un suggerimento sicuro per procedere ulteriormente: è opportuno che l’impresa svolga quanto prima possibile l’analisi della conformità dello stato attuale del regime della protezione dei dati personali con il regime instaurato dal GDPR (c.d. “GAP analysis”), in base alla quale successivamente si svolgerà l’eventuale aggiornamento delle misure attuali e della documentazione attuale.



JUDr. Pavol Biksadský, LL.M.
(l’autore è membro dello IAPP – International Association of Privacy Professionals)

Avv. Andrea Cianti, usadený euroadvokát



________________________________
(1) Per maggiori informazioni potete consultare European Data Protection Law and Practice, di Eduardo Ustaran, capo editore, Capitolo 3 a cura di Katie McMullan, pag. 49, CIPP/E, International Association of Privacy Professionals (IAPP) 2018



 Torna alla pagina principale e leggi tutte le ultime notizie. Visita news.camit.sk

Le notizie più lette