GDPR, questa sconosciuta…
Dal 25 maggio siamo tutti tormentati dal nuovo regolamento sulla privacy, spopolano sulla rete meme satirici e battute ma molti ignorano che il nuovo regolamento reca con sé incertezze e timori da parte di tutti gli operatori del settore no-profit e associativo, in primis per A.S.D. e S.S.D..
A quasi un ventennio di distanza dalla prima legge italiana sulla privacy (D.L. 196/2003), il 4 maggio 2016 è apparso in Gazzetta Ufficiale Europea il regolamento n. 2016/679, il famigerato GDPR, acronimo di General Data Protection Regulation, entrato in vigore per l’appunto dal 25 maggio.
Ambiti di applicazione
Per individuare l’ambito di applicazione occorre far riferimento a due criteri:
– un criterio materiale relativo al trattamento dei dati personali automatizzato e non
– un criterio territoriale relativo al luogo di effettuazione del trattamento.
Dunque ogni soggetto (ente, associazione, impresa, libero professionista, ecc.) stabilito nell’Unione Europea e che tratti dati di soggetti stabiliti nell’Unione Europea è interessato da queste importantissime novità.
Obiettivi e novità del regolamento
Il regolamento si fonda su:
– accountability (ovvero responsabilizzazione) dei titolari del trattamento dei dati, che ne determinano finalità e modalità;
– privacy by design, ossia il rispetto del trattamento sin dalla fase di progettazione del sistema e dalla sua organizzazione;
– privacy by default, cioè la garanzia che sui dati trattati vengano attuate una serie di misure che ne limitino il trattamento solo per le finalità necessarie e dichiarate;
– analisi dei rischi dei dati trattati;
– valutazione d’impatto sulla protezione dei dati, anche in fase di profilazione;
– tenuta dei registri delle attività di trattamento, al fine di dimostrare l’ottemperanza del responsabile del trattamento o del titolare alle disposizioni del regolamento.
Tutto ciò porta ad una serie di importanti novità:
a) regole più chiare in materia di informativa sul trattamento dei dati (che dovrà essere chiara, coincisa e accessibile) e di consenso al trattamento (che dovrà essere libero, informato ed inequivocabile);
b) diritto all’oblio, che garantirà all’interessato su sua richiesta la cancellazione dei dati personali e la cessazione del loro trattamento per le finalità iniziali;
c) diritto alla portabilità dei dati, mediante il quale il diretto interessato potrà ricevere in maniera strutturata i dati personali forniti inizialmente al titolare del trattamento;
d) introduzione del D.P.O. (acronimo di Data Protection Officer) identificato come responsabile della protezione dei dati. Tale figura sarà obbligatoria in soggetti con più di 250 dipendenti e in tutti quelli che richiedano trattamento di dati particolarmente sensibili. Egli potrà essere sia un dipendente che un soggetto esterno;
e) diritto al risarcimento, qualora venga accertato l’utilizzo non conforme al regolamento dei dati trattati;
f) criteri specifici per il trasferimento dei dati al di fuori dell’Unione Europea;
g) gestione dei data breach, ovvero la violazione dei dati personali.
Alla luce di tali novità è necessario:
1) produrre o adeguare le preesistenti informative sul consenso e sulla trattazione dei dati;
2) dare traccia della nomina del DPO con adeguata modulistica e materiale contrattuale;
3) preparare e gestire degli adeguati registri per il trattamento dati e una chiara valutazione d’impatto sulla protezione del rischio senza cui sarebbe impossibile predisporre le giuste misure per la protezione dei dati;
4) adozione di regolamenti interni, codici di condotta e certificazioni.
Da ciò è facile dedurre che un ruolo fondamentale lo rivesta la formazione del personale, in quanto una non idonea attività di aggiornamento potrebbe portare a conseguenze molto gravi dal punto di vista legale ed economico.
Sanzioni
Restando ovviamente le sanzioni penali di competenza di ogni singolo stato, a livello amministrativo:
– multe fino a 20.000.000 di euro, o fino al 4% del fatturato globale dell’esercizio precedente se superiore, per violazione dei principi base del trattamento, diritti degli interessati, acquisizione del consenso, trasferimento di dati personali all’estero e mancata ottemperanza a un ordine dell’autorità garante;
– sanzioni fino a 10.000.000 di euro, o fino al 2% del fatturato globale dell’esercizio precedente se superiore, per violazioni riguardo le disposizioni relative agli obblighi del Titolare o del Responsabile del trattamento.
Conclusioni
A parere dello scrivente non si tratta di vera e propria rivoluzione come da molti paventato, tutt’altro. Si tratta di un livello di dettaglio e di precauzione molto più elevati di quanto già previsto dai vecchi standard. Certo è che le sanzioni spaventano gli operatori più globalizzati e più impostati su target di clientela che preveda un quotidiano trattamento di dati sensibili, ma con un’adeguata attività di aggiornamento professionale si può far fronte a questo ennesimo gravame.
Qualora non sia chiaro il nuovo regolamento si consiglia di affidarsi a professionisti del settore per evitare spiacevoli sorprese.
Vincenzo D’Anzica
Dottore Commercialista e Revisore Contabile