di Antonio Serriello
Pilastro della nuova normativa sulla Privacy, il Regolamento europeo in materia di protezione dei dati personali (Reg. 2016/679), è il principio di Accountability, avente l’obiettivo di rafforzare i diritti dei cittadini nei confronti di imprese e pubbliche amministrazioni.
La riforma ha agito anche nell’ottica di sviluppare l’economia digitale e creare un rapporto di maggior fiducia tra consumatori e imprese, rafforzando in modo decisivo gli obblighi in materia di tutela dei dati personali in capo al Titolare e al Responsabile del trattamento.
Questi ultimi dovranno mettere in atto misure tecniche e organizzative adeguate a tutelare i dati personali raccolti ed essere sempre in grado di dimostrare, anche per iscritto, che quanto messo in atto in azienda è conforme al Regolamento. Si dovranno cioè creare regole e procedure ad hoc alle quali far conformare tutti coloro i quali tratteranno i dati: dal dirigente al commerciale, dal responsabile HR al direttore marketing.
La nuova normativa richiede quindi un maggior grado di preparazione in capo ai soggetti coinvolti nonché competenze specifiche a seconda del ruolo rivestito in azienda.
Il principio di Accountability Privacy
Il principio di Accountability Privacy si può tradurre in un obbligo di responsabilizzazione e rendicontazione in capo alle imprese. Il Regolamento Europeo, infatti, attribuisce al titolare del trattamento la responsabilità di adottare (e rispettare) complesse misure tecniche, organizzative e legali idonee a garantire adeguata ed effettiva protezione dei dati personali, anche attraverso lo studio di modelli organizzativi ad hoc. Obbligo a cui si aggiunge l’onere di documentare, verificare (audit) e dimostrare che il trattamento dei dati è stato effettuato in conformità al regolamento europeo in materia di privacy.
Come adeguarsi alla nuova normativa
L’obbligo di rendicontazione introdotto dal Regolamento Europeo attribuisce alle imprese una responsabilità che non ha precedenti all’interno del Codice della privacy. Mentre quest’ultimo prevede una serie di adempimenti formali (ad es. informativa, consenso, notificazione al garante etc.), ma non responsabilizza le aziende, il nuovo Regolamento UE introduce, per la prima volta, un principio di garanzia di effettività nei confronti dell’interessato al trattamento.
Ogni azienda deve adottare (e dimostrare di aver adottato) modelli organizzativi idonei a garantire il rispetto della normativa, soprattutto sotto il profilo della valutazione preventiva dei rischi e delle misure di sicurezza, anche attraverso la tenuta di un registro delle attività del trattamento dei dati personali.
Tali politiche dovranno poi essere aggiornate e migliorate di continuo, parallelamente all’evolversi della normativa e delle soluzioni tecnologiche disponibili sul mercato, ma soprattutto dovranno “tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche“. Il tutto tenendo conto dei principi di Privacy by Default e by Design, i quali impongono al titolare del trattamento, nel primo caso, di tutelare la vita privata dei cittadini di default, ovvero come impostazione predefinita dell’organizzazione aziendale, nel secondo caso, di fare in modo di proteggere i dati fin dal disegno o progettazione di un processo aziendale.
Insomma, la nuova normativa pone al centro l’individuo e impone alle aziende un atteggiamento proattivo e lungimirante, che può essere compreso solo nel mettersi al posto del soggetto da tutelare, proteggendo i suoi dati a livello di organizzazione aziendale.
Ricapitolando, perché è così importante la rendicontazione? Da un lato, ex ante, garantisce la massima trasparenza, consentendo al Garante di conoscere le misure predisposte dall’azienda per tutelare i dati personali e a tutto il personale interno e esterno di conformarsi al modello organizzativo adottato dall’azienda; dall’altro, ex post, permette di ricostruire le dinamiche aziendali e di consentire un controllo di adeguatezza ed effettività delle misure di sicurezza adottate.
Le sanzioni civili, penali e amministrative
Rimandare, sottovalutare responsabilità e oneri, non conviene. Né risulta conveniente in termini economici per l’impresa.
In caso di inosservanza o di mancato adeguamento alla nuova normativa europea, infatti, si rischia di andare incontro a ispezioni, contestazioni e sanzioni civili, penali e amministrative, a cui si aggiunge una eventuale causa di risarcimento danni (ex art. 2050 c.c.) da parte di terzi eventualmente danneggiati dal trattamento illecito di dati personali da parte dell’azienda.
Le aziende hanno tempo fino al 25 maggio 2018 per adeguarsi al Regolamento Europeo.
Come evitare ispezioni e sanzioni
Il primo passo per comprendere se le misure aziendali adottate siano adeguate alla nuova normativa europea e, in particolare, al principio di Accountability Privacy, è richiedere l’analisi e la consulenza di un esperto.
La squadra di Unolegal è formata da persone altamente qualificate, ma soprattutto specializzate in materia di Privacy, che ogni giorno collaborano con Titolari e Responsabili del trattamento, Marketing Manager o HR con l’obiettivo di metterli nelle condizioni di lavorare un giorno in piena autonomia.
A seconda delle esigenze aziendali, è possibile avvalersi della consulenza Privacy di un esperto, ma anche formare il proprio personale attraverso corsi in aula e online, dove sarà possibile affrontare tematiche specifiche e confrontarsi direttamente con il docente.
