Dal 25 maggio 2018 l’inosservanza della normativa sulla protezione dei dati personali comporterà sanzioni fino a 20 milioni di euro o fino al 4% del fatturato.
È dunque imminente l’entrata in vigore del regolamento privacy europeo (reg. UE 2016/679), aziende e persone fisiche dovranno dimostrare di aver concretamente adottato misure conformi a quanto prescritto dalla normativa. Il regolamento introduce infatti il principio della responsabilizzazione (accountability nell’accezione inglese) per cui viene affidato al Titolare ed al Responsabile il compito di scegliere le modalità, i limiti e gli strumenti necessari per un lecito trattamento dei dati.
I soggetti interessati dalla normativa sono coloro che effettuano attività di trattamento di dati di persone fisiche; laddove per trattamento deve intendersi qualsiasi operazione quale la raccolta, la registrazione, la conservazione, la modifica, l’uso, la consultazione, la diffusione, la cancellazione o la distruzione di dati personali.
L’ambito territoriale di applicazione della norma è estremamente ampio, il regolamento infatti opera anche nei confronti delle imprese situate in Paesi extra UE che offrono prodotti o servizi a persone che si trovano nel territorio europeo.
Tra le principali novità introdotte dal regolamento figurano l’introduzione del Data Protection Officer (DPO) quale soggetto deputato alla verifica e all’attuazione del regolamento da parte del Titolare del trattamento; la nomina dei soggetti incaricati di determinate attività tramite contratti scritti; l’obbligo di notifica al Garante di eventuali violazioni entro 72 ore dalla verificazione dell’evento; la maggior chiarezza, trasparenza ed accessibilità dell’informativa ed il diritto alla portabilità dei dati.
In generale, con l’entrata in vigore del regolamento, i Titolari dovranno dimostrare di aver posto in essere tutti gli adempimenti legali e contrattuali ai fini privacy e di aver adeguato i propri sistemi organizzativi ed informativi allo scopo di garantire la sicurezza dei dati. A tal fine, risulterà dunque necessario delineare e perimetrare le tipologie di dati trattati, analizzare quali debbano essere gli adempimenti legali necessari ed individuare le potenziali aree di maggior rischio.
A seconda delle singole realtà aziendali, potrà poi ritenersi opportuno organizzare dei corsi di formazione per il personale dipendente, procedere alla nomina di un DPO, predisporre il Registro delle attività di trattamento e, il tutto, al fine di non incorrere nelle severe sanzioni pecuniarie che, a seconda delle violazioni, possono comportare multe fino ad Euro 20.000.000,00 o fino al 4% del fatturato totale annuo dell’esercizio precedente.
Una sfida impegnativa è dunque ciò che si prospetta in capo ai soggetti coinvolti in attività di trattamento che, nell’attuale scenario caratterizzato da una crescente minaccia alla sicurezza informatica, dovranno dimostrare di aver adottato tutte le misure necessarie finalizzate ad assicurare l’applicazione del regolamento.
In tale contesto, lo Studio legale Zunarelli e Associati è a disposizione dei propri clienti per svolgere attività di compliance al fine di valutare, per ciascuna realtà aziendale, la strategia che risulti maggiormente sostenibile ed efficace nell’adeguamento ad una normativa in costante evoluzione.
(a cura del Prof. Avv. Massimo Campailla e Dott.ssa Marta Tonioni – massimo.campailla@studiozunarelli.com; marta.tonioni@studiozunarelli.com)