Mancano pochi mesi all’entrata in vigore del GDPR (General Data Protection Regulation – Regolamento UE n° 679/2016), il nuovo regolamento generale sulla protezione dei dati che sarà valido a partire dal 25 maggio 2018.
Tra le principali novità introdotte dalla normativa, il rafforzamento delle misure tecniche e organizzative per garantire la massima sicurezza dei dati, riducendo così il rischio di furto o dispersione accidentale.

In vigore dal 24 maggio 2016, il GDPR avrà però piena applicazione solo a partire dal 25 maggio 2018. L’obiettivo è Garantire un’adeguata sicurezza dei dati personali nel momento in cui essi vengono trattati, onde evitare situazioni che possano compromettere la privacy. Si pensi a trattamenti non autorizzati o illeciti, perdita, distruzione o danno accidentale.

Il nuovo regolamento europeo tocca ovviamente anche le piccole e medie imprese (PMI) italiane.

Aziende per lo più a conduzione familiare, terzisti, che trattano con i clienti persone giuridiche e con i collaboratori attraverso strumenti informatici spesso gratuiti, affidandosi a fornitori di servizi Cloud non specificamente dedicati al business (basti pensare alle e-mail, ai sistemi di trasferimento e condivisione dei file, allo storage).

La buona notizia è che molti di questi operatori hanno già ottemperato agli obblighi imposti dalla nuova legge. Quella cattiva è che bisogna innanzitutto verificare che i servizi a cui si accede facciano effettivamente parte del novero di quelli allineati al Gdpr, che aderiscono a codici di condotta di settore o certificati, e aggiornare di conseguenza informativa ed eventuali moduli di consenso al trattamento dei dati. Bisogna poi dotarsi del registro dei trattamenti – già obbligatorio per alcuni soggetti – qualora non fosse già presente in azienda. Quest’ultima raccomandazione, in particolare, arriva a titolo di buona prassi consigliata direttamente dall’Autorità Garante della Privacy nelle linee guida: come anticipato, infatti, rispetto al Gdpr non sono ancora state delineate le semplificazioni per le Pmi, la cui proposta e stesura spetta alla Commissione Europea.

In attesa di ulteriori specificazioni – e in linea generale – l’attenzione del consulente (o di chi all’interno dell’organizzazione riceve, in base alle indicazioni del Gdpr, la responsabilità sul corretto trattamento delle informazioni) va soprattutto rivolta ai tipi di dati trattati e all’impatto che il regolamento avrà sulla trasparenza e sulla privacy dei dati relativi ai collaboratori: tra accessi ai sistemi informatici, registrazioni degli impianti di videosorveglianza, sito Web e interazioni sulle piattaforme di comunicazione, anche le imprese terziste e che non hanno a che fare con consumatori finali non possono esimersi dalla compliance.

Tutte le realtà aziendali e professionali, comunque, saranno tenute all’adeguamento normativo, pena sanzioni economiche rilevanti, che nel dettaglio – come esplicitato nell’articolo 83 del Regolamento – possono arrivare:

• fino a 10 milioni di euro, o per le imprese, fino al 2% del fatturato annuo mondiale dell’esercizio precedente per inosservanza degli obblighi del titolare del trattamento e del responsabile del trattamento e per inosservanza degli obblighi dell’organismo di controllo
• fino a 20 milioni di euro, o per le imprese, fino al 4% del fatturato annuo mondiale dell’esercizio precedente, per non osservanza dei i principi di base del trattamento, comprese le condizioni relative al consenso, dei diritti degli interessati, dei trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale, di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX; per inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo.

Per maggiori informazioni, consulenze e approfondimenti è possibile contattare lo studio, via MAIL, TELEFONICA o CLICCANDO QUI.

LO STAFF

STUDIO TECNICO DI INGEGNERIA – ING. GIONNI PALLOTTI