E’ iniziato il conto alla rovescia ed è necessario mettere in regola la propria azienda per adeguarsi al nuovo Regolamento europeo per la Privacy. Ma di cosa si tratta? Ecco in breve cosa è necessario sapere per iniziare a prendere confidenza con questa nuova legge. Queste note, scritte in collaborazione con lo Studio Legale DGRS di Milano, via aiuteranno a chiarirvi le idee.

1) Quando entra in vigore il nuovo regolamento europeo privacy e come si chiama esattamente?

Il nuovo regolamento è entrato in vigore il 24 maggio 2016 e diverrà definitivamente applicabile a partire dal 25 maggio 2018.

Il nome “completo” è: il Regolamento 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (cd. Regolamento generale sulla protezione dei dati). Il Regolamento va ad abrogare la precedente direttiva 95/46/CE.

2) Quali sono i soggetti che devono adeguarsi?

Si deve adeguare chi effettua un trattamento di dati personali nell’ambito della propria attività (impresa, negozio, studio professionale ecc…) nell’Unione Europea, anche se il trattamento dei dati non avverrà all’interno dell’Unione. Deve adeguarsi alla legge anche colui che ha un’attività il cui trattamento dei dati sono nell’ambito:

• della vendita di beni e servizi;
• del monitoraggio del comportamento degli interessati all’interno dell’Unione.

3) Cosa vuol dire adeguarsi a questo regolamento?

In particolare, con il nuovo Regolamento, cambia l’approccio che deve essere assunto dalle aziende. Viene introdotto infatti il “principio di responsabilizzazione”, che prevede per il Titolare del trattamento il dover dimostrare di aver messo in atto tutte le misure tecniche e organizzative adeguate per garantire che, il trattamento dei dati personali da lui effettuato, è conforme con il Regolamento.

Nel concreto queste misure possono essere:

• garantire nuovi diritti degli interessati (come il diritto alla portabilità del dato),
• implementare meccanismi di privacy by design e by default,
• nominare (se obbligatorio) un Responsabile della protezione dei dati (RPD)
• effettuare (se necessario) una valutazione del danno in caso di violazione dei dati
• notificare all’Autorità e, in alcuni casi, comunicare agli interessati, le violazioni dei dati personali.

4) Cosa rischiano le aziende che non lo faranno?

Sono previste sanzioni amministrative in denaro per chi non si adegua al Regolamento. Tali sanzioni sono talvolta molto elevate e, in alcuni casi, possono giungere fino al 4% del fatturato mondiale dell’impresa.

5) Chi sono gli enti che effettueranno verifiche in questo campo?

In Italia supervisionerà l’applicazione della normativa l’autorità Garante della privacy. Inoltre le  Autorità di controllo dei vari Stati membri anche in collaborazione fra loro, effettueranno la sorveglianza e assicureranno l’applicazione del Regolamento.

Il nostro suggerimento? Non ridursi all’ultimo momento per effettuare l’adeguamento delle proprie strutture aziendali al nuovo Regolamento. La normativa è inoltre molto dettagliata: in alcuni casi è meglio affidarsi ad un professionista e/o nominare, anche se non obbligatorio, un responsabile della protezione dei dati per non correre rischi di sviste o errori di valutazione che potrebbero portare a delle sanzioni.