GDPR Privacy in vigore dal 25 maggio 2018: sicuro di essere al riparo dalle sanzioni?

Il GDPR, acronimo di General Data Protection Regulation, è il nuovo regolamento Privacy che è entrato definitivamente in vigore venerdì 25 maggio 2018 e che è direttamente applicabile in tutti gli Stati membri dell’Unione Europea, compresa l’Italia.

Le regole del GDPR proteggono i dati dei cittadini europei e si applicano a tutti i professionisti, alla Pubblica Amministrazione e a tutte le società che trattano o gestiscono tali dati e che offrono servizi o prodotti a persone che si trovano nel territorio dell’Unione Europea. Tali soggetti devono adeguarsi ad hoc alle disposizioni del GDPR 2018 per non rischiare di incorrere nell’irrogazione di sanzioni e devono mobilitarsi per predisporre il prima possibile un importante piano di adeguamento in termini di compliance, indipendentemente dalle loro dimensioni.

Cosa cambia con la nuova normativa in materia di privacy? A quali adempimenti si è tenuti? In quali sanzioni si rischia di incorrere?

Dal 25 Maggio 2018 per le aziende italiane, di qualsiasi tipo e dimensione, cambia radicalmente la mentalità nell’approccio al tema della privacy che, in attuazione del GDPR, si trasforma in un vero e proprio “Sistema Rischi”. Il dato va protetto sin dal primo istante in cui viene acquisito perciò organizzazione, processi interni e struttura IT dell’impresa devono essere predisposti per mettere in sicurezza i dati fin dal principio.

Solo a seguito di un’attenta e precisa analisi dei rischi e di tutte le attività di trattamento dei dati sarà possibile per le imprese provvedere a misure tecniche ed organizzative adeguate. Tali misure non risultano certamente di facile realizzazione se non si ha una certa dimestichezza in tema di analisi e gestione del rischio!

Per essere compliant, quindi, devono essere rispettate alcune procedure standard di protezione dei dati e devono essere previsti sistemi che comprovino la capacità di assicurare riservatezza, integrità, disponibilità, efficienza dei sistemi e dei servizi di trattamento, nonché l’efficienza di ripristino tempestivo della disponibilità e accessibilità dei dati personali in caso di violazione o perdita dei dati.

A tal fine le disposizioni del GDPR obbligano le aziende italiane a nuovi e molteplici adempimenti.

Innanzitutto è necessario predisporre correttamente l’informativa, nel rispetto di quanto previsto dagli articoli del Regolamento, in attuazione del principio di trasparenza ed al fine di tutelare i diritti e le libertà degli interessati.

Parimenti importante è prestare attenzione ai servizi on line, ai registri di trattamento, alla predisposizione di una procedura e di un modello per la notifica al Garante in caso di violazione dei dati personali (c.d. “Data Breach”) e alla DPIA (ossia alla valutazione d’impatto sulla protezione dei dati che il titolare del trattamento dovrà effettuare in determinati casi).

Risulta altresì necessario per l’azienda definire e nominare quelle figure che, seppur con compiti e responsabilità differenti,  gestiscono l’utilizzo e il trattamento dei dati ovvero: il DPO, il responsabile del trattamento e il titolare del trattamento.

D’altra parte con le sue disposizioni il GDPR ha rafforzato ed introdotto nuovi diritti degli interessati. Tali diritti hanno, tuttavia, la caratteristica di essere più onerosi da soddisfare rispetto a quelli previsti dalla normativa precedente. A capo delle imprese sorge l’onere, ad esempio, di informare adeguatamente l’interessato dei diritti di cui dispone, del periodo di conservazione dei dati, della possibilità di cancellare, modificare ed integrare i propri dati, di agevolare l’esercizio di tali diritti e di fornire un riscontro alle richieste in tempi ragionevoli.

A causa della complessità di tali adempimenti ed operazioni è consigliato avvalersi di professionisti esterni competenti in modo da definire correttamente i metodi e le azioni da intraprendersi e giungere celermente ad una base dati completa.

Una buona organizzazione, infatti, consentirà di predisporre un sistema di gestione privacy efficace ed efficiente che sarà in grado di ridurre gli imprevisti, evitando di dover far fronte a situazioni dannose e di incorrere in salatissime sanzioni. Il quadro sanzionatorio, invero, ha conosciuto con il GDPR  un fortissimo inasprimento ed accrescimento!

Il Regolamento contiene un proprio sistema di sanzioni applicabili sia ad illeciti specifici che a disfunzioni organizzative considerate nel loro insieme, come ad esempio, un modello aziendale difforme ai principi generali sul trattamento o malfunzionamenti nei rapporti con i responsabili del trattamento.

Non sono previste soltanto sanzioni amministrative: il mancato adeguamento al GDPR prevede anche sanzioni penali!

Le sanzioni amministrative pecuniarie sono stabilite solo nel loro limite massimo, lasciando in tal modo ampi margini di discrezionalità al Garante. Limite che, nei casi meno gravi, è fissato a 10 milioni di euro ed in quelli più gravi, invece, a ben 20 milioni di euro. Per le imprese inadempienti sono previste sanzioni che possono arrivare sino al 4% del fatturato annuo precedente!

Sul versante delle sanzioni penali vengono invece preservate, anche se con l’apporto di qualche modifica, le previsioni sulla responsabilità penale di cui al Decreto legislativo n. 196/2003 (c.d. Codice Privacy).

Appare evidente che ci troviamo dinnanzi a sanzioni che non possono essere trascurate e nelle quali si può evitare di incorrere solo se viene predisposto, mantenuto e gestito un Sistema Privacy di qualità.

I Professionisti dello studio legale BrixiaLEX sono disponibili ad assistere sia privati che aziende nell’adeguamento alla nuova normativa.