081/7644476 | 02/39297878 info@studiogaeta.com
“Il D.lgs 101/2018 è in vigore, ma due aziende su tre non sono ancora adeguate”

“Il D.lgs 101/2018 è in vigore, ma due aziende su tre non sono ancora adeguate”

“Il D.lgs 101/2018 è in vigore, ma due aziende su tre non sono ancora adeguate”

Alcune recenti indagini hanno evidenziato che quasi il 65% delle aziende italiane non si sono ancora adeguate alla normativa imposta dal GDPR, con la sola eccezione delle grandi imprese, le uniche partite da tempo per arrivare conformi entro il 25 maggio 2018. La ricerca, condotta tra il 1° giugno e il 3 settembre 2018 da TALEND, azienda statunitense specializzata in integrazione dati tramite soluzioni cloud, si è concentrata sulle risposte all’articolo 15 (Diritto di accesso da parte dell’interessato) e sulle richieste dell’articolo 20 (Diritto alla portabilità dei dati), esaminando anche il rispetto del GDPR per quanto riguarda le politiche sulla privacy, la velocità e la completezza delle risposte.

Un dato curioso, ma un po’ desolante, è che la conformità alle regole europee è più elevata al di fuori dell’Europa. Solo il 35% delle aziende europee intervistate ha fornito i dati. Sale invece al 50% il tasso di conformità registrato per le imprese non europee.

Molte PMI e Pubbliche Amministrazioni non hanno provveduto ad adeguarsi neppure agli adempimenti basilari, omettendo spesso la pubblicazione dei dati di contatto del Titolare o Responsabile della Protezione dei Dati, e in altri casi mancando persino di fornire un’informativa scritta in maniera concisa e trasparente e facilmente comprensibile per gli utenti o con dei meccanismi che permettano loro di esprimere il consenso in modo libero e consapevole, come previsto dal Regolamento UE.

Questo nuovo decreto rimodella ed abroga in molte parti il nostro Codice Privacy, la sua principale funzione è quella di attualizzarlo alla luce del Regolamento UE.

La pubblicazione del D.lgs 101/2018 in Gazzetta Ufficiale ha spento ogni speranza di poter vedere qualche moratoria o almeno qualche proroga all’applicazione delle pesanti sanzioni previste dal GDPR.

Lo stesso Parlamento aveva chiesto un vero e proprio “periodo di grazia” che prevedesse anche una temporanea sospensione delle ispezioni del Garante, ma stante i trattati internazionali, non è di fatto giuridicamente possibile derogare ad un regolamento emanato dall’Unione Europea, e dal 25 maggio 2018 le sanzioni del GDPR sono pienamente in vigore e direttamente applicabili in Italia come in ogni altro Stato membro.

Tuttavia, per quello che è stato possibile il Legislatore è andato incontro alle richieste della politica, e nel decreto è stato previsto un periodo di otto mesi in cui il Garante dovrà tenere conto della fase iniziale di attuazione, esercitando una certa gradualità nel comminare le sanzioni alle aziende ritardatarie, ma in ogni caso con l’entrata in vigore del Dlgs 101/2018, dal 19 settembre 2018 aziende ed enti non hanno più alibi per non essere allineati alla normativa sulla protezione dei dati personali.

Inoltre l’Autorità ha regolarmente varato un piano di attività ispettive per il secondo semestre del 2018, e aziende ed enti che saranno trovati inadempienti al Regolamento UE non saranno affatto esenti dalle multe pecuniarie, anzi adesso rischieranno pure la galera.

Quella di poter stabilire ulteriori sanzioni, era infatti una delle facoltà data agli Stati membri con particolare riguardo alle violazioni che non sono già soggette a multe pecuniarie ai sensi dell’art. 83 del GDPR, e il Legislatore italiano ha previsto una serie di sanzioni penali, tra le quali quelle per il trattamento illecito, che viene punito con la reclusione fino a 18 mesi.

Rischia invece fino a tre anni di carcere chi trasferisce illecitamente dati personali all’estero, e pene analoghe sono riservate a coloro che commettono violazioni riguardanti i trattamenti dei cosiddetti “categorie particolari di dati”, di cui all’art. 9 del GDPR.

Viene introdotto anche il reato di “acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala”, punito con la reclusione fino a quattro anni, e rischia addirittura fino a sei anni di carcere chi comunica o diffonde illecitamente data base contenenti dati personali oggetto di trattamento su larga scala.

Sono inoltre previste pene detentive anche per chi dichiara il falso al Garante, non ne rispetta i provvedimenti, o di chi interrompe l’esecuzione dei compiti o l’esercizio dei poteri dell’Autorità.

E’ vero che il Garante potrà mettere a punto delle linee guida “ad hoc” per fissare modalità di adeguamento semplificate per le micro, piccole e medie imprese, ma anche in questo caso è opportuno non farsi illusioni perché non potranno derivarne esoneri o deroghe, in quanto ciò andrebbe in contrasto con il GDPR.

L’approccio suggerito è quello del “privacy by design”, basato su tre principi:

  1. coscienza dei trattamenti effettuati;
  2. analisi dei rischi;
  3. scelta ponderata delle soluzioni.

Il concetto di base del GDPR diventa quello dell’accountability, cioè della responsabilizzazione.   E’ il titolare del trattamento dati che deve prendere coscienza dei dati trattati ed avere consapevolezza delle soluzioni da adottare caso per caso, in relazione al contesto aziendale in cui opera, tenendo presente che tale contesto è mutevole nel tempo, e quindi rende “dinamico” il sistema che dovrà essere revisionato periodicamente.

Ciò, dunque, comporta che non sia possibile l’utilizzo di misure di sicurezza predefinite ma la valutazione deve essere contestualizzata con la specifica situazione.

Al pari delle Aziende, anche i Professionisti, siano essi singoli o a maggior ragione  studi associati, dovranno preliminarmente effettuare una mappatura dei dati trattati, considerarne la natura (dati sensibili, dati giudiziari o altro) analizzandola in maniera preventiva, e valutando il livello di rischio in caso di perdita, alterazione o diffusione non autorizzata dei dati e non ultimo anche i costi da affrontare per la sicurezza dei dati personali.

È  necessario inoltre, che il professionista  o l’azienda, siano in grado di dimostrare la liceità e l’adeguatezza delle misure di sicurezza adottate per evitare incidenti informatici, accessi abusivi ai dati o data breach;  il documento in grado di assolvere questa funzione  è il Registro dei trattamenti, che pur non essendo esplicitamente previsto per le aziende che hanno meno di 250 dipendenti, è fondamentale per dimostrare la correttezza dell’azienda o dello studio nel rispetto delle norme sostanziali che disciplinano la protezione dei dati.

L’introduzione del Regolamento Europeo rappresenta un’ottima occasione per rivedere in maniera sostanziale l’organizzazione generale, la governance ed è un’opportunità per fidelizzare i clienti, dando un ulteriore significato concreto al concetto di “Customer Care”.

Per contatti e informazioni:

Dott. Michele Rescigno

michele.rescigno@studiogaeta.com

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *