Posted on Jun 7, 2018 by MRG

La privacy nelle ultime settimane è diventato un argomento sempre più di attualità, generando stress, un invio massiccio di informative e relativo intasamento di caselle email e anche alcuni divertenti tormentoni sulle reti social.

Siamo attualmente in una fase in cui il tema privacy è esposto mediaticamente, ma persiste ancora molta confusione a proposito del Regolamento Europeo sulla Privacy (GDPR) e, secondo le prime statistiche, la percentuale di società che si sono adeguate è ancora basso. La materia è complessa e in evoluzione, proviamo a rispondere ad alcune domande ricorrenti.

Cosa è il GDPR e quando diventa effettivo?
Il GDPR è il regolamento europeo con il quale viene rafforzata e resa più omogenea la protezione dei dati personali di cittadini nei vari paesi comunitari. È un regolamento e, in quanto tale, è già effettivo dal 25 maggio 2018 senza che sia necessario che venga recepito dai singoli stati. Il GDPR si inserisce tuttavia in un impianto normativo esistente, il cui documento principale è il Codice Privacy (D. Lgs 196/2003) e i provvedimenti del garante che si sono succeduti nel corso degli anni. Attualmente il GDPR coesisterà con il Codice Privacy, laddove il Codice Privacy non sia incompatibile con il GDPR. Era prevista l’emanazione di un decreto legge a livello italiano entro il 21 maggio 2018 che regolasse i rapporti tra il GDPR e il Codice Privacy, obiettivo non raggiunto dal nostro Legislatore per cui è stato richiesta una proroga di tre mesi.

L’applicazione del GDPR viene rinviata a livello italiano poiché non è ancora uscito il decreto legislativo?
No, il GDPR è effettivo dal 25 maggio 2018.

I controlli e le sanzioni sono momentaneamente sospese?
No, i controlli e le sanzioni possono essere effettuati dal 25 maggio 2018. Il garante si è chiaramente espresso su tale punto il 19 aprile 2018: “Con riferimento a notizie circolanti in Internet è necessario precisare che non è vero che il Garante per la protezione dei dati si sia pronunciato sul differimento dello svolgimento delle funzioni ispettive e sanzionatorie né il provvedimento richiamato nei siti attiene a tale materia. Nessun provvedimento del Garante, peraltro, potrebbe incidere sulla data di entrata in vigore del Regolamento europeo fissata al 25 maggio 2018.” È tuttavia ragionevole attendersi che nei primi mesi il Garante si mostri comprensivo verso le realtà che hanno intrapreso un percorso di adeguamento al GDPR, soprattutto nel caso di PMI.

Il GDPR è applicabile anche per la mia azienda?
La risposta è si, se lavori in Europa o tratti dati di persone sul suolo europeo. Il GDPR si applica a tutte le aziende, a prescindere dalle dimensioni e dalle attività svolta.

Sono in ritardo con l’adeguamento. Cosa devo fare e cosa rischio?
La risposta è semplice quanto scontata: cominciare al più presto il percorso verso l’adeguamento. Il percorso verso la compliance con il GDPR prende tempo in quanto può essere necessario predisporre una serie di misure tecnico-organizzative, informative e prove documentali che, anche in caso di una Pmi, possono essere complesse.
Uno dei principi cardini del GDPR è la responsabilizzazione: le società devono dimostrare di aver fatto tutto il possibile per rispettare i principi del regolamento. Eventuali ritardi dovuti a limiti tecnico-organizzativi possono essere compresi con maggior facilità rispetto alla semplice negligenza di non aver intrapreso nessuna azione per raggiungere l’adeguamento.
Per quanto riguarda i rischi, la risposta è altrettanto semplice, quanto sgradevole: a seconda delle inadempienze, la pena massima è 10 milioni di euro o 2% fatturato e 20 milioni o 4% fatturato. Nel decreto legislativo che uscirà entro il 21 agosto dovrebbero essere definite con maggior dettaglio le pene minime, secondo la bozza già visionabile dovrebbe essere inoltre confermato in alcuni casi anche il penale.
Preme osservare che durante l’incontro con i DPO del 24 maggio 2018, il garante ha ribadito che la situazione delle Pmi verranno trattate con particolare attenzione da parte del Garante, che è consapevole delle difficoltà che le realtà di piccola dimensione potrebbero avere data la complessità della materia.

Come è strutturato il servizio di QSA?:

Gap Analysis: ovverosia redazione di un documento che analizza lo stato attuale della realtà sotto esame in materia privacy e gli step necessari per adeguarsi al GDPR.

Implementation: ovverosia supporto nel percorso verso l’adeguamento all’impianto normativo della privacy vigente, grazie anche alla guida nella redazione della documentazione necessaria (per es. registro trattamenti, matrice di rischio…) e nella scelta delle misure tecnico-organizzative adeguate.

Mantenimento: consulenza continuativa e eventuali aggiornamenti della documentazione.

A tali fasi, viene affiancato un servizio di formazione del personale in materia di privacy.

La Gap Analysis viene condotta nel più breve tempo possibile anche per poter dimostrare l’inizio dei lavori verso l’adeguamento, mentre l’implementazione può prendere alcuni mesi, utili anche per poter comprendere meglio l’impianto normativo nel suo complesso, ancora in fase di costruzione.

Inutile dire che, in ogni caso, se la gestione della privacy viene affidata a terzi, il primo passo verso l’adeguamento è la firma di un contratto.

comments powered by Disqus