La protezione del dato personale non è solo questione di sicurezza informatica. Il regolamento europeo N.679 del 2016 introduce una serie di novità in materia GDPR e Privacy, ecco le principali:
Il Regolamento europeo relativo alla protezione delle persone fisiche in tema di privacy, approvato il 14 aprile 2016 dal Parlamento UE contiene molte novità, con le quali si stanno confrontando sia aziende pubbliche, che private, professionisti, associazioni. Ad oggi siamo ancora nel famoso biennio (fino e non oltre il 25 maggio 2018) concesso dal legislatore europeo alle imprese, affinché possano affrontare il necessario adeguamento per rendere compliance la propria struttura aziendale. Tale regolamento aggiorna la Direttiva risalente al 1995, è ben comprensibile quindi come il tema GDPR e PRIVACY non interessi soltanto gli aspetti di sicurezza informatica che riguardano aziende, professionisti e associazioni ma prenda in considerazione tutti gli aspetti legati al trattamento dei dati personali atto alla protezione della privacy delle persone fisiche.
La ratio della normativa è orientata a privilegiare adempimenti di tutela sostanziale, rientrando in questo filone adempimenti quali l’analisi dei rischi, (su cui costruire un sistema di misure idonee di sicurezza), il principio di responsabilizzazione, la privacy by design e by default (tutela dei dati sia dallo sviluppo, dalla progettazione di un servizio/prodotto), in alcuni specifici casi la valutazione d’impatto o la consultazione preventiva al Garante della privacy. Non si tratta di un’operazione di mero maquillage. La compliance privacy, non sarà più un mero adempimento burocratico, che sino al 2011 (anno in cui ne è stato abolito l’obbligo per le imprese di redazione del DPS) si esplicava con la redazione del famigerato DPS Documento programmatico di sicurezza, ma diventa un importante processo aziendale organizzativo e gestionale, il quale si evolve e si modifica nel tempo con l’azienda e la tecnologia informatica che andrà a farne parte. Restano consolidati, se non rafforzati, i pilastri relativi alla tutela dell’interessati, cioè ad esempio il consenso informato, le informative, l’adozione di misure di sicurezza, l’apparato sanzionatorio amministrativo e giurisdizionale.
Un aspetto è sicuro, non ci si potrà più affidare a consulenze mordi e fuggi, ma la consulenza in ambito GDPR e Privacy dovrà essere affidata a professionisti, in grado di sensibilizzare nella giusta maniera l’imprenditore e i suoi collaboratori, al fine di evitare rischi d’immagine, legali, economici per l’azienda. Sul tema il nuovo Regolamento crea in Italia una nuova figura professionale il DPO, cioè Data Protection Officer o RPD Responsabile della Protezione dei dati, il quale sarà obbligatorio per alcune realtà aziendali e non per altre, come previsto dalla normativa, figura multidisciplinare, indipendente, figura interna o esterna all’azienda, interfaccia col Garante della privacy, consiglia il Titolare del trattamento, aiuta nella redazione del registro dei trattamenti etc.
Dott.ssa Manuela Filì
Consulente privacy
EFFERRE CONSULTING SRL