Il 25 maggio 2018 entrerà in vigore a pieno titolo il nuovo regolamento Gdpr sulla privacy.
Gli enti pubblici e tutte le attività che trattano dati particolari e in misura particolare devono adeguarsi all’articolo 37 del Gdpr in cui si indica come e quando nominare un Dpo – Data Protection Officer. Infatti il titolare del trattamento e il responsabile del trattamento designano un responsabile della protezione dei dati quando:
- a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
- b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
- c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Anche le altre attività devono adeguarsi ed aderire al Gdpr, il nuovo Regolamento europeo 2016/679 per la protezione dei dati personali, in modo diverso analizzando la propria attività e semplificando gli adempimenti in relazione al tipo di dati o alla dimensione aziendale.
Pertanto la data del 25 maggio 2018, rappresenta una data di avvio dell’applicazione del Gdpr per la quale non bisogne farsi prendere dallo spauracchio di sanzioni che possono arrivare fino al 4% del fatturato o a 20 milioni di euro in caso di inadempienza alla normativa, ma va l’adeguamento va valutato e dimensionato partendo dalle informative , e dalle nomine per il singolo operatore senza lavoratori fino ad arrivare ad una analisi organica dei vari fattori di rischio e alla elaborazione dei registri dei trattamenti
La l’artigiano, il piccolo commerciante, dovrà tener conto anche di questo adeguamento in modo del tutto semplificato ed attuabile in relazione alla tipologia di dati che tratta. Pertanto deve provvedere ad avviare quelle azioni che lo porteranno a gestire con gli strumenti in suo possesso la sicurezza dei dati che gli vengono affidati.
È anche vero che le aziende italiane sono perlopiù micro, piccole e medie imprese, e non sono tante quelle il cui modello di business si basa sul trattamento massiccio di dati personali, pertanto per queste piccole aziende non occorre fare cambiamenti strutturali o funzionali tali da sconvolgere il loro equilibrio e rendere ingestibile tale adeguamento.
Non bisogna cadere nella fobia di acquistare software o modelli complesse e ingestibili, ma valutare in maniera corretta con un proprio tecnico di fiducia la procedura di adeguamento senza esaspera li interventi e i costi di adeguamento.
Benché sia giusto che le imprese provvedano ad adeguarsi a partire dal 25 maggio 2018 , c’è anche la buona notizia di Isabelle Falque-Pierrotin, Presidente di Art29WP, lo scorso 29 gennaio, in un’audizione al Parlamento Europeo: “Le sanzioni previste dal Gdpr sono solo un’arma dissuasiva, non un’arma per regolamentare. Non prenderemo di mira le imprese a partire dal 25 maggio. Certo, un conto sarà tenere conto del graduale adeguamento necessario per una norma di tale portata e un conto sarà punire chi non rispetta principi, come quello di finalità e proporzionalità, che fanno parte del nostro ordinamento da oltre vent’anni“.
Con ciò si presuppone che possa esserci lo spazio di adeguamento , dove i controlli e le sanzioni saranno commisurate in relazione al livello di gravità riscontrata. Pertanto è comunque obbligatorio procedere all’applicazione del Regolamento Gdpr del 2016.
Benché questa notizia possa essere rassicurante rimane il lavoro da svolgere , senza panico dove l’applicazione del nuovo Regolamento Gdpr non terminerà il 25 maggio ma proseguirà anzi dovrà anzi essere costante, con adeguamenti e aggiornamenti tecnologici, in relazione anche alle richieste degli utenti , dei clienti , che diventa talvolta un requisito contrattuale anche in sede di appalto
L’attuale situazione presuppone di doverci muovere per avvicinarci quanto più possibile alla conformità richiesta dal Regolamento 2016/679 con la consapevolezza di un miglioramento continuo.
Si consiglia:
Mantenere la calma e comprendere la tipologia di adeguamento che la mia azienda o attività deve avviare. Muoversi mossi dall’ansia o dalla paura porta a scelte sbagliate e interventi sbagliati o non necessari , sia per l’azienda che per il consulente sobillato da continue richieste in una situazione che è comunque mutevole
Iniziamo in ogni caso a muoverci scegliendo un consulente valido e affidabile per comprendere quali passi o azioni da compiere soprattutto per le micro aziende dove l’adeguamento risulta semplificato. Dimostriamo di esserci interessati e provveduto a coinvolgere il consulente sia esso tecnico, legale o informatico. Il consulente non deve essere una figura improvvisata ma quanto meno esperta e non limitiamoci ad acquistare un software che non riusciamo o non siamo in grado di utilizzare. Scegliamo quegli strumenti utili che ci permettono di fare nostra la gestione organica degli aspetti che ci coinvolgono in relazione alla ns dimensione aziendale