3 minute read
ECONOMIA-DIRITTO
La nuova informativa sulla privacy
Le sanzioni previste dal nuovo regolamento sulla protezione dei dati nell’Unione Europea (GDPR) sono entrate in vigore ufficialmente il 25 maggio 2018. Qualcuno se ne è accorto perché conosce già da tempo la normativa, altri perché sono stati sommersi da e-mail con la comunicazione della nuova informativa sulla privacy, altri ancora continuano invece a ignorare l’argomento, volutamente. Secondo alcune fonti giornalistiche, quasi un’organizzazione su quattro nel mondo si dichiara impreparata al passaggio e non ha ancora completato la fase di adeguamento. In Italia la situazione sembrerebbe essere ancora più critica. Il mancato rispetto delle nuove regole sulla protezione dei dati dei cittadini e sul modo in cui verranno gestiti e archiviati nei data center può portare a una multa salata, fino a 20 milioni di euro (sino al 4% del fatturato annuo). Il problema, ad oggi, è che nonostante se ne parli da tempo c’è ancora un’elevata percentuale di imprese che non si è data da fare. Secondo una nuova indagine Efficienti P/Coleman Parkes, “The global Gdpr survey findings”, c’è un 28% di aziende assolutamente impreparato al cambiamento. Certamente, tra i fattori che più influiscono sull’adozione del GDPR nelle imprese c’è la questione finanziaria. In media, fino ad ora, la spesa per singola azienda è stata di 1,58 milioni di dollari.
In Europa, sono le aziende tedesche ad aver speso di più in media, con 1,96 milioni di dollari, seguite da quelle britanniche, con 1,8 milioni, e da quelle francesi, con 1,78 milioni. Guardando ancora più lontano, le aziende americane hanno speso in media 1,56 milioni di dollari, mentre a Singapore circa 1,5 milioni di euro. In linea di massima, le imprese di grandi dimensioni hanno speso fino a 5 milioni di dollari per conformarsi al nuovo regolamento, mentre le piccole e medie imprese sono arrivate a sborsare quasi 1,3 milioni di dollari.
Che impatto ha il GDPR sulle piccole e medie imprese? Ricordiamo che il regolamento coinvolge chiunque abbia a che fare con dati personali. Dove per “dato personale” si intende, secondo l’Art.4, “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”. Pertanto, se gestite anche solo una anagrafe clienti BTC oppure una newsletter, state trattando dati personali. Una delle tante novità introdotte è la figura del DPO (Data Protection Officer). Anche su questo tema c’è molta confusione su chi è obbligato a nominare un DPO e chi no; tale figura non è necessaria se l’impresa non monitora regolarmente i dati su larga scala e non tratta dati sensibili, ovvero dati come quelli sanitari, quelli relativi alle opinioni politiche, al credo religioso, all’orientamento sessuale.
L’adozione di un DPO è d’obbligo, secondo l’Art. 37: a) se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali; b) se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; c) se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati. Si tenga presente che la designazione obbligatoria di un DPO può essere prevista anche in casi ulteriori in base alla legge nazionale o al diritto comunitario. Inoltre, anche ove il regolamento non imponga in modo specifico la designazione di un DPO, può risultare utile procedere a tale designazione su base volontaria.
Pertanto, secondo le indicazioni del Garante, non si deve nominare un DPO nei casi di “trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti”. Buon “nuovo regolamento sulla protezione dei dati” a tutti!
