A partire dal 25 maggio 2018, il Regolamento (UE) 2016/679 relativo al trattamento ed alla libera circolazione dei dati personali sarà applicabile in tutti i Paesi dell’Unione Europea e dunque anche in Italia.

Il Regolamento riforma in maniera organica la normativa vigente in materia di privacy, ora disciplinata dal “Codice della Privacy”, prevedendo un rafforzamento delle tutele previste a favore dei soggetti interessati e introducendo severe sanzioni amministrative in caso di mancato rispetto delle sue disposizioni, che possono arrivare fino ad un massimo di € 20.000.000,00 o, per le imprese, fino al 4% del fatturato globale totale annuo, se superiore.

Il Regolamento non rappresenta un mero “aggiornamento” delle prescrizioni già previste dal Codice della Privacy (D.Lgs 196/2003), ma introduce obblighi di compliance nuovi e particolarmente stringenti nei confronti degli operatori che trattano dati personali; quali, ad esempio:

– l’obbligo di effettuare valutazioni sull’impatto delle attività di trattamento dei dati, ove dette attività possano rappresentare rischi elevati per i diritti e le libertà delle persone fisiche cui i dati si riferiscono (cosiddetta “data protection impact assessment”);

– l’obbligo di rispettare i principi di “privacy by design” e “privacy by default”, ossia la necessità di creare un sistema di trattamento del dato idoneo ad assicurare la migliore tutela sin dal momento della progettazione, e di impostazioni predefinite che determinino un trattamento nei limiti strettamente necessari alle finalità;

– l’obbligo di comunicare all’Autorità competente violazioni aventi ad oggetto i dati personali trattati (cosiddetto “data breach”);

– l’obbligo, in presenza di determinati requisiti, di tenuta di apposito registro di tutte le attività di trattamento effettuate e di nomina di un Responsabile della protezione dei dati, soggetto dotato di specifiche competenze in materia di protezione dei dati personali con compiti di assistenza e vigilanza in materia di tutela dei dati personali (cosiddetto “Data Protection Officer”).

L’ambito di applicazione della nuova disciplina è estremamente ampio: sono infatti tenuti al rispetto del Regolamento anche i titolari o responsabili stabiliti in territori extra-UE, se i dati trattati si riferiscono a persone interessate nell’Unione.

Inoltre, alcuni adempimenti previsti dal Regolamento fanno riferimento o, meglio, rinviano a principi di protezione che sono comuni ai Modelli di organizzazione e gestione ex DLgs 231/01, con particolare riferimento ai reati informatici e alle misure in tema di antiriciclaggio.

E’ dunque fondamentale, per non arrivare impreparati alla data del 25 maggio, che le aziende identifichino fin da subito le modalità con cui adeguarsi al nuovo Regolamento, a cominciare da un’esatta mappatura della tipologia dei dati in loro possesso, e dalla classificazione di tutte le operazioni di trattamento.

CREA, grazie ai suoi professionisti da tempo impegnati nel settore della privacy e della sicurezza, è in grado di assistere i propri clienti che necessitano approfondire il contenuto del Regolamento, e di istituire un sistema di compliance adatto a far fronte alle complesse prescrizioni della nuova normativa.

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn