Nuova Privacy Europea

GDPR - La nuova privacy europea

Ancora pochi mesi per essere compliant

15/09/2017
Nuova Privacy Europea
Il quadro normativo

Il nuovo regolamento europeo sulla privacy, entrato in vigore il 4 maggio 2016, definisce un quadro comune in materia di protezione dei dati personali per tutti gli Stati membri dell’UE. Esso si presenta come un insieme di regole assai complesso ma, al contempo, in grado di disciplinare gran parte degli aspetti di una privacy moderna, attenta al nuovo mondo digitale e alla grande mole di dati utilizzati dai privati e dalle aziende
Lo scopo del regolamento, cui le imprese dovranno adeguarsi entro il
25 maggio 2018, è quello di uniformare ed armonizzare la legislazione a livello europeo sostituendo la direttiva 95/46/CE e le singole discipline nazionali sul tema.
Il Regolamento è direttamente applicabile e vincolante in tutti gli Stati membri dell’Unione europea e non richiede dunque una legge di recepimento nazionale. Inoltre, si applicherà integralmente anche alle imprese non comunitarie che offrono servizi o prodotti a persone che si trovano nel territorio dell’Unione europea.

Le principali novità introdotte

Maggior rigore, adempimenti più articolati, pesanti sanzioni in caso di inadempimento, ma anche l’istituzione di nuovi soggetti garanti della corretta applicazione della norma sono solo alcune delle novità prescritte dalla nuova disciplina.
Il GDPR prevede una maggiore responsabilizzazione (accountability) dei titolari del trattamento, ai quali sarà richiesto di attuare la protezione dei dati fin dalla progettazione dei processi aziendali e degli applicativi informatici a supporto (
privacy by design) e per l’intera gestione del ciclo di vita del dato, rendendo obbligatoria la valutazione degli impatti privacy.

Gli impatti sulla governance aziendale

Le aziende e le istituzioni pubbliche dovranno adottare politiche ed attuare misure tali da garantire che il trattamento dei dati personali sia conforme a tutte le disposizioni del Regolamento. A tal fine sarà necessario elaborare un sistema documentale di gestione della privacy, nonché conservare la documentazione di tutti i trattamenti effettuati sotto la responsabilità del titolare del trattamento.

Consenso al trattamento dei dati

Ancora più rilevante diverrà l’obbligo di resa dell’informativa privacy e dell’acquisizione “granulare” dei consensi (specifici per ogni tipologia di trattamento). Il consenso dell’interessato al trattamento dei propri dati personali dovrà essere preventivo, inequivocabile ed esplicito – anche quando espresso attraverso mezzi elettronici – e potrà essere revocato in ogni momento.

Il Data Protection Officer (DPO)

Il nuovo regolamento impone l’obbligo di nominare all’interno dell’azienda la figura del DPO, ossia un responsabile della protezione dei dati, che sarà l’unico referente ad interfacciarsi con eventuali organismi esterni in ambito privacy. Il DPO dovrà essere una risorsa - interna o esterna - di comprovata competenza ed esperienza in materia privacy.

Nuovi obblighi e diritti

Grazie al diritto all’oblio gli interessati potranno ottenere la cancellazione dei propri dati personali anche online da parte del titolare del trattamento. A questo diritto si accompagna l’obbligo per il titolare del trattamento che ha pubblicato i dati di comunicare la richiesta di cancellazione a chiunque li stia trattando. Il titolare del trattamento dovrà inoltre notificare le eventuali violazioni (data «breach») all’Autorità Nazionale di protezione dei dati, nonché ai diretti interessati qualora la violazione rappresenti una minaccia per i diritti e le libertà delle persone. Al diritto all’oblio si affianca il diritto alla portabilità dei propri dati personali per trasferirli da un titolare del trattamento ad un altro.

Cosa dovranno fare le aziende?

In sintesi, entro il 25 maggio 2018 le aziende dovranno risultare compliant al nuovo regolamento, provvedendo a svolgere le attività di analisi dei rischi, introdurre il registro degli archivi informatici (per riportare le modalità di tracciatura dei dati ed i sistemi di conservazione e cancellazione), nominare il DPO e formare adeguatamente i propri dipendenti.

Cosa può fare Crowe Horwath in tema GDPR

Crowe Horwath AS è tra le prime società in Italia con un’esperienza concreta di supporto all’applicazione della nuova normativa europea sulla privacy per diverse tipologie di aziende, enti ed associazioni. Grazie anche alle partnership con Certiquality, azienda leader nelle certificazioni di qualità, e con Fieldfisher, network internazionale di consulenza legale, siamo in grado di guidare le aziende con un approccio multidisciplinare ad ampio raggio nella creazione di un sistema di Gestione della privacy perfettamente in linea con i dettami del GDPR.
Stiamo già assistendo primarie società italiane e multinazionali del settore bancario, automotive, food&beverage, elettronica.

Maggio 2018 è alle porte!
Sandro Iannucci
Sandro Iannucci
Partner
Crowe Bompani Advisory