Regolamento 2016/679 UE: dal 25 maggio 2018 incombenti privacy da attuare

I NUOVI DIRITTI IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI DELLE PERSONE FISICHE: alcune indicazioni e considerazioni di taglio pratico per evitare responsabilità

Sebbene per lo più noto ai soli addetti ai lavori il Regolamento UE 2016/679 è destinato a "creare non pochi problemi" e conseguenti "corse all'adeguamento dell'ultimo minuto" per la maggior parte degli operatori economici (società; associazioni; enti di vario tipo) che, probabilmente, non si sono ancora resi conto dell'impatto che questa regolamentazione avrà sugli stessi (anche perché portante con sé il concetto ed il principio di base dell'autoresponsabilità e dell'autovalutazione) . 

Ebbene, se i "colossi" industriali e tecnologici hanno, invero, da tempo, pensato a come adeguarsi, la piccola e media impresa (verrebbe da dire "come sempre, o come al solito"?) nemmeno conosce dell'esistenza del Regolamento e, laddove creda di conoscerlo, supporrà che anche l'entrata in vigore di questa normativa potrà essere e/o sarà spostata nel tempo grazie al solito intervento del Governo Nazionale.     

Trascurare il tema o, peggio, supporre e/o sperare possa sopraggiungere una (valida/tutelante) proroga è sbagliato e pericoloso

In base al punto n. 2 dell'art. 99 di tale Regolamento <<esso si applica a decorrere dal 25 maggio 2018>> (il periodo c.d. transitorio è, difatti, già spirato) e si tratta di una applicazione diretta improrogabile che, naturalmente, oltre a portare con sé il consolidamento dei diritti dei cittadini europei in materia di trattamento dei dati personali introduce, pure, il severo apparato sanzionatorio che non ha eguali a livello europeo: l'art. 83 della norma prevede, ad esempio ed infatti, in non pochi potenziali casi, sanzioni che possono arrivare a 10.000.000,00 ed anche a 20.000.000,00 di euro, nonché, per le imprese, sino al 2% ovvero al 4% del fatturato totale annuo dell'esercizio precedente. 

Insomma "non si scherza più"! 

Ma non è tutto perché a pagare il "prezzo" del mancato adeguamento e, quindi, del possibile risarcimento dei danni che una persona interessata potrà reclamare a causa del fio subito, non sarà (o non sarà solo) la società, ovvero l'associazione o ente da intendersi quali persone giuridiche a cui imputare la relativa responsabilità, bensì in primis/pure (direttamente ed in proprio) il titolare del trattamento, ovvero il responsabile del medesimo trattamento che, poi, casomai, una volta risarcito di "tasca propria" il danneggiato, potrà agire in via di regresso nei confronti degli altri responsabili e/o titolari. 

Il punto 4 dell'art. 82 del Regolamento, significativamente rubricato <<Diritto al risarcimento e responsabilità>>, prevede infatti che siano proprio le figure del Titolare del Trattamento (che poi nelle piccole imprese coincide quasi sempre con il titolare dell'azienda/ente) e del Responsabile del Trattamento dei dati (nella pressoché totalità dei casi il legale rappresentante della società, associazione o ente) ad essere considerati <<responsabili in solido per l'intero ammontare del danno, al fine di garantire il risarcimento effettivo dell'interessato>>. 

Quanto ad adempimenti il Regolamento ne pone di molti e di nuovi rispetto alla precedente normativa comunemente nota come "privacy" (TU n. 196/2003) che, contrariamente a ciò che alcuni sostengono, non verrà (men che meno in toto) abrogata, ma sopravviverà laddove da non considerarsi (con una valutazione che dovrà essere effettuata in proprio dall'operatore economico) incompatibile con i più specifici e spesso stringenti principi e norme introdotti/e dal Regolamento in parola. 

Ma, dunque, cosa fare in concreto

In primo luogo porsi una domanda fondamentale circa la propria capacità di gestire ed attuare il proprio adeguamento in modo corretto e tempestivo.

Se la risposta a tale domanda è no (e, sulla base dell'esperienza di chi scrive, questa risposta negativa è quasi sempre l'unica seriamente riscontrabile) si tratta di rivolgersi a consulenti specializzati che abbiamo una adeguata conoscenza giuridica, nonché siano in grado di analizzare la situazione aziendale in concreto e, quindi, predisporre un adeguato piano di azione per raggiungere un buon livello di adeguamento su base dinamica. 

E i passi da compiere? 

In estrema sintesi possono essere (almeno) i seguenti: 

1) mai affidarsi a società e/o consulenti che promuovano prezzi risicati e/o irrisori (le valutazioni da compiere, le responsabilità professionali da assumersi, gli adeguamenti da studiare ed attuare sono molti e complessi: i preventivi troppo bassi sono pressoché sempre "troppo belli per essere veri"). Riteniamo che una buona potenziale valutazione preliminare per una azienda piccola e/o media piccola non possa prevedere un compenso inferiore ai tremila euro (almeno) oltre accessori e spese; 

2) mai credere che (ad oggi, 05/01/2018) esistano società certificanti: al momento non risultano essere presenti sul mercato enti e/o società certificanti (nel senso che possano attribuire sistemi e/o attestati di certificazione di cui alla procedure previste dal Regolamento); 

3) far compiere un monitoraggio specifico dei dati trattati e/o potenzialmente trattabili; 

4) individuare e classificare le varie banche dati, sia cartacee che informatiche; 

5) mappare i vari trattamenti e le possibili interconnessioni di trattamenti con altri soggetti (pubblici e/o privati); 

6) valutare le metodologie applicate (se applicate) ai vari trattamenti unitamente alla modulistica utilizzata; 

7) individuare le varie figure responsabili e, quindi, predeterminare, in modo certo ed adeguato, i compiti di quelle nuove; 

8) mappare le situazioni di rischio (pregresso e attuale) individuando le misure da adottare al fine di arginare le responsabilità; 

9) compiere una valutazione di impatto per il caso di sinistri e/o, comunque, potenziali trattamenti irregolari; 

10) valutare la presenza in azienda di figure che abbiano le caratteristiche per rivestire adeguatamente il ruolo di responsabile del trattamento, ovvero, nei casi necessari, di c.d. manager della protezione dei dati; 

11) fornire i supporti per ottenere un sistema dinamico di controllo atto a fornire le informazioni ed istruzioni necessarie al personale, sia direttivo che esecutivo; 

12) valutare la presenza di personale dotato di conoscenze informatiche adeguate ed in grado di proteggere il sistema computerizzato aziendale, ovvero dare indicazioni circa la necessità di appoggiarsi a tecnici esterni; 

13) fornire la "modulistica" cartacea ed informatica nel caso necessaria a mantenere un livello dinamico di adeguamento alla normativa in questione; 

14) e molto altro ancora ...  

o0o

A cura dello Studio Legale Tamos & Partners

Tel. 02- 70006392 

This email address is being protected from spambots. You need JavaScript enabled to view it.  

Milano, Viale Piceno 14/a

(Gennaio 2018).