Privacy: cosa cambia per imprese e professionisti dal 25 maggio 2018
Fonte: Anna Maria D´Andrea - Money.it
GDPR, privacy 2018: è ormai pienamente in vigore il nuovo regolamento UE che, a partire dal 25 maggio, ha introdotto nuove regole, adempimenti e sanzioni.
Professionisti e imprese devono adeguarsi alle nuove regole privacy introdotte, tenuto conto del fatto che in caso di violazione delle norme contenute nel GDPR l’Autorità Garante potrà applicazione sanzioni fino a 20 milioni di euro o pari al 4% del fatturato dell’impresa.
Cosa cambia e quali sono le novità della riforma della privacy?
Una domanda alla quale anche gli esperti del settore fanno fatica a rispondere: per il GDPR il 25 maggio è da considerarsi come una data di partenza ed ancora oggi sono molti i dubbi soprattutto sulle sanzioni. Questo è uno dei punti di maggior rilievo sottolineato dagli “addetti ai lavori” durante il Privacy Day Forum 2018.
Negli ultimi tempi avvocati, commercialisti, consulenti del lavoro, altri professionisti e imprese hanno dovuto eseguire una serie di adempimenti per adeguarsi alla nuova privacy: ma cosa cambia nel concreto con il GDPR?
A partire dal 25 maggio 2018 imprese e professionisti dovranno adottare tutte le misure idonee per il corretto trattamento dei dati dei propri clienti, con il conseguente aggravio non soltanto di adempimenti ma soprattutto di costi.
L’impatto del nuovo regolamento sulla privacy sia negli studi professionali che per le aziende sarà rilevante, perché comporterà l’onere non soltanto del rispetto delle regole in materia di correttezza, liceità e trasparenza ma anche di prevenzione e responsabilizzazione.
Adeguarsi alle nuove regole sulla privacy sarà, soprattutto per i professionisti e soprattutto per gli studi di medie dimensioni, un onere economico rilevante che, secondo quanto stimato dagli esperti, potrà arrivare fino a 1.500 euro.
Inoltre sarà necessario valutare caso per caso quando sarà obbligatorio nominare un DPO e, soprattutto, bisognerà familiarizzare con le nuove sanzioni privacy 2018, un vero e proprio salasso nel caso di violazioni della normativa.
Tuttavia, nonostante le novità e le difficoltà di applicazione del GDPR, non bisogna negare come il tema del corretto trattamento dei dati sia, ad oggi, quantomai importante, in un sistema sempre più digitalizzato dove informazioni sensibili meritano di essere trattate con le dovute attenzioni e cautele.
Cosa cambia nel concreto per le imprese e soprattutto per quei professionistiche, ogni giorni, lavorano nella veste di intermediari dei propri clienti? Ecco l’impatto delle nuove regole sulla privacy in vigore dal 25 maggio 2018.
Privacy: cosa cambia per imprese e professionisti dal 25 maggio 2018
Per le imprese e per i professionisti l’impatto del GDPR, il Regolamento UE sulla protezione dei dati n. 2016/679, andrà ad interessare soprattutto le modalità di raccolta e trattamento dei dati personali.
Il regolamento prevede che ogni trattamento dei dati sia basato sul principio di liceità del trattamento, così come previsto già attualmente dal Codice privacy, sulla correttezza e sulla trasparenza.
Per il trattamento di dati sensibili viene stabilito che il consenso debba essere esplicito, così come per il consenso a decisioni basate su trattamenti automatizzati come la profilazione.
Il consenso non dovrà obbligatoriamente esser documentato in forma scritta ma bisognerà adottare mezzi idonei a configurare l’inequivocabilità del consenso. Così, ad esempio, non sarà ammessa la forma tacita o presunta, così come le caselle pre-spuntate su un modulo.
Viene previsto il diritto all’opposizione al trattamento dei dati personali, così come dovrà esser fornita un’informativa necessaria a garantire il corretto e trasparente uso dei dati. L’informativa dovrà esser scritta in maniera concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice.
Accanto ai principi base che regoleranno il rapporto tra titolare dei dati e titolare del trattamento degli stessi, ad imprese e professionisti viene richiesto un continuo monitoraggio delle attività di trattamento e del rispetto della privacy.
Secondo gli esperti si tratta della portata più innovativa del nuovo regolamento sulla privacy che comporterà la necessità di gestione del rischio e di responsabilizzazione, mettendo in atto i principi di privacy by design e by default.
Privacy: chi è e quando è obbligatorio il DPO
Tra i dubbi relativi all’applicazione del GDPR vi sono i casi in cui sarà obbligatoria la nomina del DPO, il soggetto designato dal professionista e dall’impresa come responsabile della protezione dei dati.
Chi è il Data Protection Officer? In molti lo definiscono come l’alleato dei cittadini nella tutela dei propri dati e diritti e l’obbligo di nomina entro il 25 maggio 2018 (e di comunicazione del suo nominativo all’Autorità Garante) sarà obbligatoria:
- quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
- quando le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- quando le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati particolari | sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Sanzioni graduali con il GDPR, fino a 20 milioni di euro e 4% del fatturato
Nuove sanzioni in caso di violazione delle regole in materia di privacy: dal 25 maggio 2018 le multe potranno arrivare fino a 20 milioni di euro o al 4% del fatturato per le imprese.
Nello specifico, il GDPR prevede che le sanzioni siano calcolate e comminate dall’Autorità Garante in base ad un principio di proporzionalità: più grave è la violazione e maggiore sarà l’importo da pagare.
Tuttavia, in considerazione del ritardo nell’emanazione del decreto legislativo di adeguamento al nuovo regolamento sulla privacy, non sono ancora chiare quali multe saranno applicate. Il GDPR stabilisce soltanto gli importi massimi e non chiarisce i parametri per la loro applicazione.
In particolare, sono previste le seguenti regole in merito alle sanzioni amministrative del GDPR:
- 10 milioni di euro o 2% del fatturato mondiale annuo dell’anno precedente per le imprese che, ad esempio, non avranno nominato il DPO, non comunichino data breach all’Autorità garante, violino le condizioni sul consenso dei minori oppure che trattino in maniera illecita i dati personali degli utenti;
- 20 milioni di euro o 4% del fatturato per le imprese nei casi, ad esempio, di trasferimento illecito di dati personali ad altri Paesi o di inosservanza di un ordine imposto dal Garante.
Accanto alle sanzioni monetarie si inseriscono le sanzioni penali che, per esplicita previsione del nuovo regolamento sulla privacy, dovranno essere determinate sulla base delle regole previste in ciascuno degli Stati membri.
Privacy: i controlli della Guardia di Finanza
Nel corso del Privacy Day Forum 2018 è intervenuto anche il Comandante del Nucleo Speciale Privacy della Guardia di Finanza, Marco Menegazzo, che ha spiegato come verranno svolti controlli e ispezioni.
Innanzitutto viene ribadito che nonostante le difficoltà circa la mancata approvazione della decreto di adeguamento, il quale dovrà stabilire tra le altre cose anche le sanzioni previste, i controlli partiranno da subito.
Vi sono alcuni adempimenti obbligatori che il GDPR prevede che ciascuna impresa o professionista effettui entro il 25 maggio 2018 e sono proprio questi i punti sui quali si soffermerà la Guardia di Finanza.
Si tratta dell’obbliga di nomina del DPO, così come i controlli sulle misure previste dall’azienda nel caso di data breach ovvero sulla tenuta del registro dei trattamenti, che per le Fiamme Gialle sarà la base per l’avvio di qualsiasi attività ispettiva.
L’attività ispettiva della Guardia di Finanza sul rispetto delle novità privacy 2018 avrà importanza fondamentale nel consentire al Garante di stabilire la misura delle sanzioni, ove previste.
L’importo della multa sarà determinato in base agli elementi raccolti durante le ispezioni, sulla base dei principi di effettività, proporzionalità e dissuasività.
L’impatto sull’attività dei professionisti
Saranno soprattutto i professionisti, come avvocati, commercialisti o consulenti del lavoro che quotidianamente lavorano con dati sensibili di terzi, ad esser interessati dalle novità del nuovo regolamento sulla privacy.
Con l’entrata in vigore del regolamento UE sulla privacy, negli studi professionali sarà necessario verificare che i dati raccolti rispettino i principi stabiliti dal GDPR: trasparenza e pertinenza in primis, nonché utilizzo soltanto per il tempo strettamente necessario.
Nonostante l’appuntamento ormai alle porte, l’85% delle aziende in Europa e negli Stati Uniti non è pronto per l’entrata in vigore né ha preso in considerazione i vantaggi in arrivo dalla nuova normativa.
È quanto evidenziato dallo studio del Digital Transformation Institute rilasciato da Capgemini, dal titolo “Seizing the GDPR Advantage: From mandate to high-value opportunity”
In Italia solo il 48% delle imprese ha dichiarato di essere conforme, anche se il Paese più indietro è rappresentato al momento dalla Svezia, dove appena il 33% delle compagnie ha dichiarato un’ampia o completa conformità al regolamento.
A partire dal 25 maggio 2018 bisognerà metter in preventivo un costo di 1.500 euro all’anno, da utilizzare sia nel caso in cui si decida di affidarsi a consulenti esterni che qualora si scelga di gestire i dati dei clienti internamente.
Una sfida che non sarà possibile rimandare e che mira a tutelare i consumatori in un mondo in cui i dati personali sono sempre più a rischio.