General Data Protection Regulation

Un approfondimento sul GDPR, la normativa europea entrata in vigore lo scorso maggio

  • Gennaio 15, 2019
  • 300 views
  • General Data Protection Regulation
    General Data Protection Regulation

Introduzione

Con il nuovo anno inauguriamo una rubrica, intitola­ta “L’avvocato risponde”. Grazie alla collaborazione con l’avvocato Stefania Perillo approfondiremo, da un punto di vista più strettamente giuridico, una serie di argomenti di interesse per chi opera in am­bito manutenzione, dai tecnici fino al management, e non solo.

I protagonisti sarete voi lettori: se avete infatti dei particolari dubbi sul tema trattato o voleste ap­profondire un particolare argomento (dal recupero credito alla contrattualistica, dai contratti di manu­tenzione al risk management, dallo Smart Working alle normative di sicurezza), non esitate a contattar­ci inviandoci una mail a: manutenzione@manutenzione-online.com. L’avvocato Perillo risponderà alle vostre domande sui prossimi numeri della rubrica. Buona lettura!

Alessandro Ariu

 

In questi ultimi tempi si sente parlare sempre più spesso di GDPR e della relativa entrata in vigore già dallo scorso mese di Maggio.

Nonostante si sia tanto parlato -  ed ancor oggi si parli  - del GDPR, ho potuto constatare come anco­ra molti Titolari di società, quali soggetti direttamen­te interessati dalla normativa, non abbiano recepito in modo compiuto la reale portata e le dirette con­seguenze in capo al Titolare, derivanti dal mancato adeguamento al GDPR.

Di seguito pertanto, proviamo a rispondere alle do­mande più frequenti che vengono poste allo Studio Legale.

Che cos’è il GDPR?

GDPR è acronimo di General Data Protection Re­gulation e indica il Regolamento (EU) 679/16, al quale tutti i Paesi Europei si sarebbero dovuti ade­guare entro il 25 maggio 2018.

Il regolamento è un atto legislativo dell’Unione Eu­ropea, che si caratterizza per la sua diretta appli­cabilità in tutti i paesi membri, senza la necessità dell’intervento di un atto legislativo interno di cia­scun Paese membro che lo recepisca.

Il regolamento diventa subito legge.

In Italia, se parliamo di GDPR non possiamo tra­lasciare l’esistenza del già noto Codice Privacy (D.Lgs. 196/2003) il quale è oggi ancora in vigore, seppur con qualche modifica apportata di recente dal Legislatore Italiano per renderlo ancora più in linea con le disposizioni del GDPR.

Il GDPR e il Codice Privacy hanno come obiettivo quello di: tutelare i dati personali e particolari delle persone fisiche, regolandone le modalità di trattamento e di circolazione.

Cosa comporta il GDPR?

Le maggiori novità introdotte dal regolamento sono le seguenti:

  • Il diritto dell’interessato alla «portabilità» dei dati: la persona fisica (c.d Interessato) ha diritto di poter scaricare e trasferire i propri dati, pre­cedentemente comunicati a terzi, ogni qualvolta lo ritenga opportuno e senza vincoli.

I dati devono essere forniti all’Interessato senza in­giustificato ritardo.

Art. 20 GDPR: «L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo ri­guardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti».

Questa norma sancisce il diritto delle persone fi­siche, di poter trasferire i dati da una piattaforma digitale all’altra e quindi cambiare fornitore più fa­cilmente e senza vincoli, con ciò permettendo la libera circolazione dei dati e stimolando l’economia digitale.

Viene pertanto promossa la concorrenza tra le aziende perché l’interessato può facilmente spo­stare un contratto di servizi ad altro gestore senza dover fornire nuovamente tutti i suoi dati, ma sem­plicemente chiedendo al vecchio gestore di traghet­tarli al nuovo fornitore.

  • Il diritto dell’interessato all’oblio: gli interessati possono chiedere in qualsiasi momento la ri­mozione dei dati che li riguardano e delle infor­mazioni prestate.
  • In materia di Consenso e Informativa: viene enfatizzato maggiormente il concetto e la ne­cessità di Formare chi gestisce i dati personali e informare l’interessato su quali siano i Suoi diritti.

In particolare il Titolare del Trattamento deve in­formare l’interessato su quali siano le modalità e tempistiche di gestione del dato personale comuni­cato. Il Titolare, laddove necessario, dovrà pertanto acquisire il consenso dall’interessato, esplicitando quali siano le finalità per le quali vengono raccolti i dati personali.

  • Vengono definiti i limiti e le cautele in caso di trattamento automatizzato dei dati personali e profilazione degli stessi.
  • Vengono fissate a carico del Titolare del Tratta­mento dei Dati Personali (spesso il Titolare o il Legale Rappresentante dell’azienda), specifiche procedure da rispettare in caso di violazio­ne dei dati personali (data breach).

In particolare il Titolare - qualora il dato perso­nale venisse distrutto, perso, o anche solo modi­ficato o divulgato senza il consenso dell’Interes­sato - dovrà darne comunicazione all’Autorità Garante della Privacy entro 72 ore dalla notizia del data breach.

Quali sono i vantaggi e gli obblighi della sua applicazione?

Ringrazio per la domanda così formulata, in quanto spesso il GDPR viene percepito come un ostacolo alla propria attività lavorativa, ma personalmente ri­tengo che si tratti di un vero e proprio vantaggio per le aziende, di un’opportunità.

Infatti, tutte le aziende inevitabilmente trattano dati personali, spesso mediante profilazione o comun­que modalità di controllo, a volte, sottovalutate.

La compliance al GDPR permette al Titolare di ri­percorrere l’intera organizzazione della propria azienda, sia dal lato della contrattualistica sia dal lato informatico, con ciò permettendo di rivedere e aggiornare come attualmente l’azienda regoli i rap­porti non solo con i Clienti, ma anche con i Fornitori e i Dipendenti.

I principali obblighi sono:

  • adeguare la parte documentale in termini di “consenso informato”, modificando o creando ex novo - dove necessario – le informative e i consensi da far leggere, comprendere e sot­toscrivere all’ interessato (cliente / fornitore / dipendente) sempre in relazione alla comuni­cazione delle modalità di trattamento del dato.

In base alla mia esperienza nel campo, sono fer­mamente convinta che si tratti di una buona op­portunità per rivedere e aggiornare tutta la parte contrattuale.

  • Nominare ove necessario i Responsabili del Trattamento dei dati personali o gli Incaricati, che sono coloro (persone giuridiche o fisiche) che trattano i dati personali per conto del Tito­lare del trattamento (che ricordo essere il Tito­lare o il Legale Rappresentante dell’azienda).
  • Istituire di un registro delle attività del Tratta­mento dei dati personali.
  • Avviare la formazione dei propri Dipendenti e Collaboratori in tema di GDPR e Privacy.

Quali sono le sanzioni per il Titolare in caso di mancato adeguamento dell’azienda?

Le sanzioni amministrative, a seconda della gravità dell’infrazione, variano con multe fino a 100 milio­ni di euro o fino al 4% del fatturato mondiale an­nuo del titolare del trattamento.

Quali sono le principali linee guida da seguire e mettere in pratica per adeguarsi?

Il GDPR insiste molto sul principio dell’Accounta­bility di ciascun Titolare del Trattamento. Ac­countability intesa come l’affidabilità e la compe­tenza aziendale nella gestione dei dati personali.

In virtù del detto principio il GDPR dispone che il ti­tolare del trattamento debba porre in atto tutte quel­le misure necessarie per garantire e poter dimo­strare di aver attivato tutte le misure necessarie a tutelare i diritti delle persone fisiche e il corretto trattamento dei dati conosciuti.

 

Avv. Stefania Perillo, Business Lawyer, Studio Legale Volpicelli-Perillo