Il 25 maggio 2018 (data di piena applicabilità del GDPR) èormai passato e moltissime società sono state coinvolte in una frenetica“corsa alla compliance”, mettendo insieme in modo più o meno razionale earmonico processi, procedure, nomine, informative e chi più ne ha ne metta, perla gioia di “consulenti privacy”, spesso improvvisati e non formati in maniera sufficiente e che hanno spesso confezionato fiumi diindicazioni generiche e proposto "tool panacea", come se la conformità a unRegolamento così complesso e pieno di sfaccettature fosse raggiungibileattraverso una pillola miracolosa.

Il Regolamento UE 2016/679 del 24 Maggio 2016, applicato in tutti i Paesi dell’Unione Europea, abrogando la precedente direttiva 95/46/CE ed integrando e sostituendo parte dell’attuale Codice della Privacy Dlgs 196/2003 vigente in Italia, introducendo regole più chiare e semplici in materia di informativa e consenso, al fine di garantire maggiori tutele per i cittadini in maniera omogenea in tutta l’Unione, sebbene ogni Stato possa integrarne i contenuti. 
La protezione offerta dal GDPR è diretta esclusivamente alle persone fisiche, indipendentemente dalla nazionalità o dal luogo di residenza, e non alle persone giuridiche per le quali, in linea di continuità, resta quanto già previsto dal Codice della Privacy 196/2003.

La spinta è arrivata dalla necessità di procedere ad un aggiornamento della disciplina, in primis alla luce delle profonde modifiche tecnologiche ed informatiche degli ultimi anni e dalla volontà di creare un contesto omogeneo all'interno del quale i dati personali possano circolare liberamente, ma con elevate garanzie di tutela dei diritti dei cittadini.
La direttiva ha introdotto per la prima volta in ambito europeo una regolamentazione organica, ponendo una serie di principi e di regole da rispettare per procedere ai trattamenti, alla raccolta e alluso di dati personali e richiedendo, tra l’altro, l’istituzione di organismi nazionali indipendenti per la tutela di tali diritti, ruolo che In Italia sarà ancora gestito dal Garante della Privacy. 

In base al Regolamento avremmo quindi un testo unico valido in tutti i paesi UE, che mirerà a rendere omogeneo ed elevato il livello di protezione dei dati personali e a favorire la circolazione degli stessi intervallano dell’UE.
Resteranno in vigore i provvedimenti del nostro Garante su Videosorveglianza, Amministratori di Sistema, fidelity card, biometria e tracciamento flussi bancari. 
È quindi probabile che il Garante Privacy modifichi o integri alcuni provvedimenti per adeguarli alle prescrizioni del Regolamento Europeo n. 679 e per disciplinare il trattamento di dati personali effettuato per adempiere obblighi di legge italiana ed in particolari ambiti, ad esempio quello dei dati sanitari, oppure per definire in modo più dettagliato gli obblighi per le P.M.I. (ovvero per le imprese con meno di 250 dipendenti).

Il Regolamento 679 disciplina esclusivamente il trattamento di dati personali relativi a persone fisiche non decedute, quindi tutti i trattamenti relativi a persone giuridiche, compresi il nome, la forma della persona giuridica ed i suoi dati di contatto.
Vengono stabiliti nuovi limiti al trattamento automatizzato dei dati personali e criteri rigorosi per il trasferimento dei dati al di fuori dell’ Ue. 
Entra in vigore l’obbligo di segnalazione per i casi di violazione dei dati personali (data breach).
Significativi cambiamenti riguardano l’informativa ed il consenso, che andrà resa in forma concisa, chiara e trasparente; le informazioni saranno fornite per iscritto o con altri mezzi (anche in formato elettronico) e, se richiesto dall'interessato, potrà essere fornita anche oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato: sarà valida qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile con la quale l’interessato accetta, con dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento. 
Viene esclusa ogni forma di consenso tacito oppure raccolto attraverso la presentazione di opzioni già selezionate. Il consenso potrà essere revocato in ogni momento. Il trattamento effettuato fino a quel momento dal titolare sulla base del consenso rimarrà comunque legittimo.

Il nuovo regolamento introduce la portabilità dei dati per favorire una maggiore fluidità del mercato digitale. Tra le possibilità che il regolamento permette c’è il trasferimento dei dati da un titolare del trattamento ad un altro, si potrà cambiare il provider di posta elettronica senza perdere i contatti ed i messaggi salvati, salvaguardando il diritto di essere totalmente dimenticato da chi ha raccolto i dati inizialmente.

In caso di trasgressione accertata, le sanzioni saranno inasprite notevolmente, pertanto è opportuno appoggiarsi ad un Partner qualificato che possa assistere la P.M.I. o il Professionista in questo percorso, alla luce dello stato dell'arte della normativa e delle future modifiche e implementazioni: Il GDPR pretende debbano essere sempre effettive, proporzionate e dissuasive, richiedendo pertanto a ciascuno Stato membro di valutare le soluzioni più efficaci per assicurare e garantire concretamente tale risultato.
Vero è che le sanzioni applicabili dai Garanti possono variare enormemente, passando da semplici ammonimenti, a ordini di sospensione di flussi di dati o di attività di trattamento, fino all’inflizione di sanzioni pecuniarie del valore anche di 20.000.000 di euro e pari al 4% del fatturato mondiale totale annuo dell’esercizio precedente.
I rischi in caso di violazione del Regolamento sono molto elevati e sottovalutare gli obblighi previsti dal GDPR potrebbe costare ben caro alle imprese inadempienti, sia sul piano economico sia su quello delle attività effettuate. 
A questo va ad aggiungersi la possibilità di ciascuno dei soggetti, i cui dati rientrano nell'ambito di un trattamento non ottemperante, di rlvalersi, legalmente ed economicamente, sul titolare del trattamento giudicato inadempiente in sede di controllo, i cui risultati saranno periodicamente pubblicati negli organi informativi istituzionali (G.U. e sito del Garante).

L'aspetto fondamentale riguarda anche le sanzioni, che sono molto pesanti e non prevedono scappatoie per chi viene trovato inadempiente: sia dagli organi di controllo che dati terzi.
Permangono anche i seguiti penaliintrodotti dalla vecchia 196/2003 Dc “Legge sulla privacy” che prevedono, incapo al Titolare: 
- la reclusione da 1 a 3 anni ed una multa personale fino a €120.000,00 e pubblicazione dei nominativi sul sito del Garante.

Per la Azienda invece, il destino è altrettanto gravoso:

- omessa o incompleta o semplicemente non adeguatadichiarazione: da 6.000,00 a 36.000,00 €;
- omessa o incompleta o errata notificazione al Garante: da 20,00 a 120.000,00€;
- Installazione cookies senza esplicito consenso utente: da10.000,00 a 120.000,00 €;
- Mancata o incompleta o errata comunicazione della privacysul sito: da 10,00 a 50.000,00 €;

A seconda delle violazioni riscontrate in merito altrattamento dei dati, a queste sopra descritte andranno ad aggiungersi  fino a 20 mil. € o il 4% del fatturatomondiale del gruppo dell’anno precedente, se superiore.

Una volta rilevata e confermata la inadempienza,  bisogna considerare anche che ogni soggetto,sia persona fisica che giuridica che ente, interno e/o esterno alla nostrastruttura, con il quale è avvenuto un interscambio di dati e/o informazioni, potràintentare causa e richiedere un risarcimento del danno da un minimo di 5.000,00ad un massimo di 25.000,00 €, laddove si ricorra e si ottenga un patteggiamentostragiudiziale.

Potete trovare il testo completo cliccando qui.

Diffidate da consulenti improvvisati che con "duecento Euro sistemano tutto" perchè ai fini pratici è il Titolare il responsabile in sede civile e penale di ogni difetto alla normativa.

Contattateci per informazioni o quotazioni personalizzate scrivendo a privacy@ctink.it

Saremo lieti di rispondere a tutte le Vostre richieste.

• Valutazione Impatto (DPIA)