Dal 25 maggio 2018 è entrato in vigore il nuovo regolamento GDPR – General Data Protection Regulation.

Il nuovo regolamento GDPR ha avuto una portata epica: ha infatti coinvolto tutte le aziende operanti nel mercato europeo. Questo vuol dire che anche grandi player internazionali (Microsoft, Amazon, Facebook) si sono dovuti adeguare a questa nuova norma.

Il fatto di andare ad investire la vita di molte persone ma soprattutto di molte aziende, ha fatto sì che l’impatto mediatico di questa nuova norma sia stato globale e, per alcuni versi, martellante.

A poco più di un mese dalla data fatidica, passata la “sbornia” di articoli, commenti, riflessioni che si sono susseguiti online, è il momento di riflette. Riflettere e capire: A CHE PUNTO SIAMO?

Facciamo il punto della situazione

Iniziamo ricordando che il GDPR riguarda la protezione delle persone fisiche, con specifico riguardo al trattamento dei dati personali. Le aziende sono state investite in quanto “trattano” i dati personali di persone fisiche (a titolo di esempio l’orientamento sessuale, religioso politico, ma anche dati relativi a salute e dati giudiziari). Le aziende si sono dovute dotare di figure (RPD, ovvero Responsabile della protezione dei Dati Personali), hanno dovuto redigere i REGISTRI DEI TRATTAMENTI, dotarsi di sistemi di valutazione (DPIA – Data Protection Impact Assessment o, in italiano, Valutazione d’Impatto sulla Protezione dei Dati) e di INFORMATIVE relative all’USO DEI DATI.

Quello su cui ci vogliamo soffermare è: COSA SUCCEDE ORA?

A seguito dell’entrata in vigore del GDPR, era prevista per il 21 maggio l’uscita del decreto attuativo italiano. Per varie motivazioni (che non tratteremo in questa sede) l’emanazione del decreto attuativo è slittato di tre mesi, al 21 agosto 2018. La prima bozza è già stata emessa e da quello che si legge sembra che la vecchia 196/2003 non sarà abrogata, ma solo integrata con le disposizioni inserite nel Regolamento Europeo.

Photo credit: thedescrier on Visual hunt / CC BY

QUINDI POSSIAMO ASPETTARE ad applicare il GDPR? La risposta è semplice: NO!

Molto spesso abbiamo sentito l’uomo della strada esclamare: “non c’è ancora il decreto attuativo italiano, quindi non importa che mi scomodi a trovare un RPD o a redigere Registro dei Trattamenti e la DPIA: niente di più sbagliato!

Qui urge un piccolo ripasso di diritto europeo: l’Unione Europea emette Regolamenti che entrano nel diritto nazionale dei paesi membri. Si legga infatti il Trattato sul funzionamento dell’Unione Europea: “Il regolamento ha portata generale. Esso è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri” (art. 288 par. 2). Questo significa che le norme contenute in un regolamento entrano in vigore e cominciano a produrre direttamente i loro effetti giuridici senza bisogno di misure di recepimento da parte degli Stati membri nel loro ordinamento giuridico interno (cosiddette norme self-executing). QUINDI, nonostante l’attesa dell’entrata in vigore del decreto attuativo, è necessario comunicare al Garante della Privacy il nome del RPD, realizzare il Registro dei Trattamenti, predisporre le informative e, ove necessario, la DPIA.

Ma il GDPR riguarda solo i miei clienti/utenti, vero? Ebbene… NO!

Il GDPR si sviluppa su tre livelli diversi:

  1. Rapporto con il dipendente. Il dipendente ha un doppio ruolo.

Da una parte è sicuramente destinatario della normativa Privacy e del regolamento GDPR. I Titolari del trattamento (i datori di lavoro) devono garantire il corretto trattamento dei dati dei dipendenti. Riflettiamo un attimo insieme: quanti dati sensibili conoscete dei vostri dipendenti? Proviamo un attimo ad elencarli insieme:

  • Malattie,
  • Infortuni,
  • Malattie professionali,
  • Risultati della sorveglianza sanitaria,
  • Lavoratori che usufruiscono della legge 104,
  • Dati giudiziari (es. casellario giudiziale).

Ogni titolare dovrà quindi dare ai propri dipendenti un’informativa.

Dall’altra parte i dipendenti avranno anche il compito di raccogliere i dati dei clienti. Facendo questo, i dipendenti svolgeranno il ruolo di incaricati del trattamento. In sostanza sarà necessario predisporre per essi una nomina specifica e un percorso formativo/informativo per trattare i dati ai sensi del regolamento.

  1. Rapporto con il cliente/utente:

Ogni azienda/Ente gestisce, tratta e conserva dati di clienti/utenti. Nella scuola, ad esempio, sono conservati dati relativi agli alunni e ai loro familiari. Agli utenti è necessario fornire un’informativa per specificare come sono trattati i dati e per quali finalità. L’informativa è la prima interfaccia fra l’azienda e l’utente, e dimostra anche che l’azienda si sta muovendo verso l’adeguamento alla nuova normativa.

  1. Rapporto con il Garante della Privacy:

Passiamo all’ultimo livello: quello con il Garante della Privacy. Ogni azienda/Ente dovrà in qualche modo rapportarsi con l’organo di controllo che è il Garante della Privacy.

Il Garante è l’organo che può richiedere di visionare i vari documenti, fra cui il Registro dei Trattamenti e  la DPIA.

Tali documenti devono quindi essere prodotti, in tempi relativamente brevi, poiché si presume che nei prossimi mesi (ed è qui che entra in gioco il decreto attuativo) inizieranno i controlli.

Speriamo di essere stati quanto più esaustivi. Qualora aveste bisogno di ulteriori chiarimenti, mandate una email a privacy@qes.toscana.it e il nostro Team Privacy (Dott. Baccini, Ing. Parretti e Ing. Ottanelli) risponderanno a tutte le vostre domande!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Fill out this field
Fill out this field
Inserisci un indirizzo email valido.
Devi accettare i termini per procedere

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Menu