GDPR: via a regolamento Ue sulla privacy, tante aziende impreparate

21 maggio 2018, di Alessandra Caparello

ROMA (WSI) – Assicura tutela e qualità dei dati per un mercato del lavoro più efficiente il nuovo regolamento sulla privacy dell’Ue (n. 2016/679)  in gergo GDPR (General Data Protection Regulation) in vigore da venerdì 25 maggio prossimo.

Il regolamento riguarda la protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali, introducendo regole più chiare su informativa e consenso, definendo i limiti al trattamento automatizzato dei dati personali e stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue. In sostanza il regolamento contiene una serie di obblighi in capo a chi raccoglie le informazioni dei propri clienti per evitare che i dati circolino secondo un uso distorto rispetto a quello dichiarato. Le norme del regolamento Ue si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato unico. Imprese ed enti avranno allora più responsabilità in fatto di privacy e tutela dei dati personali e caso di inosservanza delle regole rischiano pesanti sanzioni. Le sanzioni a cui vanno incontro le imprese se non rispettano le norme del GDPR vanno da una mera diffida amministrativa a sanzioni fino a 20 milioni di euro.

GDPR: cosa prevede il regolamento Ue

Con il regolamento si introduce il principio dell’accountability, ossia la responsabilizzazione dei titolari del trattamento e un approccio che tenga in maggior considerazione i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati. Per risolvere eventuali difficoltà è stato introdotto lo sportello unico (one stop shop), che semplificherà la gestione dei trattamenti e garantirà un approccio uniforme. Le imprese che operano in più Stati Ue potranno rivolgersi al Garante Privacy del Paese dove hanno la loro sede principale. Spetta al titolare del trattamento  comunicare eventuali violazioni dei dati personali al Garante.

Il regolamento poi introduce  la figura del “Responsabile della protezione dei dati” (Data ProtectionOfficer o DPO), incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti e individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati.  Secondo il regolamento tale figura deve essere in grado di fornire consulenza al management aziendale circa le prescrizioni della legge, sorvegliando che essa sia correttamente applicata, e di adoperarsi per effettuare in modo continuativo consultazioni di vario genere.

Chi nell’azienda può svolgere il ruolo di DPO? Secondo il regolamento è preferibile non affidare l’incarico a figure del top management o con potere decisionale legate alle finalità della funzione di trattamento dei dati. Meglio sceglierlo selezionandolo tra i dipendenti dell’azienda oppure fra liberi professionisti esterni.

Hai dimenticato la password?