INSIGHT: La scadenza e la percezione degli operatori

Last Updated on Marzo 2, 2018

 

Data Privacy Toffoletto De Luca Tamajo.jpg

Ormai è cosa nota: mancano poco più di tre mesi all’efficacia del nuovo Regolamento Generale sulla Protezione dei Dati (cd. GDPR).

Quello che colpisce, ad oggi, è che – come pare confermato anche da alcuni dati che circolano in rete – risultano molte le aziende che non hanno ancora provveduto a mettersi in regola con le disposizioni del Regolamento.

L’impressione è che, se da un lato l’offerta di assistenza si è moltiplicata arrivando a coinvolgere società che si occupano più di servizi IT che non di consulenza legale, dall’altro vi sia una generale tendenza a ritenere che, in qualche modo, la scadenza del 25 maggio valga solo per le big data e che, almeno nei primi mesi, non vi saranno controlli e sanzioni.

Il Legislatore italiano e il Garante privacy

Probabilmente questa concezione è in parte dovuta anche all’atteggiamento del nostro Legislatore così come a quello del nostro Garante.

Il primo ha posto in essere alcuni interventi (a partire dalla Legge di delegazione europea dello scorso ottobre 2017) ma, da una parte non è ancora intervenuto su alcuni aspetti importanti (ad es. la sopravvivenza delle disposizioni del Codice Privacy non incompatibili con il Regolamento), dall’altra il provvedimento più pregnante emanato sin ora, l’inserimento nella Legge di Bilancio di un silenzio assenso sulle Valutazioni d’Impatto sulla protezione dei dati, rischia di essere in contrasto con il Regolamento laddove il ristretto lasso di tempo (15 giorni) previsto per l’istruttoria e l’eventuale parere negativo non fosse sufficiente ad un’analisi approfondita del trattamento.

Il secondo è stato, sino ad oggi, sostanzialmente inattivo (le uniche linee guida organiche restano quelle, peraltro piuttosto generiche, pubblicate a metà dello scorso anno), pur stimolato sul punto proprio dalla Legge di Bilancio.

Il ruolo di fornire pareri e indicazioni sulla normativa pare per ora integralmente affidato all’organo competente a livello UE, il Gruppo di Lavoro ex art. 29 anche se, lo si ribadisce, su molti punti sarebbero opportuni indicazioni e interventi a livello nazionale.

L’approccio alla privacy del GDPR

Eppure non esistono elementi concreti dai quali desumere che vi saranno, per le piccole e medie imprese (di cui il tessuto economico del nostro Paese è notoriamente ricco), esenzioni specifiche, maggiore flessibilità o che non vi saranno controlli e sanzioni. Anzi.

La Comunicazione della Commissione al Parlamento Europeo del 24 gennaio scorso parla di un piano di finanziamento dell’UE mirato proprio ad innalzare il livello di consapevolezza proprio di tali operatori in merito agli obblighi previsti dal Regolamento.

In aggiunta, tra le poche indicazioni significative del Garante vi è quella di adottare il Registro delle attività di trattamento, previsto dal Regolamento soltanto per le aziende che impieghino almeno 250 dipendenti, anche al di sotto di tale limite.

Se si considera, poi, che l’approccio al tema introdotto dal GDPR è totalmente diverso da quello del Codice privacy allora si comprende che è necessario che tutti gli operatori economici si adeguino e in fretta.

Al di là delle novità più note e sulle quali si è detto tanto, come la necessità di introdurre procedure per il caso di data breach oppure di Valutazioni d’impatto, il nuovo Regolamento impone di scomporre e ridefinire totalmente l’organizzazione aziendale e i processi, ponendo il flusso dei dati e il suo trattamento al centro della vita dell’azienda.

Gli ormai celebri principi dell’accountability, della privacy by design e by default, comportano la necessità di porre in essere misure di sicurezza più efficaci, così come la creazione di team/dipartimenti e procedure ad hoc (per la gestione della privacy, delle crisi o anche delle richieste degli interessati) oppure l’assegnazione di nuove mansioni, con conseguente modifica degli organigrammi.

Senza contare che la nuova norma comporta certamente, oltre ad adeguamenti dell’architettura informatica e della documentazione, anche modifiche dei luoghi di lavoro e degli spazi fisici dove in genere i dati vengono conservati e trattati.

C’è ancora tempo?

L’introduzione del nuovo Regolamento coinvolge tutti e comporta un cambiamento radicale nella gestione della privacy all’interno delle aziende.

C’è ancora tempo, ma per chi non avesse ancora iniziato il proprio processo di adeguamento sarà necessario provvedere subito: il 25 maggio 2018 è dietro l’angolo.

Articoli & Insights

Vedi tutti gli articoli di Articoli & Insights
Cervello digitalizzato (AI) L’intelligenza artificiale rivoluziona il mondo HR tra rischi e opportunità Maggio 7, 2025 - L’intelligenza artificiale entra sempre più nel mondo HR, offrendo grandi opportunità ma anche nuovi rischi, specie sul piano della privacy e della non discriminazione. Il Regolamento 2024/1689 introduce obblighi e divieti che impongono alle imprese un uso consapevole e conforme delle nuove tecnologie.
Macchina su un computer Decreto Bollette: novità per la determinazione del fringe benefit per i veicoli aziendali concessi in uso promiscuo ai dipendenti Maggio 7, 2025 - Il Decreto Bollette chiarisce la disciplina fiscale applicabile ai fringe benefit derivanti dall’uso promiscuo dei veicoli aziendali, colmando un vuoto normativo e offrendo certezza alle imprese nella gestione delle auto aziendali assegnate ai dipendenti.
Clock Direttiva «Stop the clock»: più tempo per sostenibilità e due diligence Aprile 17, 2025 - La Direttiva 2025/794 "Stop the clock" proroga l’entrata in vigore di alcuni obblighi in materia di sostenibilità e due diligence previsti dalla CSRD e dalla CS3D, concedendo più tempo alle imprese per adeguarsi.
Cellulari in alerto Social network e lavoro. Il difficile rapporto tra reale e virtuale Aprile 7, 2025 - I social network e la loro influenza sul mondo del lavoro, tra il diritto di critica e le implicazioni per la privacy e i provvedimenti disciplinari.