INSIGHT: La scadenza e la percezione degli operatori

Last Updated on Marzo 2, 2018

 

Data Privacy Toffoletto De Luca Tamajo.jpg

Ormai è cosa nota: mancano poco più di tre mesi all’efficacia del nuovo Regolamento Generale sulla Protezione dei Dati (cd. GDPR).

Quello che colpisce, ad oggi, è che – come pare confermato anche da alcuni dati che circolano in rete – risultano molte le aziende che non hanno ancora provveduto a mettersi in regola con le disposizioni del Regolamento.

L’impressione è che, se da un lato l’offerta di assistenza si è moltiplicata arrivando a coinvolgere società che si occupano più di servizi IT che non di consulenza legale, dall’altro vi sia una generale tendenza a ritenere che, in qualche modo, la scadenza del 25 maggio valga solo per le big data e che, almeno nei primi mesi, non vi saranno controlli e sanzioni.

Il Legislatore italiano e il Garante privacy

Probabilmente questa concezione è in parte dovuta anche all’atteggiamento del nostro Legislatore così come a quello del nostro Garante.

Il primo ha posto in essere alcuni interventi (a partire dalla Legge di delegazione europea dello scorso ottobre 2017) ma, da una parte non è ancora intervenuto su alcuni aspetti importanti (ad es. la sopravvivenza delle disposizioni del Codice Privacy non incompatibili con il Regolamento), dall’altra il provvedimento più pregnante emanato sin ora, l’inserimento nella Legge di Bilancio di un silenzio assenso sulle Valutazioni d’Impatto sulla protezione dei dati, rischia di essere in contrasto con il Regolamento laddove il ristretto lasso di tempo (15 giorni) previsto per l’istruttoria e l’eventuale parere negativo non fosse sufficiente ad un’analisi approfondita del trattamento.

Il secondo è stato, sino ad oggi, sostanzialmente inattivo (le uniche linee guida organiche restano quelle, peraltro piuttosto generiche, pubblicate a metà dello scorso anno), pur stimolato sul punto proprio dalla Legge di Bilancio.

Il ruolo di fornire pareri e indicazioni sulla normativa pare per ora integralmente affidato all’organo competente a livello UE, il Gruppo di Lavoro ex art. 29 anche se, lo si ribadisce, su molti punti sarebbero opportuni indicazioni e interventi a livello nazionale.

L’approccio alla privacy del GDPR

Eppure non esistono elementi concreti dai quali desumere che vi saranno, per le piccole e medie imprese (di cui il tessuto economico del nostro Paese è notoriamente ricco), esenzioni specifiche, maggiore flessibilità o che non vi saranno controlli e sanzioni. Anzi.

La Comunicazione della Commissione al Parlamento Europeo del 24 gennaio scorso parla di un piano di finanziamento dell’UE mirato proprio ad innalzare il livello di consapevolezza proprio di tali operatori in merito agli obblighi previsti dal Regolamento.

In aggiunta, tra le poche indicazioni significative del Garante vi è quella di adottare il Registro delle attività di trattamento, previsto dal Regolamento soltanto per le aziende che impieghino almeno 250 dipendenti, anche al di sotto di tale limite.

Se si considera, poi, che l’approccio al tema introdotto dal GDPR è totalmente diverso da quello del Codice privacy allora si comprende che è necessario che tutti gli operatori economici si adeguino e in fretta.

Al di là delle novità più note e sulle quali si è detto tanto, come la necessità di introdurre procedure per il caso di data breach oppure di Valutazioni d’impatto, il nuovo Regolamento impone di scomporre e ridefinire totalmente l’organizzazione aziendale e i processi, ponendo il flusso dei dati e il suo trattamento al centro della vita dell’azienda.

Gli ormai celebri principi dell’accountability, della privacy by design e by default, comportano la necessità di porre in essere misure di sicurezza più efficaci, così come la creazione di team/dipartimenti e procedure ad hoc (per la gestione della privacy, delle crisi o anche delle richieste degli interessati) oppure l’assegnazione di nuove mansioni, con conseguente modifica degli organigrammi.

Senza contare che la nuova norma comporta certamente, oltre ad adeguamenti dell’architettura informatica e della documentazione, anche modifiche dei luoghi di lavoro e degli spazi fisici dove in genere i dati vengono conservati e trattati.

C’è ancora tempo?

L’introduzione del nuovo Regolamento coinvolge tutti e comporta un cambiamento radicale nella gestione della privacy all’interno delle aziende.

C’è ancora tempo, ma per chi non avesse ancora iniziato il proprio processo di adeguamento sarà necessario provvedere subito: il 25 maggio 2018 è dietro l’angolo.

Articoli & Insights

Vedi tutti gli articoli di Articoli & Insights
Immigrazione: nuove regole UE sul permesso unico Maggio 3, 2024 - Il 30 aprile è stata pubblicata la Direttiva 2024/1233 che incorpora, modificandola, la precedente Direttiva 2011/98/UE istitutiva del permesso unico rilasciato in favore dei cittadini dei paesi terzi che intendano soggiornare e lavorare in uno Stato membro. La previsione di una procedura unica di domanda volta al rilascio di un titolo combinato che comprenda sia ... Leggi tutto
Conversione DL PNRR 4: ancora novità per gli appalti Maggio 2, 2024 - Nel confermare l’apparato sanzionatorio penale previsto nel Decreto per l’interposizione illecita (vedi la ns. newsflash «Pubblicato il nuovo Decreto PNRR 4» del 7.03.2024), la legge di conversione n. 56 del 29 aprile 2024 interviene nuovamente sulla disciplina degli appalti. È ora disposto che al personale impiegato nell’appalto e nel subappalto sia riconosciuto un trattamento non ... Leggi tutto
Rapporto biennale sulla situazione del personale maschile e femminile Parità di genere: attenzione alle scadenze per il rapporto biennale e l’esonero contributivo Aprile 12, 2024 - Il termine per la trasmissione del Rapporto biennale 2022-2023 sulla situazione del personale maschile e femminile è differito dal 30 aprile al 15 luglio 2024. Si ricorda che, ai sensi dell’art. 46 del D.Lgs. n. 198/2006, le imprese che occupano più di 50 dipendenti devono elaborare un rapporto sulla situazione del personale maschile e femminile e inviarlo, con cadenza biennale, al Ministero del lavoro, alle rsa, al Consigliere regionale di parità e al Dipartimento delle pari opportunità della Presidenza del CdM.
digital nomad Immigrazione: operative le regole per l’ingresso e il soggiorno dei nomadi digitali e dei lavoratori da remoto Aprile 8, 2024 - Il 4 aprile 2024 è stato pubblicato il Decreto ministeriale del 29 febbraio 2024 ed è ora operativa la previsione che permette l’ingresso in Italia ai cittadini stranieri che svolgano, in via autonoma o per un’impresa anche non stabilita nel nostro Paese, un’attività lavorativa altamente qualificata mediante strumenti tecnologici che consentano di lavorare da remoto. Detti soggetti sono ammessi in Italia indipendentemente dalle quote stabilite nella programmazione dei flussi di ingresso per motivi di lavoro degli extracomunitari. Il Decreto si applica ai lavoratori autonomi (nomadi digitali), a quelli subordinati e ai collaboratori le cui modalità di esecuzione della prestazione sono organizzate dal committente anche con riferimento ai tempi e al luogo di lavoro (etero-organizzati).