fbpx
Attualità

GDPR: la nuova Privacy, tra adempimenti da compiere e sanzioni in arrivo.

L'agenzia Allianz Schiavone di Avellino promuove un Seminario su Privacy e GDPR. L'esperto Giovanni D'Ercole illustra rischi e opportunità.

Per alcuni, solo una sigla incomprensibile. Per altri, un nuovo grattacapo da affrontare.

GDPR, questo sconosciuto. Nonostante il Regolamento dell’Unione Europea 2016/679 che disciplina il trattamento dei dati personali sia entrato in vigore lo scorso mese di maggio, sono davvero poche le pubbliche amministrazioni, le aziende ed i professionisti che hanno adeguato la propria attività a quanto prescritto.

Eppure, le sanzioni previste sono pesanti. Su tutto il territorio italiano i controlli da parte degli organismi preposti sono partiti. E non mancano le sorprese.

Con l’obiettivo di fornire maggiori informazioni e di sostenere aziende e professionisti nel percorso di adeguamento al GDPR, Loredana Schiavone, agente Allianz di Avellino,  ha organizzato, per il prossimo 28 novembre alle ore 18 presso il Circolo della Stampa di Avellino, un Seminario dal titolo “La nuova Privacy, tra rischi e opportunità”.

Ad illustrare cosa è cambiato con il nuovo Regolamento e come occorre procedere per non incorrere nelle sanzioni, sarà l’avvocato Giovanni D’Ercole, esperto in materia di trattamento dei dati personali e consulente di numerose aziende per le quali segue i processi di adeguamento al GDPR insieme ad un pool di professionisti.

Avvocato D’Ercole, osserviamo in questo periodo un grande interesse ma anche una grande incognita legata all’avvento del nuovo Regolamento Europeo sulla protezione dei dati personali. Quali sono le novità rilevanti rispetto al vecchio Codice Privacy?

“Indubbiamente l’entrata in vigore del nuovo Regolamento ha attivato un interesse significativo. In realtà, al netto delle specifiche modificazioni ed innovazioni apportate dal GDPR, c’è da dire che cambia completamente l’impostazione per chi si trova a trattare dati personali. Si passa, infatti, da un approccio di natura sostanzialmente documentale (cioè l’obbligo a produrre una serie di documenti che di per sé era sufficiente a rendersi conforme al vecchio Codice Privacy), ad una impostazione tipicamente nordeuropea, il concetto cosiddetto di accountability”

In cosa consiste?

“Principalmente, non si prevedono forme tipizzate per specifici documenti, ma si tende a creare in chi tratta dati un meccanismo appunto di responsabilizzazione, che ponga il titolare del trattamento ad interrogarsi sempre rispetto alla specifica situazione su quale sia il modo più corretto e responsabile per trattare i dati personali”.

Cosa significa per un’azienda adottare una chiara politica di protezione dei dati?

“Intanto, può diventare un chiaro vantaggio competitivo. Pensiamo per esempio al danno che potrebbe avere un azienda, a causa di un data breach: il dover comunicare ai propri clienti/utenti che i loro dati sono andati perduti sarebbe un danno di reputazione ingente”.

Quali sono gli obblighi da assolvere per i soggetti che trattano i dati personali?

“Premettendo che non vanno vissuti come obblighi ma come azioni da intraprendere nella consapevolezza della responsabilità connessa al trattamento del dato personale, certamente è necessario porre in essere una serie di azioni al fine di porre la propria azienda o la propria attività in conformità al nuovo Regolamento Europeo”.

Cosa vuol dire?

“Che è necessaria una preventiva analisi del contesto, in quanto non esistono soluzioni chiavi in mano. Uso un paradosso. Ci si può, infatti, trovare in contesti minimali, ma che trattano dati personali in maniera massiva: in tal caso devono essere adoperate una serie di procedure al fine di tutelare gli interessati ed anche i titolari del trattamento. D’altro canto, ci si può trovare in aziende rilevanti dal punto di vista delle dimensioni ma che trattano esclusivamente i dati dei propri dipendenti, inferiore al limite dei 250: in questa ipotesi le procedure da intraprendere sono significativamente più semplificate”.

I ritardatari sono ancora molti. Quali dovrebbero essere i primi adempimenti per loro?

“Si dovrebbe scegliere un consulente esterno specializzato, laddove non ci sia una figura interna competente, e procedere in breve ad un check-up che comprenda una gap analysis, successivamente predisporre la redazione di un registro dei trattamenti e la procedura per i data breach.

Valutare la compliance dei sistemi informatici e dei software che si utilizzano, per capire se sono aggiornati e compliant al regolamento. Da non dimenticare anche la procedura sugli obblighi di informazione ai soggetti interessati, che preveda il diritto alla cancellazione del dato, alla modifica e alla rettifica, come tra l’altro già previsto dall’ex codice privacy, ed infine predisporre un piano di formazione e sensibilizzazione del personale”.

Oggi fanno più paura le sanzioni o gli investimenti necessari per mettersi in regola?

“Sicuramente le sanzioni provocano un effetto deterrente, ma lo provocano esclusivamente in capo a chi già è informato. Nella mia attività consulenziale mi sono confrontato con parecchi soggetti convinti che nella loro attività non ci sia alcun trattamento di dati personali: tale condizione è praticamente impossibile perché anche un’azienda con un solo dipendente tratta il dato di quel dipendente. Né si può confidare in ipotetiche proroghe (mal comunicate dagli organi di informazione): al più si può ancora confidare in una minima e temporanea tolleranza esclusivamente nei confronti di chi, comunque, sia in grado di dimostrare di aver già iniziato il percorso di adeguamento al GDPR”.

Anche se ancora oggi molte aziende vivono il passaggio del Gdpr come una seccatura…

“Ovviamente non condivido questa impostazione, anzi ritengo che queste innovazioni possano essere interpretate come grandi opportunità: soprattutto le PMI, strutture abitualmente piramidali, grazie alla necessità di adeguarsi al GDPR possono affrontare una riorganizzazione dei processi, anche complessa, ma orientata all’efficenza, tale da consentire di allineare le criticità organizzative”.

Infine, avvocato D’Ercole, esistono categorie che devono mantenere più alta l’attenzione?

“Certamente si. Gli avvocati, i commercialisti, i laboratori di analisi, le piccole attività mediche detengono e trattano una serie di dati personali di particolare rilevanza (come individuati dall’art. 9 del Regolamento) tale da dover informarsi ad una condotta ancora più attenta e conforme ai dettami del Regolamento”.

Per saperne di più partecipa all’evento organizzato dall’agenzia Allianz Schiavone di Avellino

  • Seminario:  “La nuova Privacy, tra rischi e opportunità”
  • Quando: 28 novembre alle ore 18
  • Dove: Circolo della Stampa corso Vittorio Emanuele Avellino
  • Ingresso: Gratuito

Spot

Spot

Spot