CONSULENZA PRIVACY

Con il General Data Protection Regulation debutta la privacy 4.0, studiata per rispondere alle insidie della digital transformation.

Il Reg 679/2016 è composto da 99 articoli e numerosi adempimenti, che necessitano di interventi programmati nel tempo e calibrati in funzione della struttura organizzativa aziendale e degli studi professionali.

Il sistema delle misure di sicurezza è stato rivoluzionato sull’idea di “accountability”: una strategia operativa che pone l’accento sulla “sostanza” dell’adempimento e sulla sua verificabilità esterna.

E le sanzioni? Tra le più alte mai stabilite in una normativa pensata per la protezione dei dati: non solo fisse, ma anche stabilite in percentuale, con riferimento al fatturato dell’azienda.

Con particolare riferimento alle imprese, chiara è l’impronta verso un maggior rigore generale, la previsione di sanzioni più gravi e la programmazione di adempimenti più articolati, oltre a un maggior livello di protezione del soggetto cui i dati si riferiscono.

In primis, la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale deve essere visto, anche da professionisti e imprese che trattano quei dati, come un vero e proprio diritto fondamentale radicato nella tradizione europea.

Ciò comporta che ogni persona abbia diritto alla protezione dei dati di carattere personale che la riguardano, indipendentemente dalla sua nazionalità o residenza. In tal modo, si consente una prima opera di armonizzazione che realizza in Europa uno spazio di libertà, sicurezza e giustizia e un’unione economica, che consente il progresso sociale e che porta al benessere delle persone fisiche.

La norma si applica solo alle persone fisiche, non disciplina il trattamento dei dati relativi a persone giuridiche e riguarda sia il trattamento manuale sia il trattamento automatizzato.

È esclusa significativamente l’applicazione al trattamento dei dati personali effettuati da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e, quindi, senza una connessione con un’attività commerciale o professionale. Si pensi alla corrispondenza privata, agli indirizzari, all’uso di social network.

Tutti i dati che possono identificare una persona, usando tutti i mezzi, tenendo conto anche dei costi e del tempo necessari per identificare quella persona e degli sviluppi tecnologici, sono considerati dati personali protetti dal regolamento. La norma non si applica a informazioni anonime né ai dati delle persone decedute (aspetto, quest’ultimo, che può essere regolato però da ogni singolo Stato). Oltre a ciò, viene esplicitamente sollecitato l’uso di pseudonimi.

Grande attenzione dovrà essere prestata in sede di trattamento di dati particolarmente sensibili, come quelli che rivelano origine razziale etnica, o connessi alla salute o al sesso, e grande cautela si dovrò riservare alle richieste specifiche di rettifica dei dati personali e di diritto all’oblio. Ci si riferisce, in particolare, alla richiesta che siano cancellati e non più sottoposti a trattamento i propri dati personali che non siano più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati, oppure in caso di ritiro del consenso.

Infine, molto spinoso sarà il punto che stabilirà una sorta di diritto di cancellazione online: il titolare del trattamento che ha pubblicato i dati dovrà informare i titolari del trattamento che trattano tali dati personali di cancellare qualsiasi link verso tali dati personali o copia o riproduzione di detti dati personali, adottando misure ragionevoli per raggiungere tale fine.

Dal punto di vista professionale e imprenditoriale, quindi, particolare attenzione andrà prestata non solo alle modalità di trattamento, alle informative e alla raccolta del consenso, ma anche e soprattutto a un’esaustiva risposta alle richieste dei soggetti cui i dati si riferiscono, soprattutto se connesse alla loro presenza su siti web o banche dati online.