La nuova legge privacy: opportunità o formalità?

10 Apr La nuova legge privacy: opportunità o formalità?

Data l’incombenza della nuova disciplina in materia di Privacy lo Studio ha ritenuto di adeguarsi alle novità del settore rivolgendosi alla professionista Avv. Emanuela del Vecchio, consulente certificata privacy con studio in Vallefoglia, che da diversi anni si occupa di compliance privacy presso aziende private.

L’Avvocato fornirà risposta ai principali dubbi che preoccupano gli imprenditori o comunque tutti coloro che dovranno adattarsi al nuovo Regolamento privacy che entrerà in vigore il 25 Maggio 2018.

L’INTERVISTA:

D: Gli imprenditori o chiunque tratti dati personali saranno obbligati ad adeguarsi ai nuovi adempimenti della legge privacy. Sappiamo che ciò rappresenta un ulteriore adempimento che grava nei loro confronti, Lei che ne pensa?

R: “ Secondo il mio punto di vista molto dipenderà dalla operatività che gli imprenditori vorranno dare a tale normativa.

Certamente in passato la privacy è stata vissuta ed interpretata in ambito imprenditoriale come appesantimento dell’attività lavorativa ma oggi la normativa ci consente di modellare in base alle esigenze e caratteristiche peculiari di ogni organizzazione gli adempimenti nel rispetto delle disposizioni normative e alla luce di criteri specifici indicati nel Regolamento Europeo.

I vantaggi rappresentati dalla nuova legge privacy sono molteplici perché:

• si avrà l’occasione di rivedere i processi organizzativi e ottimizzarli;
• sarà necessario impostare buone prassi nel trattamento dei dati;
• si rivedranno e si renderanno più adeguate le misure di sicurezza;
• sarà possibile rendere in una parola l’ente “affidabile”.

Infatti, la tutela della privacy può contribuire a migliorare non solo l‘immagine dell’impresa come soggetto attento al principio di “responsabilità sociale” (principio tenuto in grande considerazione dal legislatore europeo che proprio su di esso ha costruito il nuovo impianto basato sull’accountability)…

… ma può contribuire a migliorare la capacità di business aumentando la fiducia di utenti e consumatori nella serietà e affidabilità dell’impresa”.

LE PRINCIPALI NOVITÀ

D: Quali sono le principali novità per gli imprenditori o responsabili del trattamento? Cosa devono fare di concreto per adeguarsi?

R: “In primo luogo sarà necessario rivedere i documenti in ambito privacy. In particolare le informative che dovranno essere integrate con gli elementi indicati agli artt. 13 e 14 del Regolamento.
Inoltre dovranno essere riviste tutte le modalità di acquisizione del consenso.

In particolare il consenso deve essere libero.

Ad esempio non posso condizionare la fruizione di un servizio da parte di un utente al consenso al trattamento dei dati per finalità di profilazione.

Deve essere specifico.

Vale a dire devo chiedere il consenso per ogni specifica attività di trattamento che svolgo. Ad esempio dovrò chiedere un consenso per l’invio di informazioni commerciali via mail, un consenso per trasferimento dati a altre società di marketing e così via.

Il consenso deve essere informato.

Si pensi al diritto di revoca in qualsiasi momento.

Altra novità riguarda il consenso dei minori che è valido dai 16 anni mentre prima di tale età occorre raccogliere il consenso dei genitori.

Ulteriori accorgimenti dovranno adottare gli imprenditori in caso di esercizio di diritti da parte degli interessati. Il termine per il riscontro è fissato, salvo eccezioni, in un mese.

Inoltre, in base a quelle che sono le dimensioni aziendali (organismi con più di 250 dipendenti) è necessaria la tenuta di un registro dei trattamenti, ma tale registro è necessario anche in base alla tipologia di trattamento ed in particolare per i trattamenti a “rischio”.

In altri casi sarà il titolare a valutare la necessità o meno della tenuta di tale registro anche se come affermato dall’Autorità Garante può essere un utile strumento per una corretta gestione dei dati personali.

Altri adempimenti riguardano le misure di sicurezza che devono essere in grado di assicurare la riservatezza, l’integrità, la disponibilità e resistenza dei sistemi nonché il loro ripristino”.

LA NUOVA FIGURA DEL RESPONSABILE DELLA PROTEZIONE DEI DATI (DPO)

D: È sempre necessaria la nomina di un responsabile della protezione dei dati? In quali casi non è obbligatoria?

R: “No, la nomina del responsabile della protezione dei dati è obbligatoria solo per gli enti pubblici e per gli enti privati che come attività principale svolgono trattamenti su larga scala relativi al monitoraggio sistematico sulle persone come ad es. tutte le forme di tracciamento e profilazione su internet anche per finalità di pubblicità comportamentale, attività di marketing basate sull’analisi dei dati raccolti e così via, e nel caso di trattamenti di particolari categorie di dati come ad es. dati relativi alla salute, dati relativi a soggetti vulnerabili e così via.

Tuttavia, il supporto di un responsabile del trattamento dei dati, anche quando non è obbligatoria la sua nomina, può essere un utile aiuto per una corretta impostazione delle attività di adeguamento da svolgere.

Gli aspetti che coinvolgono la privacy sono trasversali e sicuramente sono necessarie competenze oggettive e soggettive.

Uno dei compiti del responsabile della protezione dei dati ad esempio è la sorveglianza e vigilanza del rispetto da parte dell’ente della normativa cogente e delle procedure volontarie definite con codici e regolamenti interni, inoltre cura la formazione e aggiornamento del personale e svolge tutta una serie di attività indicate nel regolamento stesso.

Dal mio punto di vista anche le attività relative alla formazione sono importanti anche se in ambito imprenditoriale a volte tali aspetti sono trascurati.

La formazione aumenta la consapevolezza e responsabilizza il personale autorizzato al trattamento che di fatto renderà operative le “buone prassi” definite dove invece lo scarso coinvolgimento può rendere vani gli adeguamenti normativi implementati”.

LA VIOLAZIONE DEI DATI PERSONALI

D: Una delle principali preoccupazioni riguarda la sanzione in caso di mancata segnalazione al Garante dell’avvenuta violazione dei dati personali (data breach). Lei cosa consiglia a tal proposito?

R: “Una non corretta interpretazione della norma potrebbe suscitare allarmismi, ma in realtà tale norma, secondo il mio punto di vista, è sempre in linea con l’approccio basato sull’accountability.

Nel caso di violazione della sicurezza, da cui deriva la perdita dell’integrità del dato e/o accesso abusivo e/o compromissione del dato con conseguente danno per l’interessato, il Regolamento prevede la notifica al Garante.

Per banalizzare, pensiamo al caso in cui nonostante l’installazione di un antifurto la mia autovettura venga rubata con il conseguente rischio che con la stessa i malviventi compiano atti illegali come rapine o danneggiamenti a seguito di incidenti stradali e così via. Cosa fareste? La prima cosa è denunciare alle autorità il furto.

Capiamo benissimo che da questo punto di vista, la comunicazione è funzionale all’attenuazione e mitigazione dei danni da parte del titolare del trattamento ed è funzionale all’intervento delle pubbliche autorità e alla predisposizione di cautele da parte dell’interessato.

Teniamo conto che la decisione sull’applicazione delle sanzioni spetta all’Autorità Garante che tra le altre cose tiene conto delle misure adottate per attenuare il danno subito dagli interessati e del grado di cooperazione con l’autorità di controllo.

Certamente questa norma va vissuta e interpretata come una continua attenzione alla vulnerabilità dei sistemi. Pertanto, sarà responsabilità del titolare adeguare costantemente le misure di sicurezza al progresso tecnologico per ridurre al minimo i rischi”.

Avvocato Emanuela Del Vecchio