Dal 25 Maggio 2018 è applicabile il GDPR (General Data Protection Regulation) ovverosia il Regolamento UE 2016/679 sulla protezione dei dati personali.
Il GDPR ha rivoluzionato il panorama normativo e sanzionatorio in materia di protezione dei dati personali. Sono tenuti ad osservare gli obblighi previsti dal GDPR tutti gli Enti pubblici e le aziende.
E’ opportuno subito sottolineare che le sanzioni previste dal GDPR, in caso di mancato adeguamento ad esso, sono assai corpose. Per gli Enti pubblici sono previste sanzioni fino a 20 milioni di euro e per le aziende fino al 4% del fatturato globale annuo.
Pertanto, Enti pubblici e Aziende dovranno adeguarsi al GDPR mettendo in atto una serie di adempimenti tra cui:
- Valutazione della compliance aziendale
- Predisposizione registro dei trattamenti
- Stesura e modifica di tutta la documentazione aziendale
- Individuazione dei ruoli e delle responsabilità – Nomine
- Definizione della policy aziendale e valutazione dei rischi
- Data Breach
- DPIA – Valutazione di impatto sulla protezione dei dati personali
- Implementazione dei processi per l’esercizio dei diritti dell’interessato
- Nomina del DPO
- Audit
Si specifica che i suddetti adempimenti, previsti dal GDPR, non sono complessivamente obbligatori per tutte le Aziende, ma ci sono delle valutazioni da fare in base alla tipologia e alla quantità di dati trattati.
Relativamente ad uno dei primi adempimenti da attuare, l’istituzione del registro dei trattamenti, il GDPR prevede, all’art. 30 comma 4, che gli obblighi della tenuta del registro dei trattamenti non si applicano per le aziende con meno di 250 dipendenti, ma al contempo specifica che detto soglia non è da considerarsi nel caso in cui le aziende trattino dati sensibili.
Altro importante ed innovativo adempimento previsto dal GDPR è la nomina, eventuale, del Data Protection Officer (DPO) anche detto Responsabile della protezione dei dati. Si tratta di uno tra i principali obblighi previsti, perché richiederà alle aziende e agli Enti di inserire nel proprio organigramma la figura del DPO, un professionista che possa garantire una approfondita conoscenza ed esperienza in materia di protezione dei dati, in grado di dimostrare l’acquisizione di tali competenze ottenute a seguito di master e corsi di formazione che possano attestare il livello raggiunto. Non è però prevista alcuna certificazione abilitante.
In relazione all’obbligo di nomina del DPO, oltre al GDPR, un valido strumento interpretativo e di orientamento lo ha fornito il Garante con la pubblicazione di Linee Guida e F.A.Q.
Sono tenuti alla nomina del DPO, tutti gli Enti Pubblici e a Partecipazione Pubblica nonchè tutte le Aziende che effettuano un monitoraggio regolare e sistematico degli interessati su larga scala.
Non sono tenuti a nominare il DPO i singoli professionisti (come il singolo medico, l’avvocato ecc.).
Sono tenuti, in ogni caso, alla nomina del DPO, le Aziende che trattano particolari categorie di dati. A titolo esemplificativo e non esaustivo (a prescindere dalle dimensioni), ecco le categorie di aziende che sono tenute a nominare il DPO:
istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.
Avv. Raffaele Della Rotonda