SOSTENIBILITA’-Tutti in sella per la BIKE CHALLENGE 2016: la...

SOSTENIBILITA’-Forum Innovazione Mobilità Sostenibile: collaborazione tra governo, startup e...

30 settembre 2016 Comments Off on PRIVACY-Nuovo regolamento europeo relativo alla protezione dei dati personali: convegno presso Rödl & Partner Approfondimenti

PRIVACY-Nuovo regolamento europeo relativo alla protezione dei dati personali: convegno presso Rödl & Partner

Sul fronte della privacy le aziende ed i professionisti italiani sono chiamati ad una nuova ed importante sfida: l’aggiornarsi rispetto al nuovo Regolamento europeo sulla protezione dei dati. E’ la cosiddetta “scadenza 2018” – data entro la quale aziende e professionisti dovranno adempiere a controlli e aggiornamenti in termini di privacy.

Il “General Data Protection Regulation”, in sigla Gdpr, è entrato in vigore lo scorso 25 maggio e tra due anni diventerà in via esclusiva l’unica regolamentazione a cui far riferimento in tema di privacy. Dopodiché scordiamoci il vecchio decreto 196: a dettar le regole sarà questa normativa valida per tutta Europa.

Secondo l’avvocato Nadia Martini (nella foto), Head of Data Protection e Privacy Officer certificato dello studio Rödl & Partner di Milano, specializzata nei settori Data protection, Information technology ed Intellectual property, si tratta di un’occasione d’oro da cogliere. “Il Regolamento – dice l’avvocato Martini –  introduce una rivoluzione culturale nel mondo della privacy che aiuterà le aziende ed i professionisti a migliorare la propria gestione dei dati e a trarne valore, anche economico. Si passa infatti da un concetto formale (o, meglio, dai più percepito formale) di privacy, secondo il quale era sufficiente fare il minimo per sentirsi a posto (es. adottando misure minime, DPS, nomine) a un concetto sostanziale: oggi al titolare non basta più fare il minimo. Deve invece, nell’ottica del nuovo principio di responsabilizzazione del titolare, dimostrare di avere fatto il massimo, adottando tutte le misure tecniche e organizzative idonee per il proprio caso concreto. Misure che potrà individuare solo dopo aver fatto un assessment individuale col suo partner tecnico e legale”.

Si parla quindi, chiarisce l’avvocato Martini, di ripensare alla propria privacy secondo i nuovi principi di “privacy by design e by default”: i titolari del trattamento devono garantire che ogni sistema di protezione dei dati sia disegnato, sin dall’inizio, in modo da minimizzare il trattamento assicurando così la privacy dell’individuo; e che, di default, i dati siano raccolti e trattati solo quando necessario per le finalità della raccolta.

Perché ciò avvenga, spiega sempre l’avvocato Martini: “Il titolare e il responsabile del trattamento dei dati devono mappare con un puntuale assessment i processi interni all’azienda di trattamento dei dati personali; bisogna verificarne il tipo, i rischi che si corrono relativamente all’utilizzo che se ne fa. E poi bisogna sapere dove vengono conservati e per quanto tempo”.

Solo tale mappatura potrà permettere a titolare e responsabili di individuare e adottare le misure necessarie e adempiere ai propri obblighi, esimendosi da responsabilità.

Tra i vari obblighi, ce ne sono di vecchi come di nuovi: ad esempio, l’obbligo di chiedere il consenso espresso, che sembrerebbe non essere più scritto per i dati sensibili; quello di fornire l’informativa, che deve indicare anche se è stata nominata una figura come il “Privacy officer”, se si fa profilazione, per quali fini e secondo quale logica. Infine, occorre precisare quali rischi i dati conservati potrebbero correre, per esempio se gli stessi sono conservati in un server di un paese in cui il livello di protezione non è dei più alti.

In più, afferma l’avvocato Martini “rivoluzionari sono gli obblighi di Privacy Impact Assessment e di nomina di Privacy Officer, necessari nei casi di maggiore rischio per l’interessato. In particolare, la PIA è obbligatoria, ad esempio, in caso di valutazione sistematica e globale di aspetti personali dell’interessato, basata su trattamento automatizzato: in altre parole, di profilazione. Così vale anche nel caso di sorveglianza sistematica su luoghi accessibili al pubblico. La nomina di Privacy Officer è invece indispensabile in caso trattamento effettuato da ente pubblico, trattamento consistente nel monitoraggio regolare e sistematico degli interessati su larga scala (es. telemedicina; profilazione con CRM), trattamento su larga scala di dati particolari o giudiziari (es. cliniche e tribunali)”.

Tutti obblighi il cui adempimento va puntualmente provato. Come? “Dotandosi di processi, procedure, codici di condotta e certificazioni”, dice l’avv. Martini.

La “certificazione privacy” dovrebbe infatti convincere un’azienda che l’impegno da profondere nell’aggiornarsi al Gdpr europeo è un’azione per la quale vale la pena spendersi. “Sarà un marchio di qualità che darà lustro all’impresa” spiega l’avvocato Martini, che aggiunge: “distinguerà l’azienda dai suoi competitor, distinguendola nel mercato agli occhi dell’utente”. Con evidente vantaggi economici dell’azienda in linea con la privacy, piuttosto che quella che non lo è.

“Insomma – termina l’avvocato Martini – la nuova privacy europea complica per un giusto fine le carte in tavola: migliorare il sistema azienda e garantire all’utente finale il massimo di protezione dei propri dati personali”.

Comments are closed.