Il 15 dicembre 2015 è stato definito il testo del nuovo Regolamento Europeo sulla tutela dei dati personali. Dal momento in cui diventerà esecutivo ci saranno due anni per adeguarsi, ma già da subito la nuova disciplina segna un punto di partenza fondamentale per le aziende, perché la natura trasversale della privacy (da diritto fondamentale a materia di business) avrà un impatto rilevante sulla gestione d’impresa: chi si farà trovare pronto e open minded guarderà il futuro con maggiori certezze, gli altri resteranno in coda.
Novità per le aziende
Il Regolamento prevede un unico insieme di norme valide in tutta l’UE, applicabile anche alle aziende extra-europee che offrono servizi o beni nel mercato europeo. Tale uniformità, nel garantire un’applicazione coerente delle norme di protezione dei dati in tutta l’UE, è stata pensata anche per incoraggiare le imprese ad una maggiore concorrenza leale ed a renderle maggiormente partecipi del mercato unico digitale.
Particolare rilevanza è data, sotto questi aspetti, al meccanismo del c.d. one-stop-shop, che permetterà ad una società attiva in più Stati membri di trattare solo con l’Autorità Garante dello Stato in cui ha il proprio stabilimento principale; con la conseguenza, in caso di controversie, di prevedere una sola decisione applicabile a tutto il territorio dell’Unione, riducendo i costi per la risoluzione di tali questioni e fornendo maggiore certezza del diritto.
Conformità
Sotto l’aspetto del trattamento dati, il Regolamento fonda la propria struttura applicativa su un approccio basato sul rischio, con particolare riferimento alla necessità del Privacy Impact Assessment: i titolari del trattamento dovranno essere in grado di implementare le misure di sicurezza tenendo conto dei risultati dell’analisi del rischio relativo alle operazioni di trattamento dei dati svolte all’interno dell’azienda. Proprio per tali ragioni, la nuova disciplina ha tenuto ben presente che diverse aziende svolgono differenti attività e rischi connessi alle stesse, che in termini di privacy possono variare di caso in caso. Un elevato rischio comporterà obblighi più stringenti. I titolari del trattamento dovranno attuare, quindi, tutta una serie di misure tecniche ed organizzative al fine di garantire ed essere in grado di dimostrare che il trattamento dei dati personali è effettuato in conformità al Regolamento; nel caso in cui, per esempio, si verifichino determinate ipotesi di c.d. data breach, ai titolari del trattamento saranno applicate specifiche e stringenti prescrizioni.
Responsabilità
Sotto il profilo della responsabilità, il Regolamento ha esaltato l’importanza dei concetti di privacy by design e privacy by default, come anche dell’importantissima figura del Data Protection Officer, figura che necessiterà di un percorso formativo adeguato e di alto profilo (anche perché per le Pubbliche Amministrazioni e le aziende che trattano dati particolarmente sensibili il DPO sarà obbligatorio). In caso di particolari violazioni le persone interessate, a certe condizioni, potranno presentare denunce presso un’Autorità Garante o proporre un ricorso giurisdizionale con esiti che per i quali i responsabili del trattamento potrebbero affrontare multe massime fino a € 20 milioni o 4% del loro fatturato annuo globale.