Privacy UE: sanzioni fino a 20 mln e meno di un anno per adeguarsi

Il conto alla rovescia verso il 25 maggio 2018, data di piena efficacia del nuovo Regolamento europeo sulla privacy, lascia ai titolari delle imprese meno di un anno per adeguarsi e tante incognite ancora aperte, una fra tutte circa le sanzioni, che in alcuni casi potranno arrivare fino a 20 milioni di euro.

 

Un articolo su due espone a sanzioni milionarie

Quasi la metà delle prescrizioni contenute nel nuovo Regolamento Ue sulla privacy porterà a sanzioni amministrative pesantissime: 49 dei 99 articoli per la precisione. Le violazioni degli obblighi in capo alle imprese (20 articoli su 49, cioè il 41%) sono punite fino a 10 milioni di euro; mentre gli altri 29 articoli (il 59%) puniscono, fino a 20 milioni di euro, la violazione dei principi del regolamento e dei diritti degli interessati. Va inoltre ricordato inoltre che ciascun articolo contiene numerosi comandi e divieti, e quindi diverse condotte sanzionabili. L’applicazione delle nuove disposizioni europee in materia di privacy non può far certo leva sulle sanzioni, ma con questo nuovo quadro sanzionatorio bisogna pure fare i conti ed è necessario verificare il da farsi.

 

Adempimenti privacy: un investimento per la qualità

Il rispetto della privacy deve portare l’impresa ad una migliore organizzazione e a più fatturato, altrimenti le imprese non possono comprendere per quale ragione debbano esporsi a una serie di adempimenti, che comunque hanno un costo. Il salto di paradigma deve necessariamente essere quello di vedere il costo come un investimento in termini organizzativi e reputazionali. Il Regolamento europeo certamente chiede degli adempimenti che magari necessitano del ricorso a consulenti esterni e a spese per i dovuti adeguamenti, ma non si tratta di indagare se ci sia o meno più “burocrazia”, ma anzi di anteporre nel ragionamento la qualità alla quantità. D’altra parte il garante italiano, nella sua prima guida al regolamento Ue, ha ammonito: bisogna arrivare alla data fatidica con le idee chiare.

 

La protezione dei dati è un’attività costante di qualunque impresa e l’imprenditore, di fronte al garante o un giudice, ha l’onere di provare che ha fatto tutte le cose per bene. E come fa a provarlo? Con un apparato documentale specifico, curato ed aggiornato. Alle imprese si chiede di valutare se aderire a un codice di condotta e se acquisire una certificazione; di documentare il consenso, di comprovare la base giuridica del proprio operato, di tenere un registro dei trattamenti, di redigere una analisi dei rischi e, in alcuni casi, una valutazione di impatto privacy. Alle imprese si chiede maggiore attenzione nella stipulazione di contratti con il responsabile del trattamento e di lasciare traccia di avere istruito i propri dipendenti e collaboratori. In alcuni casi, non infrequenti, all’impresa si chiede di cambiare l’organizzazione aziendale, individuando una funzione specifica: la funzione della responsabilità della protezione dei dati.

 

Il tempo stringe: poco meno di un anno per non rischiare sanzioni

Oltre all’apparato documentale, l’impresa deve assicurare che le prescrizioni sulla protezione delle persone e la circolazione di dati siano in linea con le regole europee specifiche (quando ci sono) o con i principi giuridici vaghi e generici delle norme del regolamento (ed è quello che capita il maggior numero di volte). Forniamo alcuni quesiti a titolo esemplificativo: “Il trattamento dati è occasionale o devo tenere il registro dei trattamenti?”, “Tratto dati sensibili di categorie di soggetti vulnerabili: devo o no fare la valutazione di impatto privacy?”. Ognuno di questi interrogativi, che potrebbero continuare, diventa giocoforza uno dei punti dell’agenda dei titolari di trattamento. Il responsabile della protezione dei dati o Dpo o lo chief officer privacy o delegato privacy, per non incorrere in responsabilità proprie (per lo meno contrattuali nei confronti del titolare del trattamento) deve essere in grado di affrontare questi quesiti che presuppongono una conoscenza specialistica giuridica della normativa.

L’impresa e i professionisti (interni o esterni) cui l’impresa si rivolge devono essere in grado di risolvere questioni giuridiche complesse, da cui dipende il rischio di sanzioni salate, entro il 25 maggio 2018, in poco meno di un anno.

 

Fonte: Italia Oggi del 22 maggio 2017