Regolamento UE Privacy: iter di adeguamento

Regolamento UE Privacy: iter di adeguamento

Come ormai è noto, il 25 Maggio 2018 sarà direttamente applicabile il Regolamento UE Privacy 2016/679, in sostituzione degli attuali Codici Privacy nazionali di ogni singolo Paese UE.

Entro tale data, PA e imprese dovranno essere compliant, senza possibilità di usufruire di un ulteriore periodo di adattamento. Infatti è bene ricordare che il Regolamento UE Privacy è in vigore dal 24 Maggio 2016 e la data di applicazione diretta del 25 Maggio 2018 è, appunto, funzionale all’iter di adeguamento che PA e imprese dovranno necessariamente intraprendere in questo periodo.

Tuttavia, ad oggi, la consapevolezza di dover procedere con questo percorso di compliance è ancora bassa e percepito come un ulteriore, nonché costoso, passaggio puramente burocratico, con il rischio concreto di arrivare a Maggio 2018 senza aver compiuto i necessari step normativi.

Regolamento UE Privacy: i principi di “privacy by default” e “privacy by design”

Per intenderci, non sarà possibile l’approccio già riscontrato per la messa a norma dei siti web con riferimento alla Cookies Policy, in quanto il Regolamento UE Privacy impone adempimenti strutturati e corposi, che richiedono tempi tecnici adeguati e variabili a seconda della complessità della realtà in cui si dovrà operare.
Il punto fondamentale consiste nel fatto che, a cambiare, è il concetto di fondo stesso: se oggi, per essere in regola, è sufficiente adempiere alla prescrizioni minime indicate dalla legge, il Regolamento UE Privacy introduce il principio di accountability, che ribalta completamente l’approccio attuale.
Secondo il Regolamento UE Privacy, infatti, le PA e le imprese avranno l’obbligo di dimostrare di aver adottato tutte le misure necessarie per garantire il rispetto della privacy e dovranno essere gli stessi soggetti ad individuare tali misure di sicurezza.
Questo significa che non si potrà prescindere da determinate attività propedeutiche alla costruzione del documento probatorio. In particolare, al fine di individuare gli interventi concreti da svolgere, bisognerà in primis effettuare un censimento dei trattamenti dei dati, anche in ottica di data retention, ossia la conservazione dei dati che dovranno essere pseudonimizzati e cancellati automaticamente al raggiungimento della finalità di ciascun trattamento: cd “privacy by default“.
Successivamente andrà disegnato il sistema di gestione dei dati – cd “privacy by design” – e sarà fondamentale l’aspetto IT connesso al trattamento dei dati.
Non meno importante sono il registro dei trattamenti, che sarà il documento che dovrà dimostrare di aver adottato tutte le misure necessarie, anche a seguito del calcolo del rischio di ogni trattamento, e la figura del DPO (Data Protection Officer o Responsabile della Protezione dei Dati), obbligatoria in alcune circostanze.
“Il principio di accountability ribalta completamente l’approccio”

Sanzioni elevate

In definitiva, quindi, risulta di primaria importanza intraprendere quanto prima l’iter di adeguamento alle norme previste dal Regolamento UE Privacy, per non farsi trovare impreparati il 25 Maggio 2018 e, di conseguenza, potenzialmente sanzionabili. Soprattutto se si considera quanto siano pesanti le sanzioni con possono arrivare ai valori massimi di Euro 20 milioni o del 4% del fatturato mondiale (tra le due, la sanzione più gravosa).