GDPR: piena applicazione dal 19 Maggio 2019
Innovazione Digitale:investimenti in crescita per gli avvocati
27 maggio 2019
Analisi 2019 sulle StartUp Legal Tech
26 giugno 2019GDPR: piena applicazione dal 19 Maggio 2019
Il 19 maggio 2019 è scaduto il periodo di prima applicazione del Regolamento UE 2016/79 (GDPR), in cui il legislatore aveva previsto un periodo di tolleranza circa l’applicabilità delle sanzioni previste dalla normativa.
In realtà il gdpr è applicabile in ogni sua disposizione dal 25 Maggio 2018, tuttavia l’autorità di controllo aveva previsto un periodo di transizione in cui l’applicazione dello stesso avrebbe inciso in maniera graduale sulle entità delle sanzioni.
In effetti i Garanti Privacy dell’Unione Europea hanno già comminato multe in vari Paesi tra cui Francia, Austria, Germania, Portogallo, Polonia ed Italia (caso della piattaforma Rosseau). Tra queste prime sanzioni, solamente quella inflitta dal Garante per la tutela dei dati personali francese a Google può dirsi eccezionale, sia perché di importo in assoluto più alto (50 milioni di euro) sia perché di particolare risalto mediatico (basti pensare che il destinatario della stessa è il colosso del web di origine californiana). Dal 19 maggio 2019 invece alcuno sconto sarà auspicabile in termini di quantificazione della sanzione amministrativa irrogabile. Conviene quindi che ci si adegui in maniera precisa e puntuale alla legge in merito.
Per farlo è importante, prima di tutto, capire le categorie di dati che sono oggetto di tale trattamento quindi i dati personali e in linea generale bisogna tener conto che per dato personale si intende: “qualsiasi informazione riguardante una persona fisica identifica o identificabile”, tenendo ben presente che l’informazione riferibile ad una persona fisica può avere diversi gradi di sensibilità.
Non basta del resto essere consapevoli della natura dei dati trattati, bensì anche del “perché” questi dati sono utilizzati e la loro finalità di utilizzo.
In particolare uno dei primi aspetti che deve essere preso in considerazione da parte del Titolare è quello relativo alla obbligatorietà o comunque all’opportunità di nominare un Responsabile della protezione dei dati personali. Il responsabile della protezione dati personali o RDP è un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo. Coopera con l’Autorità e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali. È necessario individuare l’esatta ubicazione del dato da proteggere.
Il principio cardine attorno al quale si regge tutta la ratio della legge e della sua applicabilità resta L’art. 24 co. 1 c.d. principio di accountability, e statuisce che “Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”.
A questo punto è indispensabile assolutamente mappare i propri processi interni e i relativi rischi, compilare in maniera precisa e puntuale i Registri di trattamento questo è certamente una base di sicurezza indispensabile che permetterà di interagire con l’autorità di controllo in maniera collaborative e serena, senza farsi trovare in alcun modo impreparati rispetto alla conoscenza e all’applicazione della legge.
(Fonti :Altalex, Marco Martorana e Valentina Brecevich, Lucia Tortoreti)
