Correva l’anno 1996 quando per la prima volta in Italia il legislatore si è occupato di proteggere la persona dall’uso illegittimo delle informazioni individuali, nel frattempo molti anni sono trascorsi e l’evoluzione della tecnologia informatica nonché il ricorso sempre più frequente ai database ha imposto l’adozione di regole comportamentali sempre più stringenti il cui mancato rispetto espone a gravi rischi sanzionatori.

La costante evoluzione del binomio privacy e nuove tecnologie ha imposto all’Unione Europea l’adozione del Regolamento Generale sulla tutela dei dati personali che dal prossimo maggio 2018 imporrà le regole, uniche, per tutti i  trattamenti di dati realizzati nel territorio degli stati membri dell’Unione: GDPR è l’acronimo di General Data Protection Regulation ovvero il Regolamento (UE) n. 2016/679 emanato il 27 aprile 2016 che detta le regole per tutti i paesi dell’Unione Europea in materia di privacy. Tutti trattiamo i dati personali, che siano quelli dei nostri clienti, dei fornitori, dei dipendenti e la vera rivoluzione risiede nel fatto che fino ad oggi la privacy è stata costruita e percepita alla stregua di un adempimento mentre, con il nuovo Regolamento, diventa un vero e proprio processo aziendale che impone sin da ora la creazione di uno specifico modello di organizzazione.

Uno dei cardini del cambio di prospettiva imposto dal Regolamento sta nella responsabilizzazione (accountability) del titolare del trattamento: se in passato è stato richiesto di rispettare le norme attraverso l’attuazione di alcune misure minime, da maggio 2018 bisognerà dimostrare di avere individuato le diverse responsabilità all’interno dell’azienda, di aver verificato i rischi e le conseguenze di un determinato trattamento, di avere in definitiva creato un modello fatto di tecnica ed organizzazione tale da garantire la compliance dei trattamenti rispetto al tema sicurezza. Si utilizzano nuove definizioni, come privacy by design e privacy by default ove la prima sta ad indicare la necessità di pensare e progettare la tutela del dato personale sin dalla fase della raccolta e la seconda ci impone di prevenire la raccolta di dati non necessari e di evitarne l’acquisizione eccedente rispetto alla finalità dichiarata nell’informativa. Il titolare pertanto è chiamato a comportamenti sempre più attivi e preventivi, a pena di rilevantissime sanzioni: fino a 20 milioni di euro per i privati e le imprese non facenti parte di gruppi e fino al 4% del fatturato consolidato per i gruppi societari. Maggio 2018 è vicino e bisogna intervenire ora.
di Avv. Antonio Montanaro