Protezione dei dati personali. Il testo del regolamento UE è definitivo: cosa fare ora? Convegno il 29/01/16

di | 11 January 2016

Con l’approvazione nel mese di dicembre da parte della competente commissione del Parlamento Europeo, si è, di fatto, conclusa la fase di negoziazione fra Parlamento, Consiglio e Commissione UE (il cosiddetto trilogo) ed è stato definito il testo finale del nuovo Regolamento Europeo sulla Protezione dei Dati Personali.

Mancano solo i passaggi formali che verosimilmente porteranno alla pubblicazione in Gazzetta Ufficiale entro il primo trimestre 2016 o poco dopo.

Il testo approvato introduce molti elementi di novità rispetto alla legislazione vigente che, comunque, per quanto non incluso nel Regolamento rimane in vigore.

Il convegno che Europrivacy.info organizza il 29 gennaio 2016 ha l’obiettivo di iniziare ad analizzare le più importanti fra queste, particolarmente in relazione agli aspetti di sicurezza e di gestione dell’infrastruttura tecnologica delle aziende titolari dei trattamenti.

Il testo approvato concede due anni, dalla data della entrata in vigore, perché le aziende possano predisporre quanto necessario per essere conformi: un tempo lungo, perché preoccuparsene ora?

Abbiamo dato vita ad Europrivacy.info perché riteniamo che ci siano buone ragioni per muoversi subito ed alcune caratteristiche di fondo della nuova normativa ci hanno confermato che questo approccio è quello giusto. Tra queste, principalmente le seguenti:

  • L’approccio seguito dal legislatore impone interventi che toccano a fondo l’organizzazione aziendale: gli aspetti tecnologici sono solo l’ultimo, essenziale anello di una catena di cambiamenti che incidono su più livelli dell’organizzazione aziendale. Tutto questo richiede tempo.
  • L’obbligo di documentare le misure adottate, di rivedere periodicamente la loro effettiva applicazione e di tracciare le operazioni svolte è una costante che attraversa l’intero testo. La responsabilità del titolare relativamente alla compliance inizierà effettivamente allo scadere dei 24 mesi e dovrà essere dimostrabile a partire da quella data, anche a fronte di eventi o di controlli che avvenissero o fossero scoperti molto tempo dopo.
  • Le multe previste sono molto rilevanti, potendo raggiungere il 4% del fatturato globale dell’azienda ed il profilo di responsabilità delle diverse figure individuate dalla normativa non esclude l’eventualità ulteriore di cause civili che coinvolgano anche un numero rilevantissimo di soggetti con un impatto significativo sia economico che di immagine.
  • La possibilità di certificare la conformità, di avere riconosciuta attraverso un marchio l’attenzione dell’azienda alla tutela dei dati personali può diventare un importante elemento differenziante nei rapporti con i consumatori.

Proteggere i dati personali dei dipendenti, dei business partner e dei consumatori è solo una delle motivazioni della urgente necessità di costruire una organizzazione sicura e controllata, in grado di affrontare i rischi connessi alla trasformazione digitale delle relazioni sociali ed economiche: simili motivazioni riguardano anche la protezione della proprietà intellettuale e di tutte le informazioni riservate o segrete che costituiscono il know how aziendale e la capacità stessa dell’azienda di sfruttare le potenzialità del digitale.

Più che dei tempi di entrata in vigore del regolamento, l’urgenza di intervenire è figlia della estrema velocità della evoluzione della tecnologia, dei nuovi comportamenti che continuamente genera e delle opportunità di business che ne derivano e dei rischi sempre nuovi che si presentano di conseguenza.

L’impianto del regolamento riflette l’impostazione delle principali best practices di gestione della sicurezza e di controllo aziendale e di molte normative già in vigore. Ogni investimento effettuato per perseguire la conformità al Regolamento non mancherà di avere positive ricadute in altri ambiti assai rilevanti per il futuro dell’azienda.

L’urgenza di intervenire è, dunque, più un‘esigenza di business che l’obbligo burocratico di essere conformi ad un Regolamento UE.

Per tutte queste ragioni, Europrivacy.info ha ritenuto di non lasciare passare tempo per aprire il dibattito ed iniziare un confronto aperto che il 29 gennaio avrà il suo primo momento pubblico.

Un pensiero su “Protezione dei dati personali. Il testo del regolamento UE è definitivo: cosa fare ora? Convegno il 29/01/16

  1. paolo calvi

    Within the EUROPRIVACY #Ready4EUDataP workshop, dedicated to the practical consequences of the new EU General Data Protection Regulation, I found particularly interesting the topic concerning the role of the Data Protection Officer, discussed in the speech of Biagio Lammoglia with Fabio Guasconi. Various aspects have been taken into consideration:
    DESIGNATION (art. 35 of the GDPR) – mandatory for public entities, conditioned by the presence of certain circumstances for private companies: systematic personal data process as core business (someone said BIG DATA?) or sensitive/judicial data large scale process. It will be crucial to see the translation of the terms used and what will be their interpretation in order to define the perimeter of the companies “forced” to appoint the DPO.
    POSITION (Art. 36) – the role will have to be characterized by cross-disciplinarity, adequate financial resources, autonomy, protection, higher hierarchical level and absence of conflict of interest with any other roles of the same person. In my opinion such a configuration makes it extremely onerous to locate this position within the company. Consulting firms can therefore legitimately expect that the majority of companies, small and medium-sized at least, will prefer to rely on an external DPO?
    TASKS (art.37) – The DPO appears to be vested with the responsibility of raising awareness (information and advice), control (supervise compliance, liability, training and auditing), strategic support (help PIA and risk assessment) and representation (in front of the DP Authority): all of these tasks are far from operating activities; it would then appear that the role of the DPO, as outlined by GDPR, takes the form of an eminently “oversight” professional (albeit apart from the Internal Audit), very different from those who have the responsibility to “implement” privacy.
    It could therefore seem necessary to duplicate the positions: a DPO (as described above) and a distinct position, which could be called PRIVACY OFFICER, invested with all operational activities. It is clear that many companies will not like this redundancy, but it is hard to think that they can appoint only an oversight function (and then who does what has to be done?), or that the person can also assume operational duties (in that way he would control himself). Once again, one would think that the Privacy Officer is appropriately placed within the company, while the DPO would better be hired externally. But this may be an opinion overly influenced by the expectations of external consultants (which I happen to be…).
    It will be interesting to follow how this matter will be discussed in Italy in the context of the UNINFO E14D00036 project, which has the task of issuing a UNI specification for the Professionals of Privacy, according to the 4/2013 law on non-organized professions and using the EU “e- CF” scheme (e-competence framework).

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.