LA PRIVACY 2.0 RIDISEGNA L’ORGANIZZAZIONE AZIENDALE
Regole e sistemi interni da adeguare entro maggio 2018.

Nel 2018 decorrerà la nuova normativa europea sulla protezione dei dati personali, imporrà alle aziende di adeguare policy e organizzazione interna, sin d’ora, per non arrivare impreparate al scadenza del 25 Maggio, quando sarà operativo in tutta l’Unione il Regolamento generale per la protezione dei dati (Gdpr. regolam. Ue 2016/679).
Da quel momento, di fatto, la normativa europea sostituirà quella interna ora in vigore; il Gdpr sostituirà il nostro Codice Privacy, in forza dal 2003, e con essa verrà disciplinato in modo uniforme il trattamento dei dati tra i vari paesi membri.
L’Unione ha attenzionato il sistema della protezione dei dati in seguito alla evoluzione tecnologica che ha completamente innovato il mondo economico e imprenditoriale con i social media e le gig – economy che generano fatturati che si avvalgono della gestione dei dati piuttosto che della produzione o dei servizi.
Siamo nella quarta rivoluzione industriale dove i dati costituiscono metaforicamente il ‘greggio del nuovo millennio’.
L’Unione, rivestendo un ruolo centrale in questo nuovo contesto imprenditoriale, rinnova il concetto “della privacy”, da tempo dominante nell’imprenditoria e in tutti gli altri settori, ma confinato in formule teoriche e tutele effimere, recepito più come onere formale che come requisito sostanziale degli utenti.
Il legislatore europeo per la fluidità della materia in evoluzione ha inasprito il sistema sanzionatorio, con multe che possono arrivare nel massimo all’importo maggiore tra il 4% del fatturato mondiale di gruppo e 20 milioni di euro.
In secondo luogo, ha deciso di introdurre nuovi principi sconosciuti alla precedente legislazione, elaborando e specificando quelli già in essere.
Nascono alcune nuove obbligazioni:
– la tenuta-obbligatoria per le aziende che impieghino più di 250 dipendenti, ma consigliata in ogni caso dal nostro Garante- del registro per le attività di trattamento;
– nuove procedure come la notifica dei cosiddetti data breach o violazione dei dati;
– nuove figure come il Responsabile per la protezione dei dati.
Il tutto perfettamente in linea con il nostro già consolidato modello organizzativo del D. Lgs. 231/2001.
Il Gdpr sarà, da Maggio 2018, la normativa europea per la tutela dei dati personali.
Sarà coniato anche il nuovo vocabolario della privacy, con concetti e termini inediti:
la privacy by design e by default, la previsione, in sostanza, che ogni sistema di trattamento dei dati, soprattutto in riferimento ai sistemi elettronici, sia progettato sin dall’origine in rispetto della normativa, preveda specifiche tecniche che tutelino da violazioni con impostazioni predefinite.
Il sistema, altra novità, è retto idealmente dal concetto di accountability, ossia dalla responsabilizzazione: una sorta di clausola di chiusura per il sistema, un codice etico tipico del nostro modello organizzativo.
Non ci sarà più un catalogo di misure minime da adottare per la tutela dei dati che possano garantire il titolare da sanzioni e imprevisti. I titolari dovranno porre in essere tutte le misure tecniche e organizzative che di volta in volta saranno in linea alle innovazioni tecnologiche, a garantire la tutela dei diritti degli interessati. Ogni titolare sarà responsabile dei propri sistemi e della loro tenuta di fronte a possibili violazioni o incidenti.
Una vera rivoluzione/innovazione:
la privacy alla base dei processi aziendali in evoluzione, e i diritti dell’utente alla base della disciplina della privacy.
Ci si interroga su quali siano i processi aziendali che coinvolgono dati personali e chi siano gli utenti destinatari delle nuove tutele.
La risposta è pronta soluzione:
tutti i processi aziendali coinvolgono dati personali;
gli utenti del sistema sono tutti i soggetti che hanno a che fare con le società: clienti, fornitori, visitatori, del sito internet e, ovviamente, dipendenti.
Come già in materia di sicurezza sul lavoro, va prevista una formazione specifica efficace, che andrà anche debitamente documentata e inserita nei documenti e nei processi sulla privacy interni.
La formazione andrà poi ripetuta, e soprattutto, aggiornata secondo i cambiamenti dell’attività e del tipo di dati trattati.