Secursat e Il Privacy Officer

Gdpr 25 maggio 2018 - uno scenario in continuo cambiamento

Come è noto, il 25 maggio 2018 entrerà ufficialmente in vigore il GDPR (General Data Protection Regulation), il nuovo Regolamento Europeo 2016/679 in merito alla protezione dei dati personali che è diventato una tematica sempre più saliente soprattutto negli ultimi mesi. Il grande interesse sicuramente dipende dal fatto che sono i dati, il petrolio del nostro millennio, a costituire oggetto del regolamento che detta tassativamente una serie di disposizioni su come trattarli, come conservarli e come trasferirli, pena l’incorrere ad anche pesanti sanzioni amministrative.

Per questo Secursat ha deciso di inserire nel suo team di professionisti ed esperti della security un DPO (Data Protection Officer) certificato che possa aiutare l’azienda ed i suoi clienti ad affrontare uno scenario che cambia costantemente e molto in fretta, per capire quali sono le azioni necessarie per affrontare questo cambiamento a partire dall’analisi dei documenti e dei processi interni inerenti alla gestione dei dati personali. 

Quella del DPO o Privacy Officer è, e sarà, una figura molto importante soprattutto considerata la grande mole di informazioni e la confusione generale tra modifiche, integrazioni ed obblighi che chi, si occupa della tematica della Privacy, dovrà affrontare. A circa 20 giorni dall’effettiva operatività del nuovo regolamento, lo schema del decreto legislativo che reca le disposizioni per l’adeguamento della normativa italiana alle disposizioni europee subisce infatti alcune modifiche, introducendo delle novità che coinvolgono il codice della privacy (Dlgs 196/2003).

Certo è che bisognerà aspettare il nuovo codice nonché l’effettiva entrata in vigore del regolamento dell’unione, ma nel frattempo è possibile fare un po' di chiarezza comprendendo alcuni punti inerenti all’ultima bozza del decreto.

Abrogazioni 

• L’ allegato B del codice della Privacy “Disciplinare tecnico in materia di misure minime di sicurezza” viene abrogato, per cui il mancato rispetto di quanto previsto in precedenza non costituirà reato.

Nuovi illeciti

• Non è ancora possibile punire una stessa violazione sia con una sanzione amministrativa che con una penale, ma compaiono nuovi illeciti in una nuova sezione penale tra cui: l’acquisizione fraudolenta di dati personali e la comunicazione e diffusione illecita di dati riferibili a un ingente numero di persone. 

Illeciti pendenti 

• Per gli illeciti amministrativi che non sono ancora arrivati a conclusione nonostante il garante abbia emanato un’ordinanza di un ingiunzione al pagamento, il regolamento EU 2016/679 prevede una norma ad hoc in cui si stabilisce che sarà possibile, per chi lo desidera, saldare il conto pagando i due quinti del minimo edittale. 

Le sanzioni 

• Le norme di procedura italiane per le sanzioni amministrative previste dal regolamento UE rimangono quelle della legge 689/1981

• Per gli illeciti amministrativi sono previste due fasce di sanzioni. Tuttavia di queste sanzioni non vi è ancora predeterminazione del minimo o differenze sul piano edittale tra sanzioni lievi e gravi, ma il nuovo schema detta unicamente il tetto massimo a cui queste possono ammontare, ovvero 10 e 20 milioni di euro, rilasciando dunque in concreto al garante il potere di graduazione. 

La pubblica amministrazione, la sanità ed i defunti 

• Per il trattamento dei dati sensibili della  P.A  Si lascia ancora spazio ai regolamenti già adottati e aggiornati dai diversi enti pubblici, confermando dunque che la P.A non necessita della richiesta di consensi.

• Per i dati sanitari, il nuovo schema non prevede, a differenza di quanto fino ad oggi previsto, il consenso come presupposto per il trattamento, ma li regola con presupposti differenti.  

• Per i morti, la materia viene lasciata dall’Europa di decisione ai singoli stati, e l’Italia vuole la tutela dei dati mantenendo ferma la disposizione sulla disciplina dei dati riferiti a persone defunte.

I minori

• Il legislatore italiano alza la soglia minima necessaria per fornire il proprio consenso al trattamento dei dati personali a 16 anni, contro la precedente prevista per 14 anni. 

Nuove figure 

• Come ulteriore novità viene ufficializzata la possibilità di prevedere responsabili, diversi dai responsabili interni che non sono previsti dall’UE, per attribuire specifici compiti e funzioni. 

Alcuni cambiamenti che rendono la nuova bozza diversa da quella in circolazione fin ora, rendono sempre più evidente l’importanza di una figura, come quella del Privacy Officer, che potrà contribuire, grazie alla sua esperienza in merito di trattamento e tutela dei dati personali, certificata dall’ente esterno del Tuv, ad affrontare i rischi e le criticità che derivano da questa grande ondata di cambiamenti. L’obiettivo non è solo evitare le sanzioni amministrative che potrebbero derivare dal mancato rispetto del nuovo regolamento ma anche e soprattutto migliorare l’efficacia e l’efficienza del business attraverso azioni volte alla costruzione di un business etico. 

La Compliance a regole e normative nazionali ed internazionali in merito alle tematiche di Privacy e di tutela e gestione dei dati personali ma non solo, costituisce infatti fulcro del nuovo modello di Business di Secursat che si sta specializzando anche sulla tutela dei lavoratori e dei datori di lavoro, sulla mobilità internazionale e sulle tematiche di Travel Security, nella convinzione che la Sicurezza debba essere costruita a 360° intorno alle esigenze ed alle policy dei clienti.