La privacy, oggi, si chiama sempre più data protection. Questo è dovuto al fatto che il 25 maggio 2016 è entrato in vigore il Regolamento (Ue) 2016/679 (regolamento generale sulla protezione dei dati). Ci troviamo ad avere la coesistenza in Italia di due requisiti cogenti applicabili, nel periodo compreso tra maggio 2016 e maggio 2018: il dlgs 30 giugno 2003, n. 196 Codice in materia di protezione dati personali, aggiornato in base a ben 28 provvedimenti (leggi, dl, dlgs) e il Regolamento (Ue) 2016/679. Una domanda nasce spontanea: le aziende italiane preferiranno rimanere conformi alla vecchia normativa (piuttosto articolata) o passeranno direttamente al Regolamento unico Ue? A questa domanda hanno già risposto in coro le aziende presenti all’ Italian privacy day di Milano, lo scorso 27 maggio, si affretteranno ad effettuare il passaggio al nuovo Regolamento. Ciò premesso, al fine di contribuire alla corretta applicazione del Regolamento (Ue) 679/2016 (Gdpr) in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle grandi e delle micro, piccole e medie imprese, Federmanager Roma e Uniquality (Stakeholders) hanno elaborato un codice di condotta, che è lo standard di riferimento per la creazione di un Sistema di gestione della data protection. Perché un Sistema di gestione della data protection? Le aziende, di qualsiasi dimensione, sono abituate a ragionare in termini di Sistema (es. Sistema di gestione della Qualità, della sicurezza, della Sicurezza delle Informazioni), ed è oggettivamente risaputo che l’ applicazione di un sistema di gestione aiuta a soddisfare i requisiti cogenti applicabili. Gli stakeholders hanno creato un importante gruppo di lavoro, sin dal 2015, costituito dal Gruppo Dpo Federmanager Roma-Uniquality e dai rappresentanti dei consumatori/interessati Codacons, al fine di dettagliare i requisiti, estraendoli dal Gdpr, ed inserendoli all’ interno di un codice di condotta/standard, che consentisse alle Aziende un’ immediata implementazione dei nuovi requisiti cogenti. Il codice di condotta/standard che è stato l’ output del processo di condivisione degli Stakeholders, ha consentito l’ emissione del documento chiamato: Dpms 44001:2016© Data Protection management system, a fronte del quale è possibile fare attività di certificazione (art. 43 del Gdpr). Gli Stati membri e le autorità di controllo incoraggiano, in particolare a livello di Unione, l’ istituzione di meccanismi di certificazione della protezione dei dati, nonché di sigilli e marchi di protezione dei dati, allo scopo di dimostrare la conformità al Gdpr. Khc (Know how certification) ha elaborato un meccanismo di certificazione, che ha lo scopo di dimostrare, attraverso l’ attività di certificazione, la conformità al Gdpr dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento, che operano in conformità al codice di condotta Dpms 44001:2016©. Ma, a quali aziende si applica il Gdpr?, quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala. Questo significa che l’ asticella è stata abbassata di molto, coinvolgendo aziende, anche piccole. Le stime degli stakeholders (Cisal, Uniquality, Enbic, Embims e AiFes) parlano da 200-300 mila imprese coinvolte nell’ applicazione del Gdpr entro maggio 2018. La tipologia di aziende andrà dalle società di commercialisti e consulenti del lavoro che elaborano dati, ai call center, agli istituti di vigilanza, ai sindacati, alle aziende manifatturiere che gestiscono, oltre i dati dei clienti per marketing, anche i dati delle telecamere di videosorveglianza. La violazione delle disposizioni del Gdpr è soggetta a sanzioni amministrative pecuniarie (vedi art. 83) fino a 20.000.000 euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’ esercizio precedente. È da dire però che, al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ ammontare della stessa in ogni singolo caso, si tiene debito conto dell’ adesione dell’ azienda a codici di condotta o a meccanismi di certificazione (art. 83, p.2, lett. J). Troviamo quindi, una sorta di esimenza dalle sanzioni, se l’ azienda è certificata attraverso il meccanismo di certificazione. Ed è questa un’ importante novità per l’ impresa: avere un forte strumento, come quello della certificazione, per rispondere adeguatamente ai requisiti cogenti applicabili.
valeria bruno

Sezioni:
• Rassegna Stampa

Aree Tematiche:
• PRIVACY

Tags: data protection, privacy