La normativa Privacy è disciplinata dal Regolamento UE 679/2016, noto come “GDPR”, e dal D. Lgs. 101/2018, aventi ad oggetto la protezione dei dati personali dei cittadini residenti o domiciliati nel territorio dell’UE.
Il Regolamento individua:
- i diritti fondamentali delle persone fisiche;
- i metodi per garantire la conformità normativa, c.d. “mappatura” dei rischi;
- gli obblighi e le responsabilità delle figure coinvolte nel trattamento dei dati;
- le sanzioni previste nel caso di mancato adeguamento.
Il GDPR coinvolge tutte le organizzazioni che trattano dati personali, delineando responsabilità a carico del Titolare del trattamento e diritti a favore dell’Interessato. Oggetto delle violazioni sono i dati personali che rendono una persona fisica (“Interessato”) identificata o identificabile. Si parla di violazione della Privacy quando si “trattano” dati personali senza il consenso dell’interessato. Il Regolamento attribuisce centralità alla tutela dei dati personali con proporzionale inasprimento delle sanzioni in caso di violazione. L’obiettivo è di garantire che ogni trattamento di dati personali possa avvenire nel rispetto dei principi fissati dal Regolamento (tra cui rientrano la trasparenza, la limitazione della finalità, la minimizzazione dei dati, la sicurezza e il diritto all’oblio). Per trattamento si intende qualsiasi operazione sui dati personali, come la raccolta, la registrazione, la diffusione o la distruzione.
In un’epoca in continua evoluzione e digitalizzata come quella attuale, in cui i dati sono il nuovo “tesoro” e la loro sicurezza una priorità imprescindibile, proteggerli in modo adeguato non è solo una necessità ma anche un investimento per il successo a lungo termine. Per questo motivo, l’adeguamento al GDPR non è solo una questione di conformità normativa ma anche un’opportunità verso una riorganizzazione aziendale digitalizzata, trasparente e responsabile.
Le violazioni possono essere commesse non soltanto da soggetti terzi non autorizzati ma anche da soggetti che pur essendo autorizzati al trattamento, si rendono responsabili a causa del mancato adeguamento al GDPR. Le violazioni al GDPR possono essere accidentali o volontarie. Le più comuni sono:
- Accessi, copie e divulgazioni non autorizzate (es. spionaggio e furto dei dati personali da parte di soggetti non autorizzati);
- Trattamento illecito dei dati personali (es. quando l’utilizzo avviene per finalità non autorizzate);
- Mancanza di sicurezza, perdita e cancellazione di dati (es. quando i dati vengono trattati con misure di sicurezza insufficienti o inadeguate);
- Conservazione eccessiva (es. quando la conservazione dei dati personali avviene oltre il periodo necessario per le finalità per cui sono stati raccolti, ovvero senza una giustificazione valida).
Questi sono solo degli esempi di come le violazioni al GDPR possano derivare, tra l’altro, da pratiche aziendali scorrette e inadeguate, comportanti conseguenze legali, reputazionali ed economiche. Sottovalutare il tema della Privacy può rappresentare un costo in termini di sanzioni, oltre che un rischio per l’immagine e la reputazione aziendale.
La complessità delle sanzioni che possono essere inflitte sottolinea la necessità di una gestione dei dati personali diligente, continua e responsabile. Per mitigare i rischi connessi al mancato adeguamento al GDPR, il Regolamento impone ad organizzazioni e professionisti obblighi stringenti, tra cui:
- analisi dell’impresa e dei processi interni adottati (audit iniziale);
- creazione del registro dei trattamenti e predisposizione dell’informativa Privacy per i soggetti interessati;
- valutazione dei rischi e definizione delle politiche di sicurezza;
- nomina, ove necessario, di un Responsabile per la protezione dei dati (DPO, obbligatorio per le grandi aziende ex art. 37 GDPR);
- formazione e sensibilizzazione del personale in materia di protezione dei dati;
- individuazione dei ruoli e delle responsabilità dei soggetti coinvolti.
Conclusione
L’adeguamento al GDPR non deve essere interpretato come un obbligo legale ma come una opportunità verso un modello di business più etico, trasparente e sicuro. Se da un lato le aziende che dimostrano il proprio impegno nella protezione dei dati guadagnano una reputazione positiva nel mercato, dall’altro, il mancato adeguamento al GDPR, in caso di violazione, può rappresentare per l’azienda un danno irreparabile. Ecco, allora, che gestire i dati delle persone con rispetto e consapevolezza sarà sempre più un vantaggio competitivo e un indicatore di qualità.
Per una consulenza in merito siete invitati a contattare l’ufficio Ambiente al seguente numero 051.6487659 o tramite mail ambiente@ascom.bo.it
