Il regolamento europeo che arriverà

Nella bozza di regolamento europeo sulla privacy che è al vaglio del consiglio europeo, esistono molteplici regole che andranno a modificare radicalmente il concetto di privacy e di protezione dati.

I più importanti secondo il nostro punto di vista sono:

– Regolamento unico e comunitario per tutti i paesi della UE (con grandi vantaggi per chi fa import-export quindi)

– Obbligo di “privacy impact assessment” (valutazioni preventive di impatto sulla tutela dei dati) in caso di trattamenti rischiosi

– Obbligo per le aziende con più di un certo numero di dipendenti (anche se il numero è in fase di revisione) e per gli enti pubblici di nominare un “data protection officer” (responsabile della protezione dei dati personali), che dovrà essere competente, indipendente e potrà anche essere esterno all’ente/impresa

– Diritto all’oblio, per cui ogni interessato potrà richiedere la rimozione di propri dati personali per motivi legittimi (per esempio, potremo chiedere di essere “dimenticati” on line)

-Previsione del concetto di “stabilimento principale” del titolare, per evitare che un’impresa attiva in più Stati UE debba fronteggiare gli adempimenti nazionali di ogni singolo Stato

–  Sanzioni molto più pesanti, fino al 2% del volume d’affari globale di un’impresa, per assicurare che la privacy inizi a diventare un tema sensibile anche per i consigli di amministrazione di grandi colossi multinazionali e amministrazioni pubbliche

– Introduzione del principio della cosiddetta “accountability“, per il quale ogni titolare, in caso di problemi o controlli, dovrà dimostrare nei fatti, al di là dei formalismi, di avere adottato i modelli organizzativi e le misure logiche, fisiche, elettroniche di sicurezza per proteggere i dati (Questo è il punto che in riteniamo essere davvero la grande novità, ovvero non pochi fogli giusto per mettersi al riparo dalla legge ma un vero e proprio schema di protezione dei dati con tutte le misure specifiche del caso)

– E, non per ultimo, l’obbligo di denuncia all’Autorità dei cd. “data breaches”, ovvero il dovere per i Titolari del trattamento di notificare senza ritardo, e quando possibile entro le 24 ore dall’avvenuta conoscenza, eventuali violazioni di dati sottoposti a trattamento in modo tale da contenerne i danni.

La carne al fuoco è veramente tanta, è un cambiamento radicale nel mondo della privacy e l’introduzione di figure come il Data Protection Officer (o semplicemente Privacy Officer) mette sul piatto delle aziende una possibilità concreta di sviluppare il proprio business in linea con il mercato europeo e soprattutto di mettere al riparo gli utenti dal lasciare i propri dati in giro su internet o in tutti quei luoghi di svago/lavoro dove le raccolte dati sono ormai all’ordine del giorno ma tutt’altro che regolamentate.

A nostro avviso l’affidamento esterno è la migliore soluzione disponibile al momento in quanto si andrà ad affidarsi a professionisti certificati che sgravino le aziende sia dai costi di formazione di un personale che sia a conoscenza 0 della materia, che non abbia sicuramente l’esperienza nel settore e che magari non abbia un supporto a 360° come un professionista può offrire (o come ad esempio possiamo fornire direttamente noi appoggiandosi a responsabili sulla sicurezza informatica e/o fornendo gli strumenti digitali e non, utili a esaudire la richiesta di diritto all’oblio per citare un caso concreto).

Molte nazioni si sono già indirizzate verso la scelta di affidarsi a consulenti esterni non a caso, in quanto la necessità di un regolamento chiaro è vista non tanto come il mero adempimento di una legge pena le sanzioni, ma come l’esigenza di fornire e creare un mercato sempre più sicuro, interattivo e trasparante in tutti i soggetti interessati.

Qui disponibile il pdf della legge in discussione al parlamento europeo Scarica e leggi

Aggiornamento del 15 febbraio 2013, questa pagina potrebbe essere obsoleta ed essere già stata redatta una nuova versione, cerca nel sito!