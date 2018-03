Rubrica legale: GDPR – Il nuovo regolamento sta spaventando gli imprenditori europei

Pensate di esser pronti?

Svolgendo le nostre attività di legali internazionali, spesso, nell’ultimo periodo, molti imprenditori ci rivolgono domande in relazione alla nuova regolazione sulla protezione dei dati personali.

È possibile per la società ricevere una sanzione pecuniaria a causa dell’inosservanza delle previsioni del nuovo regolamento europeo sulla protezione dei dati personali?

Quali azioni la società deve porre in essere e di cosa deve dotarsi per essere pronta? Il regolamento è solo un nuovo strumento burocratico per complicare l’attività di business? È possibile che l’errore di un mio dipendente possa tradursi in grandi difficoltà per l’intera società?

Il seguente esempio può rispondere ad entrambe le domande:

Immaginate di chiedere alla vostra assistente di inviare l’elenco dei debitori di un progetto allo studio legale, ma lei, per sbaglio, lo invia ad un vostro cliente. Dalla data di entrata in vigore del regolamento, in una circostanza del genere, la società sarà obbligata ad informare senza ulteriore ritardo, l’organo competente (Ufficio della protezione dei dati personali). Sanzione? Tenendo conto della tenuità della violazione, in questo caso probabilmente non ne verrebbe imposta alcuna, ma riteniamo utile sottolineare come si rendano necessari per la società, numerosi nuovi adempimenti.

Utilizzando l’esempio come spunto, possiamo constatare che la portata dei cambiamenti e la rilevanza delle sanzioni in caso di inosservanza delle disposizioni del GDPR pone il tema della protezione dei dati personali nel primario interesse degli organi di alta dirigenza delle società.

La risposta alle due domande citate in apertura è sicuramente “Sì” – non sarà più possibile soddisfare i requisiti richiesti dalla nuova regolamentazione mediante un semplice progetto di sicurezza archiviato tra i documenti della società. Il regolamento della UE n. 2016/679 introduce numerosi obblighi per le società e la loro osservanza è garantita dalla minaccia di sanzioni pecuniarie. Come se non bastasse la Repubblica Slovacca, nonostante la diretta applicazione del regolamento della UE ha introdotto anche una nuova legge nazionale relativa alla tutela dei dati personali.

Vista l’importanza della questione è necessario spiegare bene come il nuovo regolamento si applichi non solo alle grandi aziende che fanno del trattamento dei dati personali l’oggetto del loro business, ma si applica quasi a tutte le aziende registrate nell’UE o che svolgono la propria attività in territorio europeo..

GDPR – Regolamento della UE e nuova Legge nazionale

GDPR (General Data Protection Regulation) è regolamento che introduce nuove regole nel settore della tutela dei dati personali immediatamente efficaci in tutti i paesi membri dell’UE. Siccome il trattamento dei dati personali è ormai parte integrata della quotidianità aziendale, riteniamo che ogni imprenditore dovrebbe prestare attenzione al regolamento in questione. Qui è necessario sottolineare il carattere di autoapplicatività (self – executing) delle norme introdotte tramite regolamento da parte dell’Unione Europea, norme che non necessitano di adattamento da parte delle fonti legislative nazionali e che pertanto dal momento della loro entrata in vigore, dispiegano immediatamente i loro effetti.

Nel territorio della Repubblica Slovacca, contemporaneamente, è già stata pubblicata la legge n. 18/2018 GU sulla tutela dei dati personali che sostituisce la normativa attuale ed allinea la legislazione nazionale con Il Regolamento UE. La legge rispecchia le regole adottate nel GDPR e contemporaneamente ne fornisce uno specifico approfondimento.

Entrambi gli strumenti legislativi entreranno in vigore il 25/05/2018.

Breve introduzione del GDPR – Regolamento (UE) 2016/679

Dato personale – (solo Nome, Cognome e data di nascita? Non più!)

Tenendo conto dello stato della attuale informatizzazione delle società in cui i dati personali vengono trattati in numerose circostanze, è necessario sottolineare come i dati personali siano considerati alla stregua di informazioni molto preziose, meritevoli pertanto di una tutela del alto livello (marketing comportamentale; trattamento dei Big Data…). La gamma tradizionale dei dati personali viene ampliata soprattutto con le informazioni di natura puramente tecnica come l’indirizzo IP o i cookie… In generale è considerato dato personale qualsiasi informazione riguardante una persona fisica in base alla quale la persona può essere identificata, direttamente o indirettamente.

Ambito di applicazione – GDPR si applica sia alle società internazionali che alla pasticceria

La diretta applicazione del regolamento rispecchia lo scopo principale della GDPR e cioè l’unificazione delle procedure della tutela dei dati personali in tutta la UE. Il testo del regolamento, relativamente alle società tenute alla sua applicazione prevede solo pochissime eccezioni, lasciando evincere il profondo intento unificatore della disciplina in tutti i settori di business. Considerando che il trattamento dei dati personali ben possa avvenire anche in società con uno solo dipendente è facile constatare come il regolamento si applichi alle società internazionali ed alla pasticceria di periferia.

È necessario sottolineare che le disposizioni del GDPR, non si applicano solo agli imprenditori che effettuano il trattamento dei dati personali nell’ambito delle proprie attività nell’Unione ma anche a quelli con sede fuori dell’Unione, ma che effettuano il trattamento dei dati personali di soggetti che risiedono od operano al suo interno.

Perché è importante anticipare gli adempimenti relativa alla nuova regolazione?

Il GDPR sarà applicabile a decorrere dal 25/05/2018. Entro questa data tutti gli imprenditori (sia titolari del trattamento che responsabili del trattamento) devono rivedere le proprie procedure di trattamento e gestione dei dati personali. La fonte regolamentare introduce obblighi specifici relativi ai diversi settori imprenditoriali, ancorati alla quantità ed alla sensibilità dei dati trattati; ciò significa che sia l’ampiezza, sia la profondità dell’aggiornamento delle procedure interne, saranno assolutamente individualizzate, tenendo conto dell’oggetto dell’attività imprenditoriale dei titolari o responsabili del trattamento dei dati.

Quali sono i cambiamenti più importanti? Come funziona il sistema sanzionatorio?

In cosa consistono i processi per assicurare la tutela dei dati ed evitare le eventuali difficoltà?

Connessione tra la Responsabilità penale delle persone giuridiche e GDPR.

Per tutti coloro che sono interessati ad un approfondimento della questione in oggetto, nei prossimi articoli descriveremo le modifiche più importanti, segnalando eventuali rischi da prevedere e fornendo le risposte ad altre domande inevitabilmente generate dal varo della nuova disciplina.

Mgr. Juraj Krásny