La Ue corre ai ripari sul fronte della protezione dei dati personali e sfodera il Gdpr, che sta per General Data Protection Regulation, ossia il Regolamento europeo Ue 2016/679 che diventerà pienamente efficace in tutti i Paesi membri il prossimo 25 maggio e che apporterà importarti modifiche alla disciplina del trattamento dei dati sensibili. In sostanza, il nuovo regolamento introduce il principio di “responsabilizzazione” di un Facebook o di un Amazon, per capirci. Insomma, sarà il titolare dell’attività commerciale, che tenuto conto del contesto, della natura dei dati e dei rischi che comporterebbe un’eventuale non protezione, ad organizzare la propria azienda in modo da assicurare un livello di sicurezza che rispetti la normativa vigente. E comunque dovrà saper giustificare la scelta del livello di protezione adottato e risponderne in caso di violazione dei dati. Responsabilizzare significa pertanto fornire gli strumenti necessari per far comprendere a pieno gli adempimenti da osservare.
Ma per fare questo è necessario in primo luogo far sì che le norme da applicare siano ben chiare, al fine di permettere di capire quali siano di volta in volta i singoli adempimenti concretamente imposti dal Regolamento. Perché, come si dice, la legge non ammette ignoranza. Insomma, al di là dei tecnicismi e dei cavilli delle nuove norme, l‘operazione della Ue punta, da un lato, a fare cassa con l’enorme quantità di multe che fioccheranno ovunque; dall’altro a creare un indotto, con nuove figure professionali, aziende di consulenza e simili. Per esempio, le aziende con oltre 250 dipendenti sono obbligate ad assumere un Dpo, ossia il Data protection officer. Ma attenzione, il Dpo non può essere una di queste figure dell’azienda – Amministratore Delegato, Direttore Finanziario, Direttore Sanitario, Responsabile Marketing, Responsabile HR, Responsabile IT. Altro elemento interessante: il controllo del rispetto del regolamento non comporta che il Dpo sia personalmente responsabile in caso di inosservanza.
Il Gdpr chiarisce che il rispetto delle norme in materia di protezione dei dati fa parte della responsabilità d’impresa del titolare del trattamento, non del Dpo. Tuttavia, in caso di inadempimenti derivanti da colpa o dolo del Dpo, il titolare potrà avanzare pretese risarcitorie a titolo di responsabilità contrattuale. Questo significa che non basta dotarsi di un Dpo per essere a posto. Si va verso una privacy 2.0, diciamo, e la nuova normativa obbligherà tutti a seguire un trattamento dei dati certificato dall’inizio alla fine. Questo significa che al di là delle sanzioni – fino a dieci milioni di euro o fino a venti milioni di euro a seconda della gravità della violazione – le aziende più forti sul mercato per dimensioni e disponibilità economica avranno più facilmente modo di rispettare le norme, i pesci piccoli invece avranno più difficoltà a proteggere i dati in questione. Lo scenario che si profilerà sarà quindi quello di dati super segreti e super protetti da un lato, e privacy violata dall’altro. Con la differenza che gli strumenti necessari per mettere in totale sicurezza i dati potranno essere utilizzati per violare banche dati poco protette.
(Fonte: ilprimatonazionale.it)