IL NUOVO REGOLAMENTO UE SULLA PRIVACY: SANZIONI FINO A € 20 MILIONI

IL NUOVO REGOLAMENTO UE SULLA PRIVACY: SANZIONI FINO A € 20 MILIONI

Il Regolamento Generale sulla Protezione dei Dati (GDPR), recentemente adottato dal Parlamento Europeo, prevede un alto livello di protezione dei dati personali dei cittadini europei. Il GDPR sarà direttamente applicabile in tutti gli Stati membri a partire dal 25 maggio 2018 e coinvolgerà le attività economiche di tutto il mondo che prevedono lo svolgimento di attività legate alle persone fisiche all’interno dell’UE.

Il nuovo regolamento è finalizzato a garantire ai cittadini europei un alto livello di controllo sull’uso dei propri dati personali nella moderna era digitale. Per dato personale si intende ogni informazione connessa ad una persona fisica identificata o identificabile.

MAGGIORI COMPITI E RESPONSABILITÀ

Con le nuove regole è richiesto un rafforzamento delle misure di sicurezza. Per garantire un’adeguata protezione dei dati personali andranno implementate misure tecniche e organizzative appropriate come misure informatiche, informative aziendali, audit interni dei trattamenti, formazione del personale etc. In molti casi delle attività di trattamento deve essere conservata specifica documentazione. Inoltre, le condizioni relative alla prestazione del consenso sono state rafforzate e il consenso tacito o mediante caselle pre-compilate non è più permesso. Alcune tipologie di violazioni dei dati personali devono essere immediatamente notificate al Garante della Privacy. Inoltre alcune organizzazioni saranno obbligate a nominare un data protection officer (PA, banche, assicurazioni, società di telecomunicazioni, ospedali, centri medici ecc.).

OGNI ATTIVITA’ ECONOMICA E’ COINVOLTA

Tutti dovranno essere consapevoli e preparati. La nuova normativa si applica a tutte le organizzazioni visto che tutte, in un modo o nell’altro, trattano necessariamente dei dati personali. Per trattamento si intende ogni operazione o attività che preveda l’uso di dati personali. Tra le attività tipiche di trattamento dati rientrano anche la gestione dei dati personali dei dipendenti/clienti, la ricezione delle candidature di lavoro, l'invio di newsletter, l'emissione di tessere fedeltà, la gestione di TVCC, la gestione di siti di e-commerce, l’uso aziendale dei social media, l'organizzazione di concorsi a premi, il mantenimento dei sistemi elettronici di accesso, ecc..

Anche le imprese di paesi terzi che offrono beni o servizi ai cittadini dell'UE o che effettuano il monitoraggio dei comportamenti di questi ultimo, se tali attività avvengono all'interno dell'UE, dovranno conformarsi al nuovo regolamento. Il fatto che alcuni beni o servizi siano resi accessibili ai cittadini EU attraverso un sito extra EU non esenta dal rispetto della normativa. Il monitoraggio del comportamento, in particolare, comprende il tracciamento delle persone fisiche su Internet ai fini della profilazione, dell'analisi o della previsione delle preferenze o delle attitudini personali.

Le cosiddette clausole di flessibilità del GDPR consentono a ciascuno Stato membro dell'UE di emanare atti e normative nazionali in specifici settori della protezione dei dati. Austria e Germania hanno già emanate le proprie normative nazionali di recepimento, mentre negli altri paesi della nostra alleanza tali normative devono essere ancora emanate.

L'INOSSERVANZA NON È’ UN' OPZIONE

Ogni organizzazione che non sarà adeguatamente preparata e che non si sarà conformata al nuovo regolamento dopo il 25 maggio 2018, potrebbe essere esposta a pesanti multe e potenziali gravi controversie. Ai sensi della nuova legge, potranno essere inflitte sanzioni pecuniarie fino a 20 milioni di EURO, o pari al 4% del fatturato annuo globale dell'esercizio finanziario precedente. Le Autorità nazionali preposte alla protezione dei dati dovrebbero intensificare le loro attività e allineare le prassi al fine di imporre sanzioni a tassi armonizzati per violazioni analoghe in tutta l'UE. Le persone fisiche potranno chiedere il risarcimento dei danni e i Tribunali saranno tenuti a pronunciare sentenze a cifre più elevate.

Con multe così severe, la minaccia di azioni legali per violazioni e il rischio di Danni reputazionali, le organizzazioni semplicemente non possono permettersi di non rispettare il GDPR.

In caso di domande, non esitate a contattare il nostro ufficio.