È partito il conto alla rovescia per la data fatidica del 19 Maggio, che segna la fine del periodo di moratoria di otto mesi per l’applicazione della normativa europea sulla privacy General Data Protection Regulation, o GDPR. Cosa vuol dire fine della moratoria? In breve che da ora in poi si fa sul serio, nel senso che ci si aspetta la fine del periodo di tolleranza e l’inizio della stretta, cioè un’ondata di controlli a campione senza preavviso da parte delle autorità preposte all’attuazione della normativa. Non è consigliabile affrontare la questione superficialmente, perché la posta in gioco in questo caso è molto alta. Infatti chi non è in regola con il GDPR rischia sanzioni spaventose, che arrivano fino a 20 milioni di euro o al 4% dell’intero fatturato totale annuo, se maggiore di 20 milioni. Le regole sono molto precise e dettagliate e la loro applicazione richiede la massima serietà. Ricordiamo che è vietato il “legalese”, cioè le modalità del consenso devono essere presentate in linguaggio facilmente intelligibile dal soggetto titolare dei dati. Il Titolare del Trattamento ha l’obbligo di notificare entro 72 ore al Garante eventuali violazioni che possano configurare un rischio per i diritti e le libertà individuali degli interessati, che hanno inoltre diritto ad essere informati se e come i propri dati vengono utilizzati, a trasferirli a terzi, e a essere dimenticati, cioè a chiedere al Titolare di cancellare i dati, cessare di diffonderli e impedire a terze parti di processarli. Inoltre chi ha come core business attività che prevedano la gestione di dati personali su larga scala, monitoraggio regolare e sistematico, o trattamento su larga scala di dati sensibili ha l’obbligo di nominare un DPO (Data Protection Officer) con competenze specifiche sulle normative in materia di protezione dei dati. In particolare si richiede che il DPO abbia una competenza specialistica della normativa e delle prassi in materia di protezione dei dati. In altre parole, come precisato anche dal TAR Friuli Venezia Giulia che parla di “profilo eminentemente giuridico” viene richiesta al DPO una formazione giuridica.
È facile capire come è altamente sconsigliabile affidarsi a soluzioni improvvisate, come procedure di raccolta e archiviazione disorganizzate, responsabili del trattamento dati sommariamente selezionati tra risorse interne prive di competenze specializzate, e gli altri tipici errori di valutazione dei quali potremmo pentirci amaramente. Il GDPR impone la necessità imperativa di una gestione altamente professionale dei dati personali che oggi vengono trattati prevalentemente in digitale, perciò conviene rivolgersi a un soggetto esterno con competenze specializzate sia negli aspetti giuridici sia negli aspetti tecnici della delicatissima procedura. Oggi per fortuna è possibile rivolgersi fiduciosamente a esperti in materia di digitalizzazione a norma dei processi aziendali, pronti ad assistervi nell’adeguare la vostra amministrazione al severo GDPR, mettendovi al riparo dal rischio delle temute e onerose sanzioni.
di Maurizio Crescenzo
