Dati aziendali, dal 2018 il nuovo regolamento UE per i datori:
Il 25 maggio 2018 entrerà in vigore in tutta l’Unione Europea il nuovo Regolamento UE 2016 679 sulla protezione dei dati, compresi i dati aziendali e che avrà un notevole impatto soprattutto per i datori di lavoro.
Vediamo nel dettaglio cosa comporterà questa nuova gestione dei dati aziendali, grazie all’articolo pubblicato oggi (9.8.2017) dal Sole 24 Ore (Firma: Aldo Bottini; Titolo: “Dati aziendali sotto monitoraggio”) che vi proponiamo.
Ecco l’articolo.
In tutta l’Unione europea, il 25 maggio 2018 entrerà in vigore il regolamento europeo sulla protezione dei dati (general data protection regulation – Gdpr). È un cambiamento di notevole impatto, tanto formale (una legge unica, per tutti i cittadini dell’Unione, su un tema così delicato) quanto sostanziale. Cambia, infatti, il quadro normativo e con esso cambiano gli adempimenti richiesti ai titolari dei dati, compresi i datori di lavoro, le definizioni e le sanzioni per il mancato rispetto delle norme.
Ambito esteso
È utile partire da qui per rendere l’idea delle dimensioni del cambiamento: le sanzioni più pesanti arrivano a venti milioni di euro o al 4% annuo del fatturato mondiale di gruppo. Fino a oggi la privacy è stata, per gli imprenditori italiani e per il sistema, un concetto dai contorni incerti: sulla bocca di tutti ma con limitate applicazioni pratiche (e rischi). Il nuovo sistema europeo cambierà questa percezione, o almeno esige fin d’ora da tutti gli imprenditori l’esame dei propri processi e una preparazione per l’applicazione della nuova normativa.
L’ambito di applicazione del regolamento è molto ampio: comprende, infatti, tutti i trattamenti effettuati nell’Unione europea da un soggetto che ha la sede sul territorio (e fin qui, nulla di strano). L’applicazione, però, è espressamente estesa anche ai trattamenti effettuati fuori dal territorio da un soggetto che ha la sede all’interno, nonché ai trattamenti effettuati da soggetti non stabiliti nell’Unione ma relativi a offerte di beni, servizi o monitoraggi del comportamento che hanno come destinatari chi si trova nella Ue. In breve, il Gdpr è una norma generale e ramificata, e ogni trattamento di dati che ha a che fare con l’Ue ricade sotto la sua applicazione, nessuno escluso.
Questa (quasi) extra-territorialità della norma, di per sé peculiare, è coerente con il suo lungo iter di approvazione. L’attenzione dell’Unione per la privacy e i rischi connessi viene dall’enorme importanza che i dati, e la loro conservazione, hanno nel panorama economico contemporaneo. Non è più l’industria manifatturiera o la fornitura dei servizi a occupare il centro dei mercati: sono le società liquide che immagazzinano, ricevono e trattano dati personali; la new economy che ha oggi una dimensione necessariamente transnazionale se non, in alcuni casi, mondiale.
Dati e titolari
Le definizioni di dato e trattamento sono anch’esse ampie: «trattare un dato» significa compiere qualsiasi operazione o insieme di operazioni, con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione, mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione (articolo 4, del Gdpr). In pratica tutto.
L’ultimo passaggio necessario per presentare il Gdpr è capire chi sono i soggetti interessati dal cambiamento. La risposta è semplice: ogni ente, società, soggetto (compreso ogni datore di lavoro) che tratti dati. Di nuovo, in breve: tutti. Il problema è che, fino a oggi, il trattamento dei dati avveniva, per lo più, in modo inconsapevole, automatico. I dati venivano immagazzinati (nei server, negli archivi, nei sistemi gestionali, negli armadi elettronici o fisici degli uffici) e lasciati là, in eterno o quasi.
I titolari di dati non possono più permettersi una gestione di questo tipo. La nuova normativa impone una mappatura dei dati veritiera, costante ed effettiva. I titolari dovranno dare conto di quanti dati trattano, di come e di perché lo fanno e il trattamento dovrà avvenire limitando al minimo i rischi per la privacy. Di sicuro, il 25 maggio 2018, da molti punti di vista, è già arrivato; o almeno, dovrebbe esserlo per i molti titolari di dati attivi nel nostro Paese.