Il GDPR, entrato in vigore il 25 Maggio 2018, è un regolamento che cambia in modo epocale come le aziende vedono la gestione dei dati personali.

Il GDPR si rivela un vero e proprio sistema di gestione della qualità, introducendo per la prima volta la necessità della valutazione dei rischi durante tutte le fasi attive, delineando obblighi e responsabilità in capo alle aziende nel rapporto azienda-clienti e azienda-dipendenti, lasciando libera azione alle organizzazioni purché siano sempre mantenuti al primo posto i principi base del regolamento.

Accanto al GDPR vive ancora tutta la parte di normativa nazionale, con i provvedimenti, i codici deontologici e tutte le prescrizioni che i decreti di recepimento hanno lasciato attivi.

Perché le aziende devono adeguarsi alle prescrizioni del GDPR? Tralasciando le sanzioni di natura economica decisamente più elevata rispetto al passato, un’azienda conforme riesce ad avere notevoli vantaggi strutturali: procedure in ambito di trattamento dati personali ben definite, maggiore attrattiva per gli stakeholders, gestione degli eventuali incidenti pianificata, miglioramento continuo.

Quali sono le maggiori novità introdotte dal GDPR?

Il GDPR ha introdotto nuovi principi (accountability, privacy by default, privacy by design), nuove figure (il DPO o responsabile della protezione dei dati), nuovi modi di gestire i dati personali per tutti quei soggetti non abituati a lavorare all’interno di sistemi di gestione.

Risulta fondamentale effettuare una prima analisi generale che possa evidenziare lacune e non conformità aziendali sia interne sia di contesto: possono esistere non conformità gravi da sanare (casi peggiori) o situazioni che invece sono corrette sostanzialmente ma che necessitano solo di un adeguamento formale.

Il DPO è obbligatorio?

Non sempre. Il DPO è obbligatorio per l’amministrazione pubblica e in tutti quei casi in cui si trattino dati particolari su larga scala o si faccia uso di nuove tecnologie (e in questo caso sono necessari anche ulteriori adempimenti formali).

Il DPO può in ogni caso essere nominato da qualsiasi azienda che ritiene di integrare all’interno del proprio organigramma una figura formata e competente in materia di protezione di dati personali che la supporti nell’ambito della gestione delle procedure e per la formazione dei dipendenti. Il DPO in ogni caso dovrebbe avere carattere di non conflittualità con altre cariche all’interno dell’organigramma (per non vigilare sul suo stesso operato) oltre ad avere esperienza e formazione specifica nel settore.

I vantaggi del DPO sono indubbiamente: rapporto diretto con l’autorità in caso di necessità, formazione specifica per il ruolo, indipendenza nell’ambito delle sue funzioni di controllo e garanzia.

L’attività di consulenza, come si svolge

L’attività di consulenza può essere svolta sia una tantum che con contratto di assistenza. La forma più richiesta è quella di contratto di assistenza, in quanto si ha la garanzia di un’adeguamento iniziale e di una attività di sorveglianza proporzionata a quella che è la propria realtà aziendale. I vantaggi del contratto di consulenza è che durante il periodo di attività, ogni volta che ci sarà una novità o una variazione, il cliente verrà prontamente informato per mettere in atto quelle azioni necessarie a restare conformi alle richieste di legge, quindi ad evitare possibili sanzioni e aggiornare il proprio workflow aziendale. Inoltre, il contratto dà la possibilità di ricevere supporto sia telefonico che mail in modo da ricevere supporto in caso di avvio di nuove attività o problematiche che possono sorgere nell’ambito lavorativo.

Formazione

Capitolo importante viene dedicato alla formazione: la formazione può essere erogata in più modalità, anche in questo caso dipende sempre dalla dimensione delle realtà e dalle attività svolte. Possono essere effettuate attività di lezione in aula con il personale dipendente in attività non particolarmente a rischio; possono essere effettuate attività di lezione con test finale come evidenza per le realtà che necessitano di evidenze; possono essere fatte attività di confronto diretto a supporto di disciplinari interni rilasciati dalla direzione. Ogni attività può essere considerata adeguata purché valutata in base a quello che l’organizzazione svolge e agli strumenti a disposizione.

Videosorveglianza

La videosorveglianza rimane immutata nei principi che la regolavano anche prima del GDPR: per la ripresa dei lavoratori sarà necessario eseguire i passi che ne tutelino le libertà fondamentali come disciplinate dallo statuto del lavoratori, seguendo le procedure previste sia in caso di presenza di sindacati sia dove questi non siano presenti.

Sanzioni

In ultima analisi valutiamo le sanzioni introdotte nella nuova normativa.

L’art. 83 del GDPR distingue due gruppi di sanzioni amministrative: nel primo gruppo rientrano le violazioni cosiddette di minore gravità, per le quali sono previste le sanzioni amministrative pecuniarie di  importi fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente.

Il secondo gruppo di sanzioni, più pesanti in considerazione della maggiore gravità delle fattispecie a cui sono ricondotte, ammontano fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

In ogni caso, si dovranno valutare in sede sanzionatoria, oltre alla gravità rilevata, anche in che modo l’azienda aveva strutturato il proprio adeguamento o, nel caso peggiore, se l’azienda aveva totalmente ignorato le prescrizioni normative. In ogni caso, è importante distinguere come l’adeguamento deve essere sostanziale e non solo formale e che la nomina del DPO (acquisita spesso da soggetti totalmente privi dei requisiti oggettivi necessari per poter aspirare al ruolo) non garantisce automaticamente la compliance con le richieste di legge.