Reminder sulla protezione dei dati personali: quello che le imprese devono sapere

La data del 25 maggio 2018 ha segnato una pietra miliare nella gestione della privacy con l'entrata in vigore del GDPR (General Data Protection Regulation). Ma perché l'esigenza di questa rivoluzione? Cos'è il GDPR e a cosa serve realmente? Lo abbiamo chiesto a Gianni Polizzi, CEO di PromoterGroup, azienda che si occupa di consulenza alle ditte impegnate nel settore dell'agroalimentare e della produzione ortofrutticola.

"Il nuovo regolamento UE 679/2016 - ha detto Polizzi - non è altro che l'evoluzione del sistema europeo della privacy, con cui si è cercato di uniformare le leggi sul trattamento dati e il nostro diritto di avere il pieno controllo delle informazioni che ci riguardano. L'esigenza di questa rivoluzione nasce dal fatto che non era stato chiaramente definito il sistema di protezione dei dati personali tra gli Stati membri dell'Unione europea e degli stessi Stati membri con quelli esterni, dovuto pure a una non chiara e definita circolazione di questi dati o tracciabilità degli stessi".

Tra le novità del GDPR, c'è quella dell'introduzione della figura del 'data Protection officer' in gergo chiamato più semplicemente DPO; introdotta e citata dall'art. 37 del nuovo regolamento. Questa figura deve essere nominata dal Titolare del trattamento, accertandosi che abbia una conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e la capacità di assolvere i compiti di cui all'art. 39 del suddetto Regolamento (UE). Si tratta certamente di un ruolo che richiede competenze trasversali, per le quali la sola formazione può non bastare e che necessita di un'esperienza diretta sul campo.

Gianni Polizzi

"La sua responsabilità principale - ha spiegato il CEO - è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali, e dunque la loro protezione, all'interno di un'azienda, sia essa pubblica o privata, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali".

A cosa devono fare attenzione in particolare le aziende, specialmente quelle medio piccole, impegnate esclusivamente nella produzione, e qual è il rischio per chi non si adegua?

"Il GDPR riguarda le aziende che gestiscono qualsiasi tipo di dato personale - ha proseguito il manager - dalle informazioni sui propri dipendenti alla profilatura dei clienti per conto terzi: il GDPR coinvolge tutte le aziende che trattano dati con anche solo un dipendente, il che si traduce nella manipolazione di informazioni che sono gestite dalle risorse umane. Molto più semplicemente, il GDPR riguarda tutte quelle aziende che trattano dati personali sensibili e non. Questi possono riguardare anche solo l'assunzione dei dipendenti, o una profilatura dei clienti per attività di marketing".

Se si viola il regolamento, scattano delle sanzioni. A seconda della gravità dell'infrazione, le multe sono divise in due scaglioni: fino a un massimo di 10 milioni di euro o, per le imprese, il 2% del fatturato (se superiore); oppure fino a un massimo di 20 milioni o il 4% del turnover, sempre per le aziende e sempre in rapporto al giro d'affari.

"La multa più leggera, si fa per dire, di 10 milioni o 2% turnover, conclude l'esperto - viene inflitta per la trasgressione di principi come la privacy by design (mancata protezione dei dati fin dalla progettazione) o la carenza di misure adatte a garantire un buon standard di sicurezza. Quella più pesante (20 milioni o 4% del turnover) arriva in caso di violazione dei principi fondamentali, come la negazione del diritto all'oblio o l'opacità nella richiesta di consenso dei dati".

Contatti:
PromoterGroup
P.le Clodio, 18
00185 Roma
Tel. +39 06 90236384
Via del Carrubo, sn
97019 Vittoria (RG)
Tel.: +39 0932 8626 13
Email: info@promotergroup.eu
Web: www.promotergroup.eu