Privacy. Tempo scaduto
Non è inopportuno ricordare alle aziende che la nuova legge sulla privacy, entrata in vigore lo scorso 25 maggio, prevede che le sanzioni per gli inadempienti scatteranno dal 9 aprile prossimo. Ma allora c’è tempo, potrebbe dire qualcuno. No, direi che il tempo è praticamente scaduto, ed è quindi necessario fare un breve aggiornamento su quel che le aziende dovranno fare per evitare sanzioni
Non è inopportuno ricordare alle aziende che la nuova legge sulla privacy, entrata in vigore lo scorso 25 maggio, prevede che le sanzioni per gli inadempienti scatteranno dal 9 aprile prossimo. Ma allora c’è tempo, potrebbe dire qualcuno. No, direi che il tempo è praticamente scaduto, ed è quindi necessario fare un breve aggiornamento su quel che le aziende dovranno fare per evitare sanzioni.
Breve premessa per riassumere di quanto parliamo. Il Gdpr 2016/679 (General Data Protection Regulation) è quel che familiarmente chiamiamo legge per la sicurezza dei dati personali o della privacy. Da maggio scorso, come ricordato, è una norma cui debbono attenersi tutte le aziende europee. Il Gdpr indica sì alcune cose da fare o non fare ma - essenzialmente - delinea una sorta di cornice di responsabilizzazione dei titolari delle imprese. Che significa? Che i titolari o i responsabili del trattamento dei dati dovranno dimostrare di aver adottato tutte quelle misure che possano assicurare l’applicazione della normativa stessa. Il Gdpr non definisce quindi le misure minime di sicurezza, preferendo lasciare a titolari e responsabili la discrezionalità (e di conseguenza anche la responsabilità) sulla scelta delle modalità operative e delle garanzie per trattare e proteggere i dati personali. Per essere ancora più espliciti: in caso di contestazione spetterà quindi a loro (ai titolari e responsabili) dimostrare di aver messo in atto tutto quanto possibile per garantire la privacy. Diversamente ci sarà la sanzione.
Ne consegue che - preliminarmente - le aziende devono definire "chi fa cosa e come" con le adeguate attribuzioni di responsabilità ai soggetti interni ed esterni (titolari autonomi, responsabili, co-titolare eccetera). Solo così è possibile che il titolare del trattamento dei dati possa manlevarsi di quanto non fa lui in prima persona ma che demanda ad altri (ad esempio il consulente del lavoro, il commercialista, chi fa manutenzione del sistema informativo, il medico competente eccetera). Attenzione: queste manleve hanno sì valore legale, ma solo se supportate da una valida ed aggiornata formalizzazione dei contratti, incarichi, mandati, che definisca i compiti e la durata del contratto.
Non mi addentrerò nei dettagli della legge. Ma mi piace qui richiamare almeno due altri aspetti. La prima è di preparare da subito il biglietto da visita della privacy, ovvero l’informativa contenuta nell’articolo 13. Intendiamoci: son cose che già avrebbero dovuto esser fatte ma è anche possibile che qualcuno se ne sia "scordato". Ricordo anche a tutte le imprese, di leggere attentamente l’articolo 6 del Gdpr che contiene una semplificazione davvero sostanziosa e che riguarda il consenso rispetto al precedente Codice Privacy. Oggi, infatti, sono davvero rari i casi in cui è necessario il consenso che, invece, spesso viene ancora richiesto a raffica e senza motivo. E quindi mi sento di dire agli artigiani: diffidate di chi vi chiede questo consenso per le attività legate ad un contratto, un incarico, ad una precisa richiesta. Leggete bene quello che vi viene richiesto prima di firmare.
Ovviamente mi permetto di ricordare che l’Associazione, con la propria struttura e i propri consulenti, è disponibile a tutti i chiarimenti. Ma non fate passare troppo tempo: se avete dubbi sentiteci. Il 9 aprile è ...dopodomani.