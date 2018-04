TREVISO Il nuovo regolamento europeo sulla privacy (Gdpr 2016/679) difenderà i cittadini europei anche dagli abusi di Facebook e analoghi “collezionisti” di big data. Di fronte al saccheggio dei dati di utenti Facebook accordato dalla Company statunitense a più società esterne con finalità agghiaccianti (condizionamento delle scelte elettorali dei cittadini!) e di fronte alle scuse di Zuckerberg che destano più preoccupazioni che sollievo, l’Unione Europea tenta di difendere i propri concittadini con una nuova normativa sulla privacy che rimpiazza le normative nazionali di tutti gli stati membri.

Il Regolamento, che insieme alla Direttiva 2016/680, è stato definito il “Pacchetto europeo protezione dati”, è entrato in vigore nel maggio 2016 dopo la pubblicazione nella Gazzetta Ufficiale Europea, ma il periodo di adeguamento di due anni scadrà il 25 maggio 2018. Da questa data, ravvicinatissima, scattano dunque le sanzioni per chi non si sarà adeguato alle nuove regole. Una delle novità importanti introdotte dal Regolamento è che esso si applica a tutte le aziende – salvo qualche eccezione che riguarda le aziende medie e piccole – che trattino dati personali e abbiano uno stabilimento all'interno dell'UE, indipendentemente dal fatto che il trattamento sia effettuato nell'UE stessa.

Una norma insomma pensata apposta per i giganti del web, come Facebook, che posseggono informazioni sensibili di interi paesi del mondo e hanno dimostrato scarsa etica nella loro gestione. Non è un caso se, durante le audizioni di Zuckerberg al Congresso americano, a un certo punto il Gdpr europeo è stato posto all’amministratore delegato e fondatore di Facebook, come possibile modello a cui una legge statunitense potrebbe ispirarsi.

E se il Garante della Concorrenza italiano ha da qualche giorno inviato al colosso statunitense, nelle sue tre sedi mondiali tra cui quella italiana a Milano, una lettera con la precisa accusa di aver ingannato i consumatori italiani con “azioni e omissioni ingannevoli” e “pratiche commerciali aggressive”, la CNA territoriale di Treviso, con il sostegno della Camera di Commercio Treviso-Belluno, ha organizzato cinque iniziative a ingresso libero e gratuito per informare le imprese su cosa cambia con l’effettiva entrata in vigore del Gdpr 2016/679 e cosa devono fare per adeguarsi entro il prossimo 25 maggio.

«Per le piccole e medie imprese gli oneri sono importanti e c’è un aumento di burocrazia, si dice, finalizzato alla tutela delle persone – spiega Giuliano Rosolen, direttore di CNA territoriale di Treviso – Il nostro appello alle aziende è che, se non l’hanno fatto, si adeguino in fretta alla nuova normativa per evitare sanzioni pecuniarie molto salate e anche, per alcune trasgressioni, sanzioni penali per i responsabili del trattamento dati.» CNA offre, nelle prossime settimane, cinque occasioni di informazione importanti in cinque diverse sedi mandamentali.

Le serate informative si terranno alla CNA di Asolo lunedì 16 aprile alle ore 20.30, alla CNA di Treviso mercoledì 18 aprile sempre alle 20.30, alla CNA di Castelfranco Veneto venerdì 20 aprile alle 20.45, alla CNA di Montebelluna giovedì 3 maggio alle ore 20.30 e alla CNA di Conegliano lunedì 7 maggio alle ore 20.30. Sono stati invitati come relatori il dott. Michele Bolzonello, esperto di privacy, e Michele Zavarise, esperto di sicurezza informatica, che interverranno su: i ruoli, le tipologie di dato e gli strumenti previsti dalla norma; la documentazione da predisporre: i registri del trattamento, le informative e il consenso; il sistema di gestione della privacy e l’approccio alla sicurezza; la responsabilità civile e le sanzioni.

Tra le novità del nuovo Regolamento europeo, che in Italia sostituisce il Codice Privacy (dlgs 196/2003), c’è l’introduzione di una nuova figura e professionalità che va ad affiancarsi al "titolare" (o "responsabile" o "incaricato", figura sostanzialmente riconfermata dal Garante) del trattamento dei dati. Tale nuova figura è quella de Data Protection Officer ("DPO"), cioè il "responsabile della protezione dei dati". Il DPO dovrà essere obbligatoriamente presente all'interno di tutte le aziende pubbliche nonché in tutte quelle ove i trattamenti presentino specifici rischi, come ad esempio le aziende nelle quali sia richiesto un monitoraggio regolare e sistematico degli "interessati", su larga scala, e quelle che trattano i cosiddetti "dati sensibili".

Altra novità di rilievo, è l'introduzione dell'obbligo, per ogni azienda titolare del trattamento dei dati, di tenere un "registro delle attività di trattamento", svolte sotto la propria responsabilità, nonché quello di effettuare una "valutazione di impatto sulla protezione dei dati". Il mancato adeguamento può comportare sanzioni di carattere economico anche molto pesanti. Ad esempio l’inosservanza degli obblighi del titolare e del responsabile del trattamento può portare a multe fino a 10 milioni di euro, o per le imprese, fino al 2% del fatturato annuo mondiale dell’esercizio precedente. Oppure l’inosservanza dei principi base del trattamento, l’inosservanza dei diritti degli interessati, l’inosservanza delle disposizioni sul trasferimento dei dati personali in paesi terzi o verso organizzazioni internazionali, etc. può portare a multe fino a 20 milioni di euro, o per le imprese, fino al 4% del fatturato annuo mondiale dell’esercizio precedente.

Comporta sanzioni amministrative anche il mancato rispetto dell’obbligo di notificazione entro le 72 ore al Garante della Privacy di una violazione dei dati personali conservati dal titolare del trattamento. Molti sono gli aspetti della vita di un’azienda interessanti dal nuovo Regolamento che, come avveniva già col Codice privacy, andranno dal sito internet alla videosorveglianza, dalla gestione degli archivi informatici alla protezione degli archivi cartacei alle informative a clienti e fornitori.

La battaglia della CNA sarà rivolta, oltre a informare le imprese, a limitare il più possibile gli oneri burocratici a carico delle piccole e medie imprese, quali ad esempio la redazione del registro dei trattamenti. La semplificazione viene richiesta soprattutto per le imprese che si trovino a dover trattare non occasionalmente quei dati che nel Codice Privacy venivano definiti “sensibili”, là ove siano necessari per le normali finalità gestionali e contabili dell’impresa (es.: elaborazione cedolini). Altri aspetti su cui intervenire riguardano la corretta valenza da dare a concetti quali “interessi legittimo” o la futura adozione di codici di condotta che potrebbero ulteriormente semplificare la vita per le micro, piccole e medie imprese.