Pubblicato da

Novembre 3, 2016

Nuovo Regolamento Europeo Protezione Dati: opportunità per aziende ed HR

Categories
Gestione del personale Ricerca e Selezione Tutti gli articoli

Per le aziende e gli uffici delle Risorse Umane è fondamentale tenersi aggiornati sui regolamenti che riguardano privacy e trattamento dei dati.

In quest’ambito, la novità più importante è oggi rappresentata dal Nuovo Regolamento Europeo sulla Protezione dei Dati. La sua introduzione apporta massivi cambiamenti alle leggi nazionali e ha un forte impatto su tutte le società e gli enti che trattano dati e su ogni aspetto delle relazioni tra le organizzazioni e il pubblico.

Diversi giorni fa ho avuto modo di assistere a un interessante seminario tenuto dagli avvocati dello studio Rödl&Partners Nadia Martini (esperta di data protection e privacy) e Rita Santaniello (esperta di diritto del lavoro).

Ecco cosa aspettarsi dal nuovo regolamento.

 

Un’opportunità da cogliere, adesso

Con il nuovo regolamento, la logica sulla protezione dei dati viene ribaltata e le aziende vengono incoraggiate a passare dal minimo indispensabile al massimo ragionevole.

Si va, in pratica, da un regolamento “formale”, in cui bastavano misure di sicurezza minime e documenti standard per esentare da responsabilità penali, a uno “sostanziale”, nel quale l’azienda ha l’obbligo di garantire adeguata sicurezza dei dati. Questa sicurezza dovrà essere implementata mediante misure tecniche e organizzative adottate dal titolare a seconda del caso e del rischio concreto, minimizzando al tempo stesso il trattamento dei dati.

In questo rinnovato panorama, le aziende che rispettano appieno il nuovo regolamento dimostrano di dare valore e tutela ai propri asset, in primis le proprie risorse umane. Grazie all’introduzione di sigilli di qualità della protezione dei dati concessi da organismi di certificazione accreditati, il rispetto della normativa diventa anche un potente strumento di marketing ed employer branding.

Non c’è tempo da perdere. Molte aziende pensano di poter aspettare il 25 maggio del 2018, data a partire dalla quale il mancato adempimento sarà sanzionato, ma in realtà il regolamento è già attivo dal 25 maggio del 2016.

Evitare sanzioni è importante dato che ammontano a un massimo di 20.000.000 o il 4% del fatturato annuo mondiale dell’anno precedente. Altrettanto lo è avvantaggiarsi sui propri competitor adottando per primi le misure adeguate.


Il primo passo da compiere: l’assessment

Ma qual è il primo passo da compiere per un’azienda che voglia mettere in regola il trattamento dei dati di dipendenti, candidati, clienti ecc.?

Sicuramente, una verifica della situazione attuale tramite un assessment condotto con partner legale e tecnico.

Tramite un assessment è possibile verificare, per esempio;

  • se si è soggetti al Regolamento;
  • se si trattano dati identificativi, particolari, giudiziari e anonimizzati;
  • se si pongono in essere operazioni di trattamento;
  • la procedura raccolta consensi;
  • le procedure per raccolta e documentazione consensi;
  • le procedure per l’esercizio dei diritti dell’interessato.

Compiuta la verifica, all’interno dello stesso assessment vengono indicate le iniziative da intraprendere per colmare le lacune riscontrate o migliorare gli strumenti attuali.


Cosa cambia con il Nuovo Regolamento Europeo sulla Protezione dei Dati


Si allarga il campo d’applicazione: verso una norma universale?

Il Nuovo Regolamento Europeo sulla Protezione dei Dati si applica anche al trattamento effettuato da aziende non stabilite nella UE. Questo allargamento d’applicazione avviene quando l’azienda offre beni e servizi nell’Unione Europea o effettua attività di monitoraggio del comportamento di persone nella UE (targeting, profilazione, tracciamento della navigazione).

La sensazione è che si vada verso una norma universale a livello internazionale.


Maggiore responsabilizzazione del titolare e del responsabile

Il Nuovo Regolamento Europeo sulla Protezione dei Dati aggiunge per il titolare e il responsabile l’obbligo di rispetto e relativa prova del rispetto dei principi del trattamento (tramite i codici di condotta, l’assessment e le certificazioni già citate) e una lunga serie di altri obblighi, tra cui:

  • Adozione di politiche adeguate in materia di protezione dei dati. Non bastano più misure minime ma serve un forte coinvolgimento del settore IT e security.
  • Ricorso a misure tecniche e organizzative adeguate al caso e al rischio concreto, che minimizzano il trattamento dei dati. Per esempio tramite pseudoanonimizzazione dei dati, che permette di non attribuirli a uno specifico interessato. (Privacy by design.)
  • Adozione di misure adeguate per trattare per impostazione predefinita solo i dati necessari alle finalità del trattamento. (Privacy by default.)
  • La nomina di un responsabile esterno tramite contratto scritto (o in formato elettronico). Questa figura deve presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate per la protezione dei dati e dei diritti.
  • Formazione adeguata di tutti coloro che trattano i dati.
  • Adozione di registri del trattamento.
  • Adozione di misure di sicurezza tecniche e organizzative adeguate al caso e al rischio.
  • In caso di data breach, notifica della violazione dati al Garante della Privacy entro 72 ore dalla scoperta, a meno che gli interessati non corrano alcun rischio, per esempio per cifratura dei dati.
  • Nomina del Privacy Officer, laddove necessario.

Maggiore chiarezza e semplificazione

Se è vero che c’è stato un deciso aumento degli obblighi e delle responsabilità, in altre sezioni il nuovo regolamento europeo sulla privacy ha portato maggiore chiarezza e una certa semplificazione. Per esempio non richiedendo una autorizzazione del Garante per il trattamento dei dati particolari o non richiedendo un consenso scritto ai fini della validità dei dati sensibili.

In molte di queste circostanze, comunque, è stato lasciato ampio spazio d’intervento normativo agli stati membri, che potrebbero decidere di dettare norme giuridiche diverse.


La definizione di dati personali è più chiara

Nel Nuovo Regolamento Europeo sulla Protezione dei Dati ogni riferimento è fatto alla persona fisica, che può essere identificata, oltre che con i dati identificativi contemplati nella normativa precedente, anche con dati relativi all’ubicazione e un identificativo online.

Non si parla più, inoltre, di dati sensibili ma di dati particolari, di cui fanno parte anche i semisensibili.

Viene poi fatta distinzione tra i dati anonimi (non soggetti alla normativa) e quelli anonimizzati, per i quali c’è trattamento e occorre quindi una informativa.


Maggiori diritti per l’interessato al trattamento

Secondo la nuova normativa europea sulla privacy l’interessato ha sempre diritto a opporsi al trattamento dei dati, a meno che il titolare non dimostri di avere motivi legittimi prevalenti su tale diritto.

Ha inoltre diritto a ricevere maggiori informazioni sulla modalità con cui vengono archiviati i suoi dati, in particolare il periodo di conservazione e l’esistenza di un processo automatizzato come la profilazione, e a ottenere l’aggiornamento e la rettificazione dei dati su richiesta.

Ampio spazio riceve un argomento molto attuale come il diritto all’oblio, che consente di richiedere la cancellazione dei propri dati in una serie di casi (si revoca il consenso, non sono più necessari, il trattamento è illecito ecc.).

Questo diritto è escluso in alcune circostanze, per esempio nel caso venga esercitato il diritto di informazione o in caso di adempimento a un obbligo di legge.

Viene inserito anche il diritto alla portabilità, per il quale l’interessato ha diritto a ricevere dal titolare un formato strutturato di dati personali e di poterlo trasmette ad altri titolari (provider servizi telefonici, energia ecc.).

Qualsiasi richiesta inviata dall’interessato al titolare del trattamento dovrà essere inoltrata da questo a tutti quei titolari a cui nel tempo ha trasmesso i dati.


Conclusioni

Il Nuovo Regolamento Europeo sulla Protezione dei Dati affida a titolare e responsabile del trattamento grandi obblighi e ampi poteri per operare in maniera strategica e approfondita.

Per le aziende si tratta di un ottimo momento per intervenire. Non solo sottoponendo a valutazione e migliorando le proprie procedure di trattamento dei dati sensibili e particolari, ma implementando altre iniziative come l’informativa sull’uso degli strumenti di lavoro o sugli accessi alle zone riservate, fondamentali per tutelare il proprio patrimonio di segreti industriali.




Crediti fotografici: ©jpgon/Fotolia