Il nuovo Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 Aprile 2016, contenente disposizioni volte alla protezione delle persone fisiche con particolare riferimento al trattamento dei dati personali e alla loro libera diffusione, che abroga la direttiva 95/46/CE, è stato pubblicato nella Gazzetta Ufficiale dell’Unione europea il 4 maggio 2016 con esecutività differita al 25 maggio 2018.

Il regolamento ha introdotto molte novità, dagli obblighi di informativa rafforzati al “registro dei trattamenti”, dal principio c.d. dell’accountability a quello di “privacy by design” e “privacy by default” (Art. 25 del Regolamento “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”) fino all’obbligo di notifica delle violazioni di dati personali (data breach), senza tralasciare l’aumento delle sanzioni amministrative, che potranno raggiungere la soglia di 20 milioni di euro. Le aziende hanno avuto tempo due anni per adeguarsi alle nuove norme privacy, anche se ad oggi solo il 20% lo ha fatto e/o preventivato di farlo.

Oltre agli aspetti legislativi, che rendono obbligatori gli adempimenti sul trattamento dei dati, un adeguato sistema di sicurezza e protezione delle informazioni risulta essere un indicatore del livello di qualità e di professionalità ed è per questo che va concepito soprattutto come valore aggiunto dell'azienda stessa. Il trattamento dei dati, ossia, qualunque operazione o complesso di operazioni, effettuate anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non “conservati” in una banca dati, deve essere tagconforme alle disposizioni normative sopra appena enunciate. Nello specifico l'azienda o lo Studio Professionale o qualsiasi altra “struttura” che utilizzi dati altrui, deve dimostrare di aver effettivamente promosso, in modo dinamico, una buona pianificazione per la tutela degli stessi all'interno e all’esterno della propria organizzazione. Siccome la norma adotta il meccanismo “dell’inversione dell'onere della prova” è importante, per evitare la responsabilità amministrativa e/o penale del titolare del trattamento di dati, poter dimostrare di avere messo in campo tutte le misure di prevenzione idonee.

‍

La privacy o meglio, il trattamento dei dati, va inteso come modello propedeutico e consequenziale a tutte le attività di business.

Il trattamento dei dati è quindi un aspetto fondamentale di un’azienda, di uno studio, di un ente pubblico e/o privato, di un’associazione, ed è una base per i modelli organizzativi e dei processi in ambito lavorativo, soprattutto in riferimento al rapporto con i dipendenti e il personale (in relazione al Jobs Act e allo Statuto dei Lavoratori con particolare richiamo all’art. 4), ma anche nei casi di trasferimento dei dati all’estero, all’archiviazione dei dati in remoto, alla videosorveglianza e/o strumentazione di controllo per la tutela della salvaguardia della sicurezza.

Il Regolamento Europeo non è solo privacy nel senso esclusivo di riservatezza, ma rimanda ad un concetto più ampio di trattamento sicuro di dati. Senza entrare nel merito della norma, tutti nell’ambito di un’attività trattiamo dati, comuni, personali, particolari, tra cui quelli relativi alla salute. I dati che utilizziamo, ad esempio,  per predisporre la busta paga dei nostri dipendenti sono particolari e vanno trattati per esigenze specifiche e con appropriate misure di sicurezza, un account mail è personale, e va utilizzato secondo norma (il Garante della Privacy si è più volte pronunciato in materia di utilizzo di mail in ambito lavorativo); il sistema di videosorveglianza va preventivamente autorizzato per non incorrere in sanzioni amministrative importanti.

Potremmo proseguire per più e più pagine a indicare quali sono i molti trattamenti che un’azienda, un’attività commerciale, uno Studio Professionale compie nell’ambito delle proprie attività, e questo solo per far capire come è impossibile non trattare dati, nella vita privata come aziendale.

Ed è importante capire che non avere consapevolezza dei propri trattamenti, di che informazioni vengono utilizzate all’interno della propria attività, potrebbe comportare tantissimi rischi, soprattutto in virtù di quel nuovo, quanto ormai famoso principio dell’accountability, responsabilizzazione, che prevede che ogni Titolare di Trattamento sia consapevole delle procedure di raccolta, conservazione, utilizzo dei dati e in funzione di queste abbia adottato adeguate misure di protezione a tutela delle sue informazioni (le informazioni aziendali sono il patrimonio di ogni azienda) e delle informazioni di terzi, che siano dipendenti, fornitori e clienti.

‍

Storicamente, la privacy era quasi implicita, perché era difficile trovare e raccogliere informazioni. Ma nel mondo digitale, che si tratti di telecamere o satelliti o semplicemente di un clic sul computer abbiamo bisogno di avere norme più esplicite (non solo per i governi) ma anche per le imprese private. (Bill Gates).

‍

‍