La privacy oggi non è più un semplice diritto di riservatezza, ma una questione critica per la sopravvivenza e il successo delle aziende.
Ogni azienda oggi è obbligata a rispettare queste normative, e il rischio di non farlo è altissimo: sanzioni pesanti, danni alla reputazione e la perdita di fiducia dei clienti. Qui entra in gioco la figura del consulente privacy, essenziale per assicurare che ogni operazione di trattamento dati sia conforme alla legge e tutelare la tua impresa da errori costosi.
Non rispettare le normative sulla privacy può costarti caro. Le sanzioni arrivano fino a milioni di euro, e un solo errore potrebbe rovinare anni di lavoro. Proteggi subito la tua azienda e assicurati di essere in regola.
Adeguarsi al GDPR è una sfida che molte aziende, in particolare le PMI e le micro imprese, tendono a sottovalutare. Tuttavia, ignorare la normativa può avere conseguenze devastanti, non solo in termini di sanzioni economiche, ma anche di fiducia e reputazione. In questa serie di video, insieme a me, Anna Maria Lucà, avvocato specialista in privacy compliance e collaboratrice del gruppo Remark, esploreremo i rischi per le aziende che non si adeguano correttamente alla normativa sulla protezione dei dati personali.
Non aspettare di pagare le conseguenze: adeguarsi al GDPR significa proteggere il futuro della tua azienda.
Il giurista statunitense Louis Brandeis definì, nel 1890, la privacy come “The right to be let alone”, ovvero il diritto di ogni cittadino ad essere lasciato in pace. Da questa prima definizione sino ai nostri giorni, l’evoluzione normativa internazionale ha portato significativi cambiamenti nella regolamentazione in materia di privacy, senza però mai snaturare il concetto fondamentale che rimane alla base della sua filosofia.
Le finalità del D.lgs. 196/03, Codice in materia di protezione dei dati personali, in vigore dal 1 gennaio 2004, consistono nel riconoscimento del diritto del singolo sui propri dati personali e, conseguentemente, nella disciplina delle diverse operazioni di gestione (tecnicamente “trattamento”) dei dati, riguardanti la raccolta, l’elaborazione, il raffronto, la cancellazione, la modificazione, la comunicazione o la diffusione degli stessi. Questo ambito rientra pienamente nella consulenza privacy e nel lavoro di un consulente privacy, figure essenziali per garantire il rispetto delle normative vigenti.
Il diritto sui propri dati è differente dal diritto alla riservatezza, in quanto non riguarda solamente informazioni inerenti la propria vita privata, ma si estende in generale a qualunque informazione relativa a una persona, anche se non coperta da riserbo (sono dati personali ad esempio il nome o l’indirizzo della propria abitazione).
Lo scopo della legge non è quello di impedire il trattamento dei dati, ma di evitare che questo avvenga contro la volontà dell’avente diritto, ovvero secondo modalità pregiudizievoli. Infatti, il testo unico definiva i diritti degli interessati, le modalità di raccolta e i requisiti dei dati, gli obblighi di chi raccoglie, detiene o tratta dati personali, nonché le responsabilità e sanzioni in caso di danni.
Il 25 maggio del 2018 è entrato in vigore il “Regolamento Generale sulla Protezione dei dati” (GDPR), ufficialmente Regolamento Europeo 679/2016, in materia di trattamento di dati personali e di privacy. Questo regolamento ha portato importanti cambiamenti nella consulenza GDPR e ha reso fondamentale l'intervento di un consulente GDPR per garantire la conformità aziendale alle nuove normative.
Di conseguenza, il 19 settembre 2018 è entrato in vigore il Decreto legislativo 10 agosto 2018, n. 101, per adeguare la normativa nazionale al nuovo regolamento. Per questo motivo, la consulenza privacy GDPR è diventata un servizio essenziale per le aziende, permettendo loro di navigare nel complesso panorama della protezione dei dati.
Il Nuovo Regolamento GDPR ha efficacia per tutti i trattamenti di dati effettuati all’interno dell’Unione Europea e nei casi in cui l’interessato sia cittadino europeo. Per questo, le aziende necessitano di consulenza in materia di privacy e servizi di consulenza GDPR per garantire la conformità a queste normative stringenti
Non puoi permetterti di essere superficiale neanche sulla proporzionalità: ogni dato raccolto deve essere giustificato. Raccolgo dati per migliorare i miei servizi, non per accumulare informazioni inutili. La regola d'oro? Minimizzazione. Meno dati raccogli, meno rischi corri. Più semplice di così?
Non aspettare che sia troppo tardi. Proteggi la tua azienda, i tuoi clienti e il tuo futuro. Con una gestione corretta e strategica dei dati, non solo ti metti al riparo dalle sanzioni, ma dimostri anche ai tuoi clienti che la loro fiducia è al centro del tuo business.
Non lasciare che la tua azienda diventi un numero nelle statistiche delle multe per violazione del GDPR: agisci ora e metti al sicuro il tuo futuro.
L’implementazione di un Modello Organizzativo comporta anche un suo mantenimento ed una sua assistenza. La legge prevede che affinché un Modello Organizzativo possa avere una validità esimente dalle pesanti sanzioni previste, lo stesso deve essere efficacemente attuato ed aggiornato.
In sostanza una volta creata la struttura del Modello Organizzativo lo stesso deve essere aggiornato in base ai cambiamenti dell’azienda e delle nuove introduzioni normative e soprattutto deve essere considerato efficace e cioè tenere effettivamente sotto controllo tutto il personale che lavora nell’Azienda affinché non vengano commessi reati. Inoltre criterio fondamentale per rendere il Modello organizzativo efficacemente attuato è quello di prevedere l’attività di un Organo di Vigilanza che relazioni almeno una volta all’anno al Consiglio di Amministrazione oppure alla Direzione aziendale.
L’assistenza e il mantenimento del Modello Organizzativo si rivolge a tutte quelle aziende che vogliano dare un effettiva efficacia giuridica al Modello implementato. Un Modello senza un adeguato mantenimento non ha alcun valore esimente.
Un data breach è una violazione della sicurezza che può causare la perdita, la modifica o la divulgazione non autorizzata dei dati personali. Questo può avvenire accidentalmente, come nel caso della perdita di una chiavetta USB contenente dati sensibili, oppure in modo illecito, come un furto o l'infedeltà aziendale di un dipendente che copia e diffonde informazioni.
Quando si verifica un data breach, il titolare del trattamento ha l'obbligo di notificarlo al Garante per la protezione dei dati personali entro 72 ore. Se il rischio per i diritti degli interessati è elevato, è necessario informare anche tutte le persone coinvolte. Ritardi nella notifica possono comportare sanzioni pesanti, quindi agire rapidamente è fondamentale.
Non sottovalutare il rischio di un data breach: una gestione tempestiva può salvare la tua azienda da gravi conseguenze legali e di reputazione.
Nemmeno in questo caso contraddice la propria natura affrontando la normativa in oggetto in maniera dinamica e professionale attraverso un servizio di assistenza outsourcing.
Attività di aggiornamento del documento programmatico sulla sicurezza entro il 31 marzo di ogni anno
Attività di aggiornamento ogni qual volta vi siano modifiche normative e/o mutamenti aziendali
Assistenza in caso di richieste esterne di accesso ai dati personali
Segnalazione dei più significativi provvedimenti giurisprudenziali e, in genere, monitoraggio dell’evoluzione giurisprudenziale
Consultazioni telefoniche
Assistenza straordinaria in caso di sanzioni comminate dall’Autorità Garante, relative al trattamento dei dati personali
Il sistema sanzionatorio introdotto dal GDPR si basa esclusivamente su sanzioni amministrative pecuniarie. L’apparato introdotto dal Regolamento suddivide le violazioni in due gruppi, coincidenti con illeciti più o meno gravi. In riferimento a tali gruppi sono individuati esclusivamente i tetti sanzionatori massimi, ovvero per le violazioni più lievi 10 milioni di euro o il 2% del fatturato annuo mondiale di gruppo; per le sanzioni più gravi 20 milioni di euro o il 4% del fatturato annuo mondiale di gruppo. Tra i due criteri si apolica la cifra che risulta più alta.
La legislazione sulla privacy in Italia è attualmente contenuta nella Costituzione (articoli 15 e 21), nel Codice penale (Capo III – Sezione IV) e nel Decreto legislativo 30 giugno 2003, n. 196, intitolato Codice in materia di protezione dei dati personali e noto anche come Testo unico sulla privacy. Il D.Lgs 196/2003 abroga la precedente legge 675/96, Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, che era stata introdotta per rispettare gli Accordi di Schengen ed era entrata in vigore nel maggio 1997. Con il tempo a tale norma si erano affiancate ulteriori diverse disposizioni, riguardanti singoli specifici aspetti del trattamento dei dati, che sono state riassunte nel Testo Unico vigente, entrato in vigore il 1º gennaio 2004. Sull’applicazione della normativa vigila l’Autorità Garante per la protezione dei dati personali, istituita dalla L. 675/1996 e confermata dal Testo Unico del 2003.
Il D.Lgs. 101/2018 (cosiddetto “decreto privacy”) che recepisce formalmente il GDPR nella normativa italiana, in vigore dal 19 settembre 2018, da alcuni definito nuova privacy, ha novellato profondamente il codice 196 che, comunque, è in corso di validità per gli specifici articoli non esplicitamente abrogati dal detto decreto. Infatti, il comma 6 dell’art. 22 recita:
“Dalla data di entrata in vigore del presente decreto, i rinvii alle disposizioni del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, abrogate dal presente decreto, contenuti in norme di legge e di regolamento, si intendono riferiti alle corrispondenti disposizioni del Regolamento (UE) 2016/679 e a quelle introdotte o modificate dal presente decreto, in quanto compatibili.”
