La legge sulla Privacy arranca nell’era digitale

privacy

Sono oltre un miliardo gli individui presenti sui social network e milioni le aziende che hanno seguito questa tendenza. Il risultato è che nel web proliferano informazioni su informazioni, difficili da gestire e da proteggere.

In questo scenario i Paesi dell’Unione Europea sono in attesa da tre anni del nuovo Regolamento in materia di privacy, che dovrebbe tener conto della nuova massa di informazioni digitali. Ogni nuova legge, si sa, porta con sé anche nuovi obblighi e costi e questa non fa eccezione. Nello specifico l’attenzione delle imprese si focalizza su due punti:

1) la notifica obbligatoria delle violazioni dei dati personali

2) la figura del responsabile della privacy

Nella bozza del Regolamento in discussione, per esempio, è prevista la notifica di un’eventuale violazione al Garante (autorità di controllo della privacy) “senza ritardo, ove possibile entro 24 ore, la notificazione all’autorità di controllo è corredata di una giustificazione motivata”. In altri termini, non solo ogni azienda dovrò organizzarsi per comunicare al Garante un eventuale violazione, ma farlo anche celermente. Inoltre si aggiunge l’onere che se la violazione possa arrecare danni agli interessati, l’azienda dovrà anche avvertire i mal capitati dei rischi e delle attività in corso per mitigarli.

Un altro impegno da mantenere, non meno faticoso, è la gestione del Responsabile della gestione dati. Si tratta di una figura totalmente nuova nel panorama legislativo. Per certi versi è una figura assimilabile a quella del Responsabile servizio prevenzione e protezione previsto dalla legge 81/2008 in materia di sicurezza del lavoro. Nel caso specifico però si tratta di un ruolo totalmente autonomo, ha più marcate funzioni di controllo e diventa l’intermediario per ogni comunicazione tra azienda e Garante. Non è ancora stato definito se ogni azienda dovrà dotarsi di un Responsabile o se potrà avvalersi di collaboratori esterni.

Un ultimo punto che vorrei trattare è piuttosto complicato, riguarda la progettazione di sistemi che gestiscono il flusso di dati all’interno dell’azienda. In realtà, su questo tema molto delicato, il Regolamento rimane piuttosto vago, affermando che devono essere previsti dei “meccanismi per garantire che siano trattati, di default, solo i dati personali necessari per ciascuna finalità specifica del trattamento e che, in particolare, la quantità dei dati raccolti e la durata della loro conservazione non vadano oltre il minimo necessario per le finalità perseguite”. Sembra potersi sintetizzare in: minor numero di dati, in minor tempo possibile. In realtà questa semplificazione va a cozzare con un’latra normativa vigente in materia di conservazione dei dati (soprattutto amministrativi e fiscali).

Detto ciò, il nuovo regolamento potrebbe entrare in vigore alla fine dell’anno in corso o all’inizio del prossimo. Il mio consiglio è di giocare di anticipo: molte volte questa tecnica in campo di normative permette di risparmiare soldi e semplificare la burocrazia.

Annunci

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...