In questo periodo si è sentito parlare molto del Regolamento UE 2016/679 (o GDPR) e di protezione dei dati personali con articoli che, per lo più, esordiscono riportando il dettato normativo previsto dall’art. 83, ovvero l’analisi delle importanti cifre che arrivano a colpire titolari e responsabili del trattamento dei dati personali con sanzioni amministrative fino a 20 milioni di euro o fino al 4% del fatturato totale annuo.
È indubbio che i massimali edittali possono risultare sproporzionati se applicati alle PMI italiane, ma occorre rilevare che lo stesso articolo 83, al paragrafo 2, prosegue dicendo: “[…] Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi […]”.
Tra i parametri previsti dal nuovo Regolamento rivestono particolare importanza le misure adottate dal titolare del trattamento per attenuare il danno subito dagli interessati e il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione. In particolare si potrà tenere conto del fatto che il titolare del trattamento ha, ad esempio, predisposto tutte le misure tecniche ragionevoli per prevenire il data breach e prontamente comunicato al Garante per la Privacy la violazione subita.
L’aspetto che occorre tenere in maggior considerazione riguarderà quindi non tanto gli articoli relativi alle sanzioni, bensì la portata degli adempimenti previsti dagli artt. 33 e 34 del GDPR. L’art. 34, ad esempio, definisce espressamente tempi e modalità per procedere alla comunicazione di una violazione all’interessato prevedendo che: “Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo”.
“Il GDPR incoraggia i titolari e i responsabili del trattamentodei dati a orientare le proprie decisioni verso politiche sempre più incentrate sulla sicurezza dei dati”
A partire dal 25 maggio 2018 dunque, chiunque abbia subito una violazione della privacy, dopo aver ricevuto tale comunicazione, avrà la possibilità di inviare una richiesta di risarcimento nei confronti del titolare, avendo anche una verosimile indicazione di fondatezza. L’unico modo per far sì che il titolare del trattamento non sia tenuto a tale adempimento è adottare idonee misure di sicurezza.
In conclusione sembra che, il requisito della sussistenza di un rischio per i diritti e le libertà degli interessati, richiesto dal GDPR perché scatti l’obbligo di notifica, incoraggi i titolari ed i responsabili del trattamento, non solo a pianificare in anticipo processi idonei a rilevare e contenere prontamente una violazione, bensì anche a valutare preventivamente i rischi prodotti dai trattamenti dei dati, così da orientare le proprie decisioni verso politiche sempre più incentrate sulla sicurezza dei dati.
© RIPRODUZIONE RISERVATA
