Quando mi è stato chiesto di inaugurare una rubrica step by step sugli adempimenti necessari per “essere in regola” con la nuova normativa Privacy ho subito pensato alla voluntary disclosure, quale strumento utilizzato dal fisco per permettere ai contribuenti di regolarizzare la propria posizione contributiva.
Sembra infatti che il legislatore comunitario, a differenza della direttiva 95/46/CE, abbia voluto incentrare la nuova normativa sul principio della trasparenza: qualsiasi modalità di trattamento, raccolta, utilizzo e consultazione dei dati dovrebbe agevolare l’eventuale controllo delle autorità.
Lo specifico richiamo fornito dall’art. 5 del GDPR sul tema della trasparenza si estrinseca nell’ulteriore adempimento tanto caro a noi giuristi che prevede l’obbligo di dimostrare di essere conforme alla normativa vigente, il così detto principio dell’”accountability” o “responsabilizzazione”. Spetterà dunque all’azienda valutare la modalità del trattamento che intende porre in essere per cui è evidente che, se da un lato acquisisce notevole flessibilità nella gestione delle operazioni, dall’altro incrementa molto la propria responsabilità.
Il GDPR è chiaro nella sua semplicità: trattare un dato è un’operazione che va pianificata in anticipo, con norme, ruoli e documenti interni alle aziende idonei allo scopo. La prova dovrà dunque essere documentale, attraverso una corretta redazione dell’informativa e del registro dei trattamenti, con l’indicazione dei titolari e responsabili del trattamento, delle caratteristiche dello stesso, nonché dei sistemi e delle misure a tutela degli interessati. A seconda dell’importanza dei dati trattati – e tale valutazione è rimessa all’azienda – sarà inoltre utile valutare l’opportunità di compilare il Data protection impact assessment (Dpia) per misurare l’impatto e le conseguenze dei nuovi strumenti e trattamenti dei dati personali. Il Gruppo di Lavoro Articolo 29 (WP29) ha inoltre ritenuto opportuno pubblicare il proprio piano d’azione necessario per guidare la transizione verso il nuovo quadro normativo precisando che il rispetto dell’art. 12 (principio di trasparenza) deve essere garantito durante tutto il ciclo di vita del trattamento.
Si tenga inoltre presente che nel 2016, dopo vent’anni dalla legge 675/96 – che ha recepito la direttiva citata – ben duecento violazioni contestate dal Garante si riferivano esclusivamente all’omessa o inidonea informativa. A tal proposito è necessario che prima del 25 maggio 2018 ogni azienda rediga un’informativa chiara, semplice e completa. Insomma anche da questo punto di vista il GDPR risulta una normativa volta a semplificare e rendere più accessibile a tutti la tutela dei propri dati personali.
Leggi tutti gli articoli della rubrica Road to GDPR
© RIPRODUZIONE RISERVATA