BusinessCommunity.it

19/10/2016

idee

Per le aziende arriva il Marchio di qualita' privacy

Avv. Martini: sul fronte della privacy imprese e professionisti italiani sono chiamati ad una nuova ed importante sfida, l'aggiornarsi rispetto al nuovo Regolamento europeo sulla protezione dei dati

Il "General Data Protection Regulation", in sigla Gdpr, è entrato in vigore lo scorso 25 maggio e tra due anni diventerà in via esclusiva l'unica regolamentazione a cui far riferimento in tema di privacy. Dopodiché scordiamoci il vecchio decreto 196: a dettar le regole sarà questa normativa valida per tutta Europa.
Secondo l'avvocato Nadia Martini, Head of Data Protection e Privacy Officer certificato dello studio Rödl & Partner di Milano, specializzata nei settori Data protection, Information technology ed Intellectual property, si tratta di un'occasione d'oro da cogliere. "Il Regolamento - afferma l'avv. Martini - introduce una rivoluzione culturale nel mondo della privacy che aiuterà le aziende ed i professionisti a migliorare la propria gestione dei dati e a trarne valore, anche economico. Si passa infatti da un concetto formale (o, meglio, dai più percepito formale) di privacy, secondo il quale era sufficiente fare il minimo per sentirsi a posto (per es. adottando misure minime, DPS, nomine) a un concetto sostanziale: oggi al titolare non basta più fare il minimo.

Deve invece, nell'ottica del nuovo principio di responsabilizzazione del titolare, dimostrare di avere fatto il massimo, adottando tutte le misure tecniche e organizzative idonee per il proprio caso concreto. Misure che potrà individuare solo dopo aver fatto un assessment individuale col suo partner tecnico e legale".
Si parla quindi di ripensare alla propria privacy secondo i nuovi principi di "privacy by design e by default": i titolari del trattamento devono garantire che ogni sistema di protezione dei dati sia disegnato, sin dall'inizio, in modo da minimizzare il trattamento assicurando così la privacy dell'individuo; e che, di default, i dati siano raccolti e trattati solo quando necessario per le finalità della raccolta.
"Perché ciò avvenga", spiega sempre l'avv. Martini, "il titolare e il responsabile del trattamento dei dati devono mappare con un puntuale assessment i processi interni all'azienda di trattamento dei dati personali; bisogna verificarne il tipo, i rischi che si corrono relativamente all'utilizzo che se ne fa. E poi bisogna sapere dove vengono conservati e per quanto tempo".
Solo tale mappatura potrà permettere a titolare e responsabili di individuare e adottare le misure necessarie e adempiere ai propri obblighi, esimendosi da responsabilità.


Tra i vari obblighi, ce ne sono di vecchi come di nuovi: ad esempio, l'obbligo di chiedere il consenso espresso, che sembrerebbe non essere più scritto per i dati sensibili; quello di fornire l'informativa, che deve indicare anche se è stata nominata una figura come il "Privacy officer", se si fa profilazione, per quali fini e secondo quale logica. Infine, occorre precisare quali rischi i dati conservati potrebbero correre, per esempio se gli stessi sono conservati in un server di un paese in cui il livello di protezione non è dei più alti.
"In più", afferma l'avv. Martini, "rivoluzionari sono gli obblighi di Privacy Impact Assessment e di nomina di Privacy Officer, necessari nei casi di maggiore rischio per l'interessato. In particolare, la PIA è obbligatoria, ad esempio, in caso di valutazione sistematica e globale di aspetti personali dell'interessato, basata su trattamento automatizzato: in altre parole, di profilazione. Così vale anche nel caso di sorveglianza sistematica su luoghi accessibili al pubblico. La nomina di Privacy Officer è invece indispensabile in caso trattamento effettuato da ente pubblico, trattamento consistente nel monitoraggio regolare e sistematico degli interessati su larga scala (es.


telemedicina; profilazione con CRM), trattamento su larga scala di dati particolari o giudiziari (es. cliniche e tribunali)".
Tutti obblighi il cui adempimento va puntualmente provato. Come? "Dotandosi di processi, procedure, codici di condotta e certificazioni", spiega l'avv. Martini.
La "certificazione privacy" dovrebbe infatti convincere un'azienda che l'impegno da profondere nell'aggiornarsi al Gdpr europeo è un'azione per la quale vale la pena spendersi. "Sarà un marchio di qualità che darà lustro all'impresa", spiega l'avv. Martini, che aggiunge: "distinguerà l'azienda dai suoi competitor, distinguendola nel mercato agli occhi dell'utente". Con evidente vantaggi economici dell'azienda in linea con la privacy, piuttosto che quella che non lo è.
"In pratica - termina l'avv. Martini - la nuova privacy europea complica per un giusto fine le carte in tavola: migliorare il sistema azienda e garantire all'utente finale il massimo di protezione dei propri dati personali".


ARGOMENTI: marketing - retail - ecommerce - intelligenza artificiale - AI - IA - digital transformation - pmi - high yield - bitcoin - bond - startup - pagamenti - formazione - internazionalizzazione - hr - m&a - smartworking - security - immobiliare - obbligazioni - commodity - petrolio - brexit - manifatturiero - sport business - sponsor - lavoro - dipendenti - benefit - innovazione - b-corp - supply chain - export - - punto e a capo -

> Vai al sommario < - > Guarda tutti gli arretrati < - > Leggi le ultime news <

Copyright © 2009-2024 BusinessCommunity.it.
Reg. Trib. Milano n. 431 del 19/7/97
Tutti i Diritti Riservati. P.I 10498360154
Politica della Privacy e cookie

BusinessCommunity.it - Supplemento a G.C. e t. - Reg. Trib. Milano n. 431 del 19/7/97
Dir. Responsabile Gigi Beltrame - Dir. Editoriale Claudio Gandolfo


Copertina BusinessCommunity.it