Gdpr: Le aziende italiane e le PA si preparano al d-day del 25 maggio 2018

71
gdpr e privacy
adv

In Italia non sono ancora stati determinati i “requisiti aggiuntivi” ai fini dell’accreditamento degli organismi di certificazione e i criteri specifici di certificazione.

In Italia non è ancora stato deciso dal legislatore a chi spetti il ruolo di ente di accreditamento ai fini del regolamento europeo in materia di protezione dei dati personali (Gdpr -regolamento Ue 2016/679).

Il Garante per la Privacy e Accredia (l’Ente unico nazionale di accreditamento) sottolineano che “al momento le certificazioni di persone, nonché quelle emesse in materia di privacy o data protection eventualmente rilasciate in Italia, sebbene possano costituire una garanzia e atto di diligenza verso le parti interessate dell’adozione volontaria di un sistema di analisi e controllo dei principi e delle norme di riferimento, non possono definirsi conformi agli articoli 42 e 43 del regolamento 2016/679”.

Questo perché in Italia non sono ancora stati determinati i “requisiti aggiuntivi” ai fini dell’accreditamento degli organismi di certificazione e i criteri specifici di certificazione.

Il Garante e Accredia stanno collaborando per poter garantire l’avvio delle attività di accreditamento e certificazione nel rispetto delle scadenze previste dal regolamento, che diventerà definitivamente applicabile in via diretta in tutti i Paesi Ue a partire dal 25 maggio 2018. La vicenda del Regolamento 679/2016, che come noto a partire dal 25 maggio 2018, entrando in pieno vigore, abrogherà la direttiva 95/46/CE che è alla base del nostro Codice Privacy (d.lgs. n. 196/2003), sta entrando nella sua fase di definizione finale. Il quadro, che sin da subito si è mostrato in tutta la sua complessità su scala internazionale, si arricchisce oggi di elementi nostrani che potrebbero spostare ulteriormente il segno verso un ulteriore irrigidimento delle norme.

L’Italia rispetto all’Europa si è mossa bene. Con la legge delega prevalentemente si sostiene la necessità di avere norme penali a presidio della nuova legge sulla privacy. Il che non è una buona notizia per gli operatori, lo è invece per i cittadini, e tutto sommato non è una novità per nessuno, dato che sin dalla prima l. 675/1996 siamo abituati in Italia alla tutela penale della privacy.

Per il Codice Privacy il Parlamento ha chiesto al Governo di fare attraverso la legge delega tutti quei passaggi e istituti in cui il Gdpr ha innovato rispetto al passato. Le corrispondenti vecchie norme del Codice Privacy decadranno come per esempio la verifica preliminare di cui all’art. 17 del d.lgs. 196/2003 sparirà a favore della Valutazione di impatto privacy. Ma laddove il Gdpr non ha introdotto nuove norme, il Codice Privacy, se non incompatibile, potrebbe sopravvivere.

Il Gdpr introduce una rivoluzione totale che interessa tutte le aziende operanti in ogni settore industriale e merceologico, le pubbliche amministrazioni, i professionisti ed impatta su ogni funzione interna di esse, dal legale alla compliance, dal marketing alle vendite, dal personale al consiglio di amministrazione, senza contare gli enormi impatti per le funzioni IT e security.

Per le aziende che si sono anticipate più di metà del lavoro è già fatto e si può serenamente lavorare in questi ultimi sei mesi prima del d-day per introdurre i nuovi istituti, creare le nuove policy e mettere in piedi i processi interni necessari ad esempio per fare la Valutazione di impatto privacy, prevedere il Data Breach management e mettere in piedi la figura o l’ufficio del DPO (Data Protection Officer), ma soprattutto educare e convincere le funzioni interne ed i vertici, in primis, che oltre alle sanzioni che possono raggiungere al massimo il 4% del fatturato annuo mondiale, il tema della data protection è soprattutto una immensa opportunità di business.