A quasi un anno dal debutto del regolamento europeo – il cosiddetto Gdpr, diventato operativo il 25 maggio 2018 – il tema della privacy torna a imporsi nella vita delle imprese. Nei giorni scorsi è, infatti, scaduto il periodo di tolleranza concesso dal legislatore per consentire un approccio soft alle nuove regole sulla riservatezza e per molti può essere necessario effettuare un check up degli adempimenti per non farsi trovare impreparati.

Il «grace period»

A prevedere un periodo di grazia non è stato direttamente il Gdpr, ma il decreto legislativo 101/2018, che ha adeguato la vecchia normativa nazionale sulla privacy al nuovo sistema europeo. Il comma 13 dell’articolo 22 del Dlgs prevedeva che per otto mesi a partire dal 19 settembre scorso – data di entrata in vigore del decreto – il Garante della privacy tenesse conto, nell’applicazione delle sanzioni amministrative, della novità delle regole sulla tutela dei dati in chiave Ue. Un “occhio di riguardo” che doveva, naturalmente, essere compatibile con l’impianto del Gdpr.

Bilanciamento a cui l’Autorità guidata da Antonello Soro ha posto attenzione, preparandosi, allo stesso tempo, a partire con le verifiche una volta scaduta la moratoria. Come il Garante ha ribadito, ora prenderà il via un programma di ispezioni – messo a punto nei mesi scorsi – che si concentrerà soprattutto sui grandi gestori di dati personali.

La check list

Quali, dunque, i controlli da fare per sapere se l’azienda è ora allineata con i nuovi obblighi sulla tutela dei dati? Si tratta di dar corso a ciò che gli addetti ai lavori definiscono privacy impact assesment. «Partirei dal tema della cybersecurity – spiega Massimiliano Masnada, partner di Hogan Lovells -, ovvero una verifica delle misure di protezione delle informazioni: la tenuta dei database, dei firewall, degli accessi a internet, della posta elettronica. Solo per fare alcuni esempi. In buona sostanza, un check di tutti i sistemi che possono essere vulnerabili e, se aggrediti, comportare una perdita di dati; il cosiddetto data breach, che, se rilevante, va sempre notificato al Garante».

«Passerei – aggiunge De Biasi – al controllo dei tempi di conservazione dei dati. In questo ambito occorre un cambio culturale: spesso, si tende a conservare le informazioni personali per sempre. Non è così. Ci sono tempi di custodia fissati dal legislatore e vanno rispettati».

Un altro aspetto da verificare è la tenuta del registro dei trattamenti: «Tranne i casi di trattamento dei dati minimi e occasionali, è un obbligo – ricorda De Biasi – che riguarda tutti, professionisti compresi». È uno strumento che, se ben predisposto, consente di avere traccia della vita del dato dal momento in cui entra nello studio.

Ci sono poi gli adempimenti legati all’informativa, alla raccolta del consenso, alla nomina delle varie figure della privacy. «Ci si deve accertare – commenta Masnada – se gli incarichi, a partire da quello di titolare e responsabile del trattamento, sono stati ripartiti. E, come spesso capita, verificare se anche i consulenti esterni, per esempio quelli informatici, sono stati “inquadrati” e se è stato disciplinato l’accesso da parte loro ai dati dello studio».

Controlli che evitano le pesanti sanzioni amministrative previste dal Gdpr, che possono arrivare al 4% del fatturato. «Senza dimenticare – afferma Masnada – il danno reputazionale. I provvedimenti del Garante sono, infatti, pubblici».

Sei interessato all’articolo? Scrivici e verrai contattato da un nostro Consultant

@ Beneggi e Associati | Commercialisti al servizio delle imprese | Meda | Milano