MILANO – Con l’entrata in vigore il 19 settembre scorso del d.lgs. 101/2018 si realizza il primo significativo adeguamento della nostra normativa nazionale alle disposizioni del Regolamento Generale sulla Protezione dei Dati, meglio conosciuto come GDPR (UE 2016/679) vigente dal 25 maggio scorso.
Un passaggio a cui ha lavorato dall’inizio dell’anno un’apposita commissione, abrogando le disposizioni incompatibili del vecchio Codice della privacy (d.lgs. 196/2003) e integrando il Regolamento UE con parti specificamente delegate ai Governi nazionali. “È la terza ondata normativa su privacy e gestione dei dati personali – ha commentato Gabriele Faggioli, Amministratore Delegato di P4I, nel corso di un convegno a Milano dedicato agli effetti del decreto sulle imprese – che ricade in un momento di grande attenzione dell’opinione pubblica su questi temi, fino a due anni fa appannaggio dei soli addetti ai lavori”.
Attenzione che giustifica la “mano pesante” del legislatore sulle componenti sanzionatorie sia penali sia civili (le imprese che violano la legge rischiano multe che vanno dal 2 al 4% del fatturato) e sulla tutela dei soggetti deboli. Come spiega Anna Cataleta, senior legal advisor di P4I, il decreto abroga alcuni articoli del Codice sulla privacy tra i quali le “misure minime di sicurezza” che vengono lasciate alle indicazioni del Garante: “Con il d.lgs 101 l’autorità Garante per la protezione dei dati personali acquisisce nuovi poteri autorizzativi, di verifica e di modifica di regole e codici deontologici – precisa Cataleta – in modo da poter rispondere più velocemente alle contingenze dell’innovazione tecnologica”.
Il decreto amplia i diritti dell’interessato (consumatore, cliente, dipendente aziendale e così via) in tema di trattamento dei dati, prevedendo il diritto all’oblio, a portare altrove le proprie informazioni, a decidere cosa farne in caso di morte e imporre limitazioni. “Se l’interessato ritenesse non lecito il trattamento di un dato che lo riguarda può chiedere al titolare di limitarne l’uso fino alla soluzione della controversia”, precisa Andrea Reghelin, associate partner di P4I. Diventa inoltre possibile opporsi alle decisioni dei sistemi automatizzati: “Di fatto molti nuovi servizi operano con algoritmi di intelligenza artificiale – continua l’esperto -. Il legislatore ha previsto che l’interessato possa opporsi e richiedere l’intervento umano”.
Per le aziende che offrono servizi a sottoscrizione o di vendita si aggiunge la necessità di acquisire il consenso dei minori sopra i 14 anni con informative comprensibili, adeguate all’età.
Altre misure riguardano l’utilizzo dei dati biometrici, genetici, di salute o relativi a eventuali condanne e reati dell’interessato; è inoltre garantita la privacy (e quindi la sicurezza) di chi utilizza il mezzo digitale per segnalare fatti illeciti: solo l’autorità giudiziaria potrà nel caso accedere ai nomi.
Cosa significa tutto questo per le aziende?
“Per le aziende significa che diventa indifferibile mutare la gestione quotidiana dei dato in vera e propria governance – spiega Luca Flecchia, data driven innovation presso P4I -. Soltanto così diventa possibile adempiere agli obblighi di legge e nel contempo garantire la qualità dei dati necessaria, per esempio, per sfruttare le tecnologie di machine learning e AI nelle decisioni o nella creazione di nuovi business”.
In occasione del convegno si è parlato anche delle azioni più urgenti che le aziende devono intraprendere per stare al passo con il d.lgs. 101/2018. “È importante rivedere le deleghe ai referenti per la privacy e ai responsabili degli incarichi di attuazione – specifica Sergio Fumagalli, responsabile practice data protection di P4I – anche in considerazione delle responsabilità penali associate. Per chi fa e-commerce è importante fare attenzione all’acquisizione del consenso da parte dei minori, considerandone l’età e adeguando le informative”.
Benché le misure minime di sicurezza siano sparite dal testo di legge, “resta opportuno disporre di un sistema di controllo adeguato ai profili di rischio delle attività aziendali e tenere d’occhio quanto prescriverà in futuro il Garante in base alla delega che il Decreto gli conferisce”, conclude Fumagalli.