A decorrere dal 25 maggio entra in vigore il regolamento generale sulla protezione dei dati (General Data Protection Regulation – “GDPR”/”RGDP”) in tutti gli Stati membri dell’Unione Europea. Questo fatto richiederà un’attenzione maggiore da parte degli imprenditori sulla prassi in materia di protezione dei dati. Ogni impresa che utilizza dati personali di persone fisiche in qualsiasi forma deve tener conto del GDPR. Il nuovo regolamento si muove nel solco dell’esigenza da parte del legislatore di far fronte all’importanza sempre più elevata dei dati personali nel mondo imprenditoriale – “I dati sono il nuovo oro.”

Nel caso di violazione delle disposizioni del GDPR vi saranno sanzioni fino a 20.000 000 EUR o, se superiore, fino al 4 % del fatturato mondiale totale annuo riferito all’esercizio precedente. Non vi sono eccezioni per le piccole imprese. In considerazione della gravità di tali sanzioni è vivamente raccomandata la piena conformità in materia di protezione dei dati.

Gli obblighi previsti dal GDPR sono ampi e vanno dall’elaborazione di un registro delle attività di trattamento (che dovrà rispondere ai seguenti quesiti: per quale finalità vengono trattati? quali dati? da chi e in quale modo? a chi vengono trasmessi? come vengono protetti e quando vengono cancellati?), alla valutazione d’impatto sulla protezione dei dati, all’applicazione di misure tecniche e organizzative che sono intese a garantire la sicurezza dei dati. Anche la designazione di un responsabile della protezione dei dati sarà obbligatoria per molte imprese.

Occorre adempiere a tali obblighi a partire da maggio 2018, quindi molte imprese hanno già avviato un processo interno per adattare i procedimenti rilevanti (cioè praticamente tutto, incluse, per esempio la gestione delle candidature ed il contatto con clienti) alle prescrizioni regolamentari del GDPR. Direttive interne sulla protezione dei dati personali e provvedimenti di formazione per il personale dovrebbero estendere l’attenzione e la conoscenza degli obblighi sulla protezione dei dati personali. Un registro delle attività di trattamento effettuate serve come prova all’autorità di controllo che l’impresa si impegna a rispettare il regolamento.

Il nostro studio si occupa del nuovo regolamento fin dall’inizio e assiste le imprese nell’adozione di misure finalizzate alla sua implementazione. Occorre una soluzione individuale per ogni impresa, poiché sorgono sempre questioni particolari dall’attività imprenditoriale concreta. La nostra gamma di servizi comprende, fra l’altro:

• Un workshop di sensibilizzazione al GDPR per il consiglio di amministrazione
• Assistenza alla raccolta in relazione ai trattamenti dei dati personali già effettuati ed analisi delle misure necessarie
• Revisione dell’attuale informativa sulla protezione dei dati personali e della dichiarazione di consenso al fine di allineare questi con le disposizioni più rigorose del GDPR
• Elaborazione dei contratti scritti per i responsabili del trattamento
• (Nel caso che la Vostra Società faccia parte di un gruppo internazionale): assistenza con l’implementazione dei progetti probabilmente già richiesti dalla direzione centrale del gruppo