Venerdì 3 novembre si è tenuto il seminario "Tutela dei Dati Personali", organizzato dalla Camera di Commercio e dell’Industria Italo-Ceca, in collaborazione con lo studio legale bpv BRAUN PARTNERS. Il seminario è stato condotto dagli avvocati dello studio bpv BRAUN PARTNERS, Gabriela Jiráková e Lucie Kalašová.
Al centro del seminario il nuovo regolamento sulla protezione dei dati personali, conosciuto sotto la sigla GDPR. Il nuovo regolamento diventerà operativo dal 25 maggio del prossimo anno in tutti gli stati membri dell’Unione Europea. Questa volta non sarà quindi necessario recepire la direttiva tramite una legge nazionale. «Il GDPR sostituirà la precedente direttiva sulla protezione dei dati personali, riprendendo alcuni concetti della normativa in vigore. Non possiamo, pertanto, parlare di un completo stravolgimento delle norme», afferma l’avv. Gabriela Jiráková, che è membro dell’Organo Consultivo per la Protezione dei Dati Personali dell’Ufficio di Governo della Repubblica Ceca.
Tra le principali novità, un forte rialzo delle sanzioni, che dovrebbe spingere le imprese a trattare con più attenzione i dati personali. Il GDPR prevede multe fino a venti milioni di euro e il 4% del fatturato mondiale di un gruppo. Oggi le sanzioni sono sensibilmente inferiori. Anche per questo motivo le società stanno cercando di capire il nuovo regolamento. «La filosofia di base del GDPR è l’approccio al rischio. Gli amministratori dei dati personali dovranno valutare da soli la loro situazione e gli eventuali rischi, adottando misure necessarie per evitare i potenziali danni», sottolinea l’avv. Jiráková. Le imprese dovranno studiare a fondo il regolamento e formare un team specializzato, che dovrà guidare il processo di implementazione, anche con l’aiuto di consulenti esterni. A questa fase iniziale dovrebbe seguire un audit interno. «Ogni impresa deve sapere quali dati raccoglie e creare una mappa dei processi di elaborazione di questi dati. La raccolta dei dati interni e la creazione della mappa dei processi è la fase più impegnativa del processo di implementazione», descrive l’avv. Jiráková. Nella fase calda di implementazione, il team dovrebbe rivedere tutti i documenti legati ai dati personali e impostare i processi interni in modo che soddisfino gli obblighi previsti dalla legislazione e minimizzino i pericoli di abuso dei dati personali.
Il GDPR introduce una serie di nuovi obblighi e istituti, con cui le imprese devono fare i loro conti. «Il GDPR è stato scritto riprendono normative e istituti già presenti nelle prassi dei singoli Paesi», evidenzia l’avv. Lucie Kalašová, specialista nel settore dei dati personali. Tra i nuovi istituti troviamo il Responsabile per la Protezione dei Dati, che cura il monitoraggio dei processi interni, la raccolta di segnalazioni e la comunicazione con il Garante della Privacy, a cui andranno comunicati i dati e i contatti del Responsabile. «E’ molto importante che il Responsabile sia raggiungibile», specifica l’avv. Lucie Kalašová. La posizione può essere ricoperta da un dipendente o un collaboratore esterno. Il Responsabile deve avere le conoscenze e i mezzi necessari per svolgere i propri compiti. Per quanto riguarda la qualifica, in Repubblica Ceca non è previsto un titolo di studio minimo o una certificato di idoneità. «Il Responsabile deve essere indipendente. Nel caso in cui la posizione sia ricoperta da un dipendente, il datore di lavoro non può dargli indicazioni nei compiti da responsabile. Inoltre, le eventuali altre mansioni lavorative non devono creare un conflitto d’interesse», aggiunge l’avv. Kalašová.
Il GDPR influirà su molti ambiti aziendali. Oltre ai dati personali dei clienti e dei partners commerciali, sono sotto tutela del nuovo regolamento anche i dati dei dipendenti, comprese le fasi prima e dopo il rapporto di lavoro. «Senza il consenso dei candidati le imprese non possono conservare i curriculum dei candidati che non hanno avuto successo nella selezione», illustra l’avv. Kalašová. D’altronde, questa non è una novità assoluta, in quanto il divieto è già presente nelle normative attuali. In generale, le imprese dovrebbero raccogliere e trattare soltanto i dati personali strettamente necessari per avviare il rapporto di lavoro e per lo svolgimento della mansione. «Tra questi dati non rientra, ad esempio, il codice fiscale ceco oppure il referto medico del dipendente. Il datore di lavoro non deve raccogliere neppure informazioni sull’orientamento sessuale, le opinioni politiche o l’appartenenza sindacale dei propri dipendenti», sottolinea l’avv. Kalašová. Dopo la fine del rapporto del lavoro, le imprese possono conservare solo i dati previsti da altre leggi (ad esempio sulla contabilità).
Il seminario ha mostrato la complessità dell’implementazione del GDPR, dovuta anche al fatto che molte imprese non soddisfano neppure gli obblighi previsti dall’attuale normativa. «Non c’è tempo da perdere per prepararsi», avverte l’avvocato Jirákova, ricordando che alcuni processi possono essere impegnativi da implementare, soprattutto in aziende di grandi dimensioni.
Fonte: Camic
Fonte fotografia: Camic
