Il nuovo Regolamento europeo sulla protezione dei dati personali (Gdpr- General Data Protection Regulation), in vigore in Italia dal 25 maggio 2018, impone alle imprese italiane un profondo cambiamento culturale. Se prima infatti, con la vecchia legge della privacy, spettava solo agli interessati e cioè ai proprietari dei dati personali preoccuparsi di proteggere la propria privacy, accorgendosi e intervenendo nei casi in cui questa non venisse rispettata, ora invece, sulla base dei due nuovi concetti di privacy by design e privacy by default introdotti dal Gdpr, toccherà alle aziende dimostrare di avere messo in atto tutte le procedure necessarie per evitare un uso dei dati dei clienti non autorizzato né strettamente necessario. Se non lo fanno, rischiano di incorrere in pesanti sanzioni (sino al 4% del fatturato globale) che possono arrivare anche fino a 20 milioni di euro. Questo cambio radicale di prospettiva che vede l’impresa rispondere in prima persona del trattamento dei dati personali della propria clientela, rientra a pieno titolo nella nuova visione europea che innalza la tutela dell’individuo a principio fondamentale e inderogabile della vita economica, lavorativa e sociale dei Paesi membri dell’Unione. A riprova di ciò basti pensare che in questa direzione stanno andando anche le recenti leggi che disciplinano i settori economici e finanziari come Mifid 2 (finanziario) e Idd (assicurativo). Entrambe le direttive partono infatti dal concetto di tutelare il risparmiatore con un’offerta adeguata, trasparente e disinteressata. Lo stesso principio della tutela vale anche per la nuova legge sulla privacy che garantirà invece ad ogni consumatore il diritto di conoscere con precisione come sono custoditi i propri dati personali e la possibilità di richiederne la completa cancellazione. In quest’ottica il lavoro da svolgere è notevole in quanto le aziende dovranno intervenire sui sistemi informatici e sulle piattaforme elettroniche o applicazioni che finora sono servite a raccogliere i dati personali. Dovranno mettere a punto modelli di privacy governance conformi ai principi e agli obblighi sanciti dal regolamento, prevedere la figura del Data protection officer (Dpo), dotarsi di un Registro dei trattamenti dei dati personali che dovrà essere messo a disposizione dell’Autorità Garante e contenere tutta una serie di informazioni. Inoltre dovranno formare il personale per metterlo in grado di adempiere agli obblighi richiesti dalla nuova normativa. Nel caso in cui un’azienda venisse a conoscenza di irregolarità nel trattamento di dati che potrebbe dare luogo ad una violazione di quanto prescritto nel regolamento, dovrà provvedere, immediatamente o comunque entro 72 ore, a informarne l’Autorità garante e gli interessati. È facile quindi intuire quanto queste disposizioni sulla privacy possano ripercuotersi anche sull’operatività delle imprese. L’osservanza della nuova privacy, così come conformata nel Gdpr, non potrà più essere vista come una semplice formalità, ma come un elemento basilare delle politiche aziendali. In un mercato sempre più sensibile ai temi dell’etica, della trasparenza e della sicurezza, il rispetto rigoroso di quanto previsto dalle nuove disposizioni, se efficacemente comunicato, può essere utilizzato come fattore competitivo per accrescere la reputazione.
Deloitte Legal con Silvateam S.p.a. nell’acquisizione di Wet-Greengmbh
15 Aprile 2024
Deloitte Legal ha assistito Silvateam S.p.A nell’operazione di acquisto da MB-Holding GmbH & Co. KG.
