I Dati aziendali rappresentano una ricchezza fondamentale per ogni impresa, in quanto influiscono direttamente sul suo sviluppo e la sua crescita. Ecco perché dal 25 Maggio 2018 entrerà in vigore il nuovo Regolamento europeo per la protezione dei dati, in inglese Gdpr, cioè General data protection regulation.
Il nuovo Regolamento rappresenta un cambiamento epocale, sia in termini sostanziali che formali. Infatti, oltre ad essere una norma valida su tutto il territorio dell'Ue, modifica profondamente il quadro normativo fin qui esistente. E di conseguenza gli adempimenti richiesti ai datori di lavoro, come pure le sanzioni comminate per l'inosservanza delle norme.
Il nuovo ambito di applicazione del regolamento
Fino ad oggi la tutela della privacy in ambito aziendale aveva dei contorni incerti. A parole tutti si impegnavano a rispettarla e farla rispettare. Ma i rischi e le relative sanzioni erano vaghi e di portata limitata. Ora, il nuovo Regolamento cambierà radicalmente le cose. Infatti, oltre a comminare sanzioni pecuniarie fino ad un massimo di 20 milioni di euro o al 4% del fatturato mondiale di gruppo, pretende che l'imprenditore proceda ad un esame approfondito dei processi di protezione dei dati implementati nell'azienda. Dovranno essere rafforzati e migliorati tutti i processi di trattamento delle informazioni, sia quelli della sede e delle, eventuali, filiali nazionali; sia quelli delle filiali estere.
Inoltre, anche le aziende che non hanno sede nel territorio dell'Unione Europea, ma intrattengono rapporti commerciali con aziende aventi sede nel territorio dell'UE dovranno rispettare le nuove disposizioni del regolamento. In pratica ogni trattamento di dati che ha a che fare con l'UE ricade sotto l'applicazione del regolamento.
Le nuove definizioni del regolamento
Data la portata transnazionale del nuovo Regolamento, le varie definizioni che esso fornisce, a partire dal concetto di trattamento dei dati, sono, necessariamente, molto ampie. Per il nuovo Regolamento 'trattare un dato' vuol dire compiere qualsiasi operazione o serie di operazioni, anche senza l'ausilio di strumenti informatici, in qualsiasi forma, dalla raccolta alla registrazione fino alla trasmissione con qualunque mezzo.
Ovviamente, lo stesso vale per i soggetti tenuti a rispettare il nuovo Regolamento europeo e cioè tutti gli enti, pubblici e privati, e le persone fisiche, come i datori di lavoro, che trattano dati in qualche modo.
Cosa richiede la normativa ai datori di lavoro
Fino ad oggi i dati aziendali venivano, semplicemente, archiviati nei server o in altri formati e lasciati lì. Ora la normativa europea richiede che i titolari del trattamento procedano ad una mappatura degli stessi che deve essere sempre veritiera, costante e effettiva. In pratica, si dovrà sempre dare conto di quanti e quali dati vengono trattati, come viene effettuato il trattamento e, soprattutto, perché viene effettuato. Inoltre, dovranno essere implementate strategie idonee a ridurre al minimo i rischi di violazione della privacy.
