Il nuovo Regolamento Generale sulla Protezione dei Dati, meglio noto come GDPR, nato per rafforzare e rendere omogeneo il trattamento dei dati personali dei cittadini e residenti dell’Unione Europea, all’interno ed all’esterno dei confini comunitari, ha genenrato non pochi nuovi obblighi a carico delle aziende in materia di privacy, penalizzando in particolare quelle meno strutturate, come PMI ed enti no profit.
=> GDPR nelle PMI: un tool di auto-valutazione
Queste realtà ora, in vista del riesame del GDPR, chiedono una semplificazione delle incombenze a loro carico.
Revisione del GDPR
Entro il 25 maggio 2020, a due anni dalla sua entrata in vigore, la Commissione europea dovrà trasmettere al Parlamento europeo e al Consiglio una relazione sulla valutazione e sul riesame del GDPR.
Analoghe operazioni di verifica e bilancio avverranno con regolarità, ma le prossime si ripeteranno ogni quattro anni, come previsto dallo stesso GPDR, all’art. 97.
Nella fase di stesura della relazione la Commissione può richiedere informazioni agli Stati membri e alle Autorità di controllo. Quindi, anche in base alle posizioni e alle conclusioni del Parlamento europeo, del Consiglio, nonché di altri organismi o fonti pertinenti e degli sviluppi delle tecnologie dell’informazione e dei progressi della società dell’informazione, potrà presentare proposte di modifica del GDPR.
=> GDPR: compliance caso per caso
Semplificazione GDPR: la proposta
La proposta di posizione sull’applicazione del GDPR è stata pubblicata dai membri delle rappresentanze permanenti degli Stati membri presso il Consiglio dell’Unione europea lo scorso 19 dicembre 2019. Dopo la sua formale adozione, il documento verrà presentato dal Consiglio alla Commissione europea.
Nel documento vengono affrontati anche alcuni problemi applicativi come, appunto, la necessità di avviare quella semplificazione per le PMI finora non realizzata, nonostante lo stesso GDPR la incoraggi, ad esempio all’13, in cui invita le istituzioni e gli organi dell’Unione e gli Stati membri e le loro Autorità di controllo a considerare le esigenze specifiche delle PMI nell’applicare il GDPR.
=> Adeguamento al GDPR in 10 step
Viene inoltre fatto presente che, oltre alle PMI, ad incontrare praticamente le medesime difficoltà sono anche le associazioni di beneficenza e di volontariato. Seppur con alcune differenze, le problematiche sollevate per PMI ed enti no profit sono paragonabili in pressoché tutti gli Stati membri.
In particolare queste realtà hanno dovuto affrontare sfide soprattutto sul fronte dell’accountability (o documentazione delle scelte) e della creazione di un sistema interno di compliance (gestione della conformità) al GDPR.
Nel documento si ravvisa la necessità di una rivisitazione ad hoc, per queste categorie di Titolari, relativamente a:
- la creazione/manutenzione dei registri dei trattamenti, che da una parte vede esonerate le organizzazioni con meno di 250 dipendenti, dall’altra però il Regolamento prevede che qualsiasi organizzazione, anche minuscola, con almeno un dipendente, che si trovi a trattare categorie particolari di dati (i dati “sensibili”), o dati personali relativi a condanne penali e a reati (i dati “giudiziari”), debba dotarsi di un registro dei trattamenti (art. 30.5 del GDPR). La proposta è di promuovere modelli semplificati di registro;
- la gestione delle violazioni dei dati personali, con la relativa notifica all’Autorità di controllo, ora obbligatoria entro 72 ore, modifica che rispetto al passato ha creato un notevole aggravio di lavoro sia per le organizzazioni che per le Autorità. Qui il documento del Consiglio suggerisce un modulo armonizzato per la notifica.