LE NOVITA’ DEL GDPR PRIVACY
Veniamo, infine, ai nuovi adempimenti e obblighi introdotti dal regolamento europeo GDPR.
PRINCIPIO DI RESPONSABILIZZAZIONE (ACCOUNTABILITY)
“È il principale elemento di novità – afferma Guerra – e consiste nell’obbligo per il titolare del trattamento (concessionario) di garantire il rispetto della normativa privacy, ma soprattutto di essere in grado di dimostrare questa adesione alla normativa”.
In pratica – spiega l’avvocato – ogni dealer deve valutare l’adeguatezza delle misure organizzative tecniche di sicurezza che ha adottato secondo l’approccio basato sul rischio, ossia tenuto conto della tipologia di trattamento dei dati. Di conseguenza, “andrà selettivamente ad adottare maggiori cautele laddove vi siano trattamenti di dati a elevato rischio.
Questa attenzione, prosegue, va data sin dall’acquisto o dallo sviluppo dei software che sono utilizzati (privacy by design) che nell’utilizzo ordinario degli strumenti elettronici (privacy by default)“. Per cui i sistemi utilizzati dai concessionari vanno sempre configurati in modo da garantire la protezione dei dati e ridurre i rischi per gli interessati.
REGISTRO DEI TRATTAMENTI DEI DATI
La tenuta del registro non è obbligatoria per le imprese con meno di 250 dipendenti, purché non siano effettuati trattamenti rischiosi. Molti dealer non sono interessati, a meno che non abbiano filiali a livello nazionale, un numero elevato di clienti, particolari sistemi di CRM o gestiscano dati sensibili.
“Per quei dealer obbligati alla tenuta del registro, può essere utile svolgere – prima del 25 maggio – una rilevazione delle attività di trattamento dei dati personali svolte al proprio interno, che non riguarda solo i clienti ma anche i dipendenti del concessionario”.
Giovanni Guerra
RESPONSABILE PROTEZIONE DATI (DPO)
Questa nuova figura, particolarmente esperta in materia di protezione dei dati, ha compiti consultivi e di controllo in azienda. Tuttavia, è obbligatoria solo quando il concessionario svolge attività di monitoraggio sistematico dei clienti su scala nazionale.
OBBLIGO DI NOTIFICA
In materia di sicurezza, con il GDPR privacy viene superato l’obbligo generalizzato di adottare misure minime (come già indicato dal Garante della privacy in una guida sull’applicazione del GDPR).
“Qualora una violazione di sicurezza dei dati o un incidente informatico determini un rischio di pregiudizio per gli interessati – spiega Guerra -, per l’azienda scatta l’obbligo di notifica entro 72 ore dell’evento all’autorità garante. Nei casi più gravi, inoltre, bisognerà anche comunicarlo agli interessati”.
VALUTAZIONE IMPATTO SULLA PROTEZIONE DATI
Infine, qualora – sempre a partire dal 25 maggio – i dealer intraprendano progetti con l’utilizzo di nuove tecnologie particolarmente invasive per la privacy, è previsto l’obbligo di svolgere una procedura preliminare di valutazione impatto sulla protezione dei dati (DPIA).
