A partire dal 25 maggio 2018 entrerà in vigore il nuovo regolamento europeo sulla protezione dei dati personali (REPD). Tutti i soggetti esercenti un’attività imprenditoriale devono tenere conto di questa novità legislativa e non solo.
Il trattamento dei dati personali (dalla raccolta all’eliminazione) presenterà un livello di rischio particolarmente alto e risulterà necessario armonizzare le disposizioni relative alla loro protezione sia da parte degli amministratori che dei gestori (imprese). Le imprese appartenenti a diversi settori di attività economiche e, in particolare, quelle che lavorano nel settore della finanza, marketing, risorse umane, FMCG, sicurezza ed energia, sono particolarmente interessate a questa novella legislativa.
Il nuovo regolamento prevede, tra l’altro, la possibilità che un organo di supervisione (Presidente della Sezione della Protezione dei Dati Personali) possa emettere multe per un importo massimo di 20 milioni di euro (oppure del 4% del volume delle vendite generali di una determinata impresa), nonchè anche della loro effettiva esecuzione. La possibilità di emettere multe particolarmente alte, accanto a quella di poter procedere per il loro pagamento, hanno costituito uno dei principali motivi per i quali le imprese si interessino particolarmente al tema della protezione dei dati personali.
Molte imprese, soprattutto quelle che esercitano l’attività in diversi paesi dell’UE, sono convinte che il REPD consista in un unico documento che regola il trattamento dei dati personali. Con molta frequenza non si tiene conto del fatto che il regolamento costituisce sono una piccola parte della normativa relativa al trattamento dei dati di carattere personale che entrerà in vigore a partire dal 25 maggio prossimo.
Anche se il REPD regola la maggior parte delle questioni relative al trattamento dei dati, in Polonia si sta elaborando una nuova legge di protezione dei dati di carattere personale avente come obiettivo quello di specificare alcune disposizioni del REPD. Nel mese di marzo 2017, il Ministero degli Affari Digitali, responsabile per l’attuazione del regolamento in Polonia, ha pubblicato un primo disegno di legge sulla protezione dei dati personali.
Il disegno di legge che è stato presentato, attualmente fa riferimento solamente ad alcune disposizioni del REPD e contiene ulteriori proposte di disposizioni relative, tra l’altro, a:
- l’accredito e la certificazione;
- il procedimento relativo all’applicazione della normativa sulla protezione dei dati personali;
- le cooperazione amministrativa europea;
- il procedimento di controllo;
- le multe e la responsabilità civile;
- gli ispettori della protezione dei dati;
- il limite di età dei minori a partire dal quale sarà richiesto il consenso di uno dei genitori o del rappresentante legale.
Il progetto attuale, tuttavia, non contiene tutte le soluzioni che conterrà la nuova legge. Il disegno di legge completo dovrà attuare e regolare soprattutto questioni come quelle relative al registro del trattamento dei dati, alla notifica nel caso di violazione dei dati personali e all’eventuale responsabilità penale derivante dal trattamento dei dati personali.
La nuova legge non sarà l’unico strumento giuridico avente come obiettivo l’assicurazione dell’applicazione adeguata del REPD nell’ordinamento giuridico in Polonia. Con l’entrata in vigore del REPD si riformerà un importante numero di leggi e altri atti legislativi che regolano il trattamento dei dati in settori come, per esempio, le istituzioni finanziarie o le telecomunicazioni.
L’adattamento di disposizioni settoriali in altri ambiti rappresenta una sfida sia per le imprese che per il Ministero degli Affari Digitali, come anche per le organizzazioni settoriali come l’Associazione delle Banche di Polonia o il Consiglio Polacco dell’Informatica e della Tecnologia. Essi parteciperanno intensamente ai lavori legislativi posti in essere per il Ministero degli Affari Digitali e il cui ambito è quello di predisporre modifiche alla normativa di settore in materia di trattamento di dati o di codici generali di procedura. In diversi casi, la normativa settoriale non ha carattere di informazione pubblica, tuttavia la partecipazione delle imprese alle consultazioni nell’ambito di un’organizzazione settoriale può consentire loro di conoscere e influenzare la forma della regolamentazione.
Le modifiche apportate dal Ministero degli Affari Digitali e dai rappresentanti delle organizzazioni settoriali saranno introdotte nell’ordinamento giuridico nella forma di una legge che includerà le modifiche che adatteranno il trattamento dei dati settoriali a quelli richiesti dal REPD. Secondo informazioni fornite dal Ministero degli Affari Digitali, il disegno di legge menzionato sarà pronto tra luglio e agosto del prossimo anno.
Inoltre, come annunciato dal Ministero degli Affari Digitali, i cosiddetti emendamenti settoriali avranno anche ad oggetto il Codice del Lavoro comprendendo, tra l’altro, le disposizioni relative alla protezione, all’interno delle imprese, dei dati biometrici dei lavoratori.
Ogni impresa, indipendentemente dal settore in cui opera, dovrà preparasi in forma globale per le modifiche in materia della protezione dei dati personali. Dalla nostra osservazione è risultato che alcuni clienti presumono che l’introduzione di soluzioni uniformi per tutte le organizzazioni che operano all’interno dell’UE sarà una misura sufficiente per adeguarsi al REPD, senza dubbio, la maggior parte di queste non tengono in considerazione le differenze che possono risultare dai vari settori (per esempio, per quanto riguarda i settori bancario e assicurativo).
Pertanto, è da sottolineare il fatto che, nell’evoluzione della protezione dei dati personali che è in corso, l’attuazione unicamente delle soluzioni del REDP può risultare insufficiente. Il numero e l’importanza delle modifiche nell’ambito della protezione dei dati esigono che le imprese debbano trattare più approfonditamente le questioni relative alla protezione dei dati personali nelle loro organizzazioni e nei loro settori e che si preparino adeguatamente per le modifiche che verranno introdotte a partire dal 25 di maggio 2018. Ogni impresa, e in particolare quelle che operano nei settori regolamentati (per es. banche, settore assicurativo), devono tenere conto del fatto che il processo di implementazione del REDP comprende, in aggiunta, le modifiche richieste dalla normativa settoriale, tipica dei settori operanti in Polonia. Le alte multe che deriveranno dalla violazione della nuova normativa, costituiscono uno stimolo sufficiente per implementare e accelerare il processo di attuazione del REDP in forma dettagliata e globale.
Contatto:
Alfio Mancani
Avvocato – Italian Desk
M: +48 504 230 461