Segnaliamo alcuni importanti mutamenti del contesto legislativo in materia di sicurezza delle informazioni, da cui potrebbe derivare l’esigenza di implementazione e/o di aggiornamento del modello aziendale in materia di tutela dei dati personali adottato ai sensi del Regolamento (UE) n. 679/2016 (“GDPR”).
Il 2024 si è infatti distinto per l’entrata in vigore di leggi e provvedimenti nel settore del diritto delle nuove tecnologie, iscritti nel quadro della transizione digitale in corso, nonché per l’emanazione di importanti provvedimenti del Garante per la protezione dei dati personali, inerenti al trattamento dei dati personali dei dipendenti raccolti attraverso gli strumenti informatici.
I. Nuove normative europee e nazionali Con riguardo alla nuova normativa, nazionale ed europea, nel corso del 2024 sono entrati in vigore, a titolo esemplificativo:
• Regolamento (UE) n. 1689/2024 sull’Intelligenza Artificiale;
• Decreto Legislativo n. 164/2024 sulla resilienza informatica dei soggetti critici;
• Decreto Legislativo n. 138/2024 (NIS 2) volto a garantire un livello elevato di cybersicurezza in ambito nazionale.
II. Ultimi provvedimenti del Garante con riferimento ai dati personali dei dipendenti Con specifico riferimento alle ultime indicazioni del Garante in materia di trattamento dei dati personali dei dipendenti che siano raccolti attraverso l’utilizzo di strumenti informatici, lo scorso anno sono stati emanati alcuni significativi provvedimenti, tra cui i seguenti:
• Provvedimento n. 140 del 7 marzo 2024 e Provvedimento n. 472 del 17 luglio 2024 sulle modalità di accesso e utilizzo della casella di posta elettronica dell’ex dipendente.
• Provvedimento n. 364 del 6 giugno 2024 sulle possibilità e limiti di conservazione dei metadati della posta elettronica dei dipendenti;
• Provvedimento n. 771 del 12 dicembre 2024 in materia di conservazione dei file di log relativi alla posta elettronica, alla navigazione in Internet, all’accesso al gestionale e all’utilizzo dei dispositivi telefonici del dipendente.
• Provvedimenti n. 148 del 7 marzo 2024 e Provvedimento n. 618 del 17 ottobre 2024 per le attività di telemarketing e di sviluppo e produzione di software gestionali.
III. Cosa devono fare le PMI?
Nel contesto europeo, l’uso di nuove tecnologie e di processi digitali per l’ottimizzazione dell’attività d’impresa determina l’obbligo di implementazione (se assenti) o di aggiornamento (se già adottate) di misure tecniche e organizzative volte a prevenire l’illecito trattamento di dati – personali e non – divenuti ormai asset dal valore economico, oltre che umano.
Con particolare riferimento ai dati personali, inoltre, l’art. 32 del GDPR impone a tutti i titolari del trattamento di identificare e attuare delle misure di sicurezza che siano adeguate tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento dei dati, sulla scorta del generale principio di responsabilizzazione.
In questa fase di cambiamento è quindi necessario che le PMI procedano all’effettuazione di un assessment interno volto a verificare il proprio grado di conformità al GDPR e alle nuove normative e, di conseguenza, stabilire se e quali possano essere le iniziative di aggiornamento e/o implementazione da apportare al proprio Modello Privacy, così da garantire che l’operatività aziendale sia sempre in linea con l’assetto giuridico vigente.