Focus

Published on febbraio 5th, 2018 | by dirittodellinformatica.it

0

GDPR e imprese: quale impatto concreto? La guida di dirittodellinformatica.it

È ormai da diversi mesi che si sente parlare con una frequenza allarmante del Regolamento Europeo sulla Privacy e della conseguente necessità, per le imprese e per le pubbliche amministrazioni, di adeguarsi a questa nuova normativa. Ma perché il c.d. GDPR (dal suo nome in lingua inglese, General Data Protection Regulation) è diventato un argomento tanto attuale? E le disposizioni in esso contenute avranno davvero un impatto così importante sulle aziende italiane?

Per dare una risposta compiuta a queste domande è opportuno procedere con ordine e cercare di fare un po’ di chiarezza.

IL GDPR

Innanzitutto, abbiamo visto che si tratta di una normativa unitaria nata con lo scopo di dare uniformità e trasparenza alle regole sulla protezioni dei dati personali in tutto il territorio europeo, superando le differenze finora esistenti nei singoli Stati: differenze che, all’interno di un mercato globale in cui ai dati personali è riconosciuto un enorme valore, anche (e forse, ormai, soprattutto) dal punto di vista economico, non possono più essere tollerate.

Peraltro, vale la pena premettere che non si parla di ipotetici progetti di legge, perché il Regolamento è già entrato in vigore in tutti gli Stati Europei il 25 maggio 2016. Inoltre, il Regolamento, a differenza delle direttive europee che devono passare attraverso una legge nazionale, è un atto di portata generale ed “è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri” (art. 288, par. 2, TFUE): in poche parole, il GDPR ha portata direttamente vincolante non solo per le Autorità pubbliche, ma anche nei confronti di tutti i cittadini europei.

Sarebbe legittimo a questo punto aspettarsi che tale normativa sia già applicabile, mentre si sa che lo diventerà soltanto a partire dal 25 maggio 2018.

IL GDPR: VERSO IL 25 MAGGIO 2018

E già questo dovrebbe suonare come un campanello dall’allarme: l’Unione Europea, infatti, ha deciso di concedere ai Paesi membri un periodo di “assestamento” della durata di due anni, proprio per permettere che tutti i soggetti destinatari (pubblici e privati) abbiano modo di organizzarsi per essere in “compliance” (ovvero, semplicemente, essere in regola) con quanto previsto dalla nuova normativa europea.

L’opportunità di questa dilazione si comprende facilmente considerando le seguenti criticità: (1) la complessità (per struttura e per contenuti) della disciplina, (2) l’ampiezza dell’ambito di applicazione, soggettivo, materiale e territoriale del GDPR e (3) i rischi connessi alle sanzioni, invasive ed economicamente molto pesanti, previste per la violazione e per semplici errori od omissioni nell’applicazione del Regolamento.

In primo luogo, l’attenzione va portata sulla struttura stratificata del GDPR: dal punto di vista “interno”, non solo la normativa è composta da un testo generale, da numerosi “considerando” e da particolari linee guida, ma introduce anche principi, diritti e procedure importanti e, per vari aspetti, molto innovativi. Dal punto di vista “esterno”, vanno considerati poi gli interventi delle Autorità Garanti di ciascuno Stato, che sono chiamate ad intervenire attivamente per interpretare il GDPR e a predisporre appositi strumenti di coordinamento per aiutare i destinatari nel passaggio dalla vecchia alla nuova disciplina.

In secondo luogo, si consideri l’ambito di applicazione: il GDPR si estende, da un lato, a “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione” (secondo la definizione di “trattamento” dei dati personali contenuta nell’art. 4, (2), GDPR). Da un altro lato, i trattamenti di dati personali rilevanti sono quelli interamente o parzialmente automatizzati, nonché  quelli non automatizzati ove contenuti in un archivio o destinati a figurarvi (art. 2, co. 1, GDPR). Da ultimo, questa disciplina riguarda tutti i trattamenti dei dati personali effettuati da tutti i soggetti stabiliti nel territorio europeo, ma anche da parte di soggetti che operano a livello extraeuropeo se i dati riguardano soggetti che si trovano nell’Unione e “le attività di trattamento riguardano: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione” (art. 3, co. 2, GDPR).

LE SANZIONI PREVISTE DAL GDPR

Infine, si pensi che le sanzioni pecuniarie previste dal GDPR per le imprese che violano il Regolamento o, più semplicemente, che commettono degli errori o delle omissioni nell’applicazione delle norme a tutela della Privacy arrivano addirittura fino a 20.000.000 di euro ed al 4% del fatturato mondiale annuo, se superiore al predetto importo.

Si può dire, quindi, che il tanto parlare di questo GDPR è di per sé più che giustificato.

QUALE COMPLIANCE?

I problemi, però, si presentano laddove se ne parla, come per lo più accade, in termini confusi e meramente astratti. Infatti, come emerge già da quanto sopra accennato, per quanto è facile rientrare tra i soggetti tenuti ad applicare la disciplina del Regolamento, risulta altrettanto complicato, oltre che rischioso, destreggiarsi in una normativa così vasta e così complessa, che richiede di dare un’attenzione speciale al contesto particolare di ciascun soggetto e che pone l’adempimento di obblighi diversi in capo ai singoli operatori economici a seconda delle caratteristiche concrete di ciascuna realtà, oltre che a seconda degli specifici rischi che ogni diversa attività comporta per le diverse tipologie di dati personali trattate.

È vero, dunque, che le aziende non possono permettersi di sottovalutate l’importanza e la complessità degli adempimenti che il GDPR richiede loro ed è vero che dovranno mettersi in regola in vista della sua prossima applicazione. Per fare ciò, tuttavia, è imprescindibile conoscere questa disciplina nei suoi molteplici aspetti, capirne i principi che ne stanno alla base ed il significato e lo scopo delle procedure e dei diritti di nuova introduzione.

LA GUIDA AL GDPR DI DIRITTODELLINFORMATICA.IT

Questa guida è pensata e predisposta proprio nell’ottica di accompagnare le imprese in questo tortuoso percorso: l’unico modo per essere compliant è, infatti, quello di affidarsi a soggetti competenti e affidabili, ma, ancor prima, è opportuno che i soggetti interessati capiscano di cosa si sta parlando, cosa si sta chiedendo loro di fare e per quali motivi.

 

Tags: ,


About the Author



Back to Top ↑