gdpr privacy

È ormai da diversi mesi che si sente parlare con una frequenza allarmante del Regolamento Europeo sulla Privacy e della conseguente necessità, per le imprese e per le pubbliche amministrazioni, di adeguarsi a questa nuova normativa. Ma perché il c.d. GDPR (dal suo nome in lingua inglese, General Data Protection Regulation) è diventato un argomento tanto attuale? E le disposizioni in esso contenute avranno davvero un impatto così importante sulle aziende italiane?

Per dare una risposta compiuta a queste domande è opportuno procedere con ordine e cercare di fare un po’ di chiarezza.

IL GDPR

Innanzitutto, abbiamo visto che si tratta di una normativa unitaria nata con lo scopo di dare uniformità e trasparenza alle regole sulla protezioni dei dati personali in tutto il territorio europeo, superando le differenze finora esistenti nei singoli Stati: differenze che, all’interno di un mercato globale in cui ai dati personali è riconosciuto un enorme valore, anche (e forse, ormai, soprattutto) dal punto di vista economico, non possono più essere tollerate.

Peraltro, vale la pena premettere che non si parla di ipotetici progetti di legge, perché il Regolamento è già entrato in vigore in tutti gli Stati Europei il 25 maggio 2016. Inoltre, il Regolamento, a differenza delle direttive europee che devono passare attraverso una legge nazionale, è un atto di portata generale ed “è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri” (art. 288, par. 2, TFUE): in poche parole, il GDPR ha portata direttamente vincolante non solo per le Autorità pubbliche, ma anche nei confronti di tutti i cittadini europei.

Sarebbe legittimo a questo punto aspettarsi che tale normativa sia già applicabile, mentre si sa che lo diventerà soltanto a partire dal 25 maggio 2018.

IL GDPR: VERSO IL 25 MAGGIO 2018

E già questo dovrebbe suonare come un campanello dall’allarme: l’Unione Europea, infatti, ha deciso di concedere ai Paesi membri un periodo di “assestamento” della durata di due anni, proprio per permettere che tutti i soggetti destinatari (pubblici e privati) abbiano modo di organizzarsi per essere in “compliance” (ovvero, semplicemente, essere in regola) con quanto previsto dalla nuova normativa europea.

L’opportunità di questa dilazione si comprende facilmente considerando le seguenti criticità: (1) la complessità (per struttura e per contenuti) della disciplina, (2) l’ampiezza dell’ambito di applicazione, soggettivo, materiale e territoriale del GDPR e (3) i rischi connessi alle sanzioni, invasive ed economicamente molto pesanti, previste per la violazione e per semplici errori od omissioni nell’applicazione del Regolamento.

In primo luogo, l’attenzione va portata sulla struttura stratificata del GDPR: dal punto di vista “interno”, non solo la normativa è composta da un testo generale, da numerosi “considerando” e da particolari linee guida, ma introduce anche principi, diritti e procedure importanti e, per vari aspetti, molto innovativi. Dal punto di vista “esterno”, vanno considerati poi gli interventi delle Autorità Garanti di ciascuno Stato, che sono chiamate ad intervenire attivamente per interpretare il GDPR e a predisporre appositi strumenti di coordinamento per aiutare i destinatari nel passaggio dalla vecchia alla nuova disciplina.

In secondo luogo, si consideri l’ambito di applicazione: il GDPR si estende, da un lato, a “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione” (secondo la definizione di “trattamento” dei dati personali contenuta nell’art. 4, (2), GDPR). Da un altro lato, i trattamenti di dati personali rilevanti sono quelli interamente o parzialmente automatizzati, nonché  quelli non automatizzati ove contenuti in un archivio o destinati a figurarvi (art. 2, co. 1, GDPR). Da ultimo, questa disciplina riguarda tutti i trattamenti dei dati personali effettuati da tutti i soggetti stabiliti nel territorio europeo, ma anche da parte di soggetti che operano a livello extraeuropeo se i dati riguardano soggetti che si trovano nell’Unione e “le attività di trattamento riguardano: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione” (art. 3, co. 2, GDPR).

LE SANZIONI PREVISTE DAL GDPR

Infine, si pensi che le sanzioni pecuniarie previste dal GDPR per le imprese che violano il Regolamento o, più semplicemente, che commettono degli errori o delle omissioni nell’applicazione delle norme a tutela della Privacy arrivano addirittura fino a 20.000.000 di euro ed al 4% del fatturato mondiale annuo, se superiore al predetto importo.

Si può dire, quindi, che il tanto parlare di questo GDPR è di per sé più che giustificato.

QUALE COMPLIANCE?

I problemi, però, si presentano laddove se ne parla, come per lo più accade, in termini confusi e meramente astratti. Infatti, come emerge già da quanto sopra accennato, per quanto è facile rientrare tra i soggetti tenuti ad applicare la disciplina del Regolamento, risulta altrettanto complicato, oltre che rischioso, destreggiarsi in una normativa così vasta e così complessa, che richiede di dare un’attenzione speciale al contesto particolare di ciascun soggetto e che pone l’adempimento di obblighi diversi in capo ai singoli operatori economici a seconda delle caratteristiche concrete di ciascuna realtà, oltre che a seconda degli specifici rischi che ogni diversa attività comporta per le diverse tipologie di dati personali trattate.

È vero, dunque, che le aziende non possono permettersi di sottovalutate l’importanza e la complessità degli adempimenti che il GDPR richiede loro ed è vero che dovranno mettersi in regola in vista della sua prossima applicazione. Per fare ciò, tuttavia, è imprescindibile conoscere questa disciplina nei suoi molteplici aspetti, capirne i principi che ne stanno alla base ed il significato e lo scopo delle procedure e dei diritti di nuova introduzione.

LA GUIDA AL GDPR DI DIRITTODELLINFORMATICA.IT

Questa guida è pensata e predisposta proprio nell’ottica di accompagnare le imprese in questo tortuoso percorso: l’unico modo per essere compliant è, infatti, quello di affidarsi a soggetti competenti e affidabili, ma, ancor prima, è opportuno che i soggetti interessati capiscano di cosa si sta parlando, cosa si sta chiedendo loro di fare e per quali motivi.

 

Ultimi aggiornamenti

intelligenza artificiale settimana lavorativa
Avv. Giuseppe Croari – Dott.ssa Francesca Gattarello Ad oggi sono notoriamente risaputi i vantaggi che l’intelligenza artificiale ha apportato anche nel mondo del lavoro (a tal proposito vi segnaliamo questo articolo). A ciò si aggiunga la maggiore consapevolezza che la società ha acquisito, negli ultimi anni, […]
contratto vendere webinar
Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
tiktok
Cosa è successo? È notizia di pochi giorni fa l’apertura da parte della Commissione Europa di una indagine e di un procedimento formale nei confronti della piattaforma cinese TikTok per aver violato regole e norme che l’Unione Europea si è data a tutela degli utenti tra […]

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.