Come previsto dai trattati internazionali dell’Unione Europea, dal 25 maggio il nuovo Regolamento sulla protezione dei dati personali sarà pienamente efficace ed operativo senza alcuna possibile aspettativa di deroghe o proroghe. Non mancano tuttavia le incertezze per migliaia di aziende e pubbliche amministrazioni, anche perché il GDPR (acronimo di General Data Protection Regulation) rimanda per molti aspetti alle normative nazionali degli stati membri, e in Italia sussiste ancora un vecchio Codice Privacy (Dlgs 196/2003) vigente ma non allineato al Regolamento UE, mentre nel frattempo la Commissione nominata presso il Ministero della Giustizia ha potuto iniziare i lavori di adeguamento della normativa italiana solo a gennaio, approvando di recente in via preliminare lo schema di un nuovo decreto legislativo, che difficilmente però vedrà la luce in tempo per fornire i chiarimenti che le imprese avrebbero voluto prima della scadenza.
Cosa è la GDPR?
La GDPR è un testo che prova a uniformare le leggi europee sul trattamento dati e il diritto a essere in pieno controllo delle informazioni che ci riguardano. Il regolamento si compone di 99 articoli e istituisce alcune novità come il diritto all’oblio (gli utenti possono chiedere di rimuovere informazioni a proprio riguardo), la portabilità dei dati (si possono scaricare e trasferire dati da una piattaforma all’altra, senza vincolarsi a un certo account) e l’obbligo di notifica in caso di data breach (le aziende, se subiscono fughe di informazioni sensibili, devono comunicarlo entro 72 ore). I destinatari sono i cosiddetti titolari del trattamento, ossia chi gestisce le informazioni quali privati e, soprattutto, aziende.
Leggi anche: GPDR: sarà applicato alle nostre voci
GDPR, quali aziende riguarda?
Ma quali sono le aziende che dovranno rispondere della nuova normativa sulla privacy detta, appunto, GDPR? Riguarderà tutte le imprese a livello globale che processano i dati dei cittadini della UE. Per la prima volta, infatti, la Commissione Europea esporta in tutto il mondo dei principi europei sulla data protection. Ciò significa che tutte le informazioni che riguardano i cittadini dell’Unione Europea dovranno rispettare le richieste del GDPR, rendendo così il regolamento UE la prima legge globale sulla data protection.
Cosa succede se un’azienda viola il GDPR?
La domanda più gettonata di queste settimane è quella che riguarda, indirettamente, le tasche delle aziende. Cosa succede se un’azienda viola il GDPR? Scattano delle sanzioni. Salate. A seconda della gravità dell’infrazione, le multe sono divise in due scaglioni: fino a un massimo di 10 milioni di euro o, per le imprese, il 2% del fatturato (se superiore); oppure fino a un massimo di 20 milioni o il 4% del turnover, sempre per le aziende e sempre in rapporto al giro d’affari. Per farsi un’idea, il Garante alla privacy è riuscito a incassare nel 2015 poco più di 3,3 milioni di sanzioni. La multa più leggera (10 milioni o 2% turnover) viene inflitta per la trasgressione di principi come la privacy by design (mancata protezione dei dati fin dalla progettazione) o la carenza di misure adatte a garantire un buon standard di sicurezza. Quella più pesante (20 milioni o 4% del turnover) arriva in caso di violazione dei principi fondamentali, come la negazione del diritto all’oblio o l’opacità nella richiesta di consenso dei dati.
Cosa è il Privacy Impact Assessment
Con il GDPR entra in vigore l’obbligo del cosiddetto Privacy impact assessment che dipende in larga misura, secondo gli analisti, dall’influsso del Garante britannico. Di fatto, il GDPR richiede ai controllori della privacy in azienda di condurre valutazioni di impatto per tutte le attività a rischio di attacchi e falle per minimizzare appunto il rischio di perdite o furti di dati. La compliance dovrà essere garantita dal DPO in riferimento a tutti i progetti che coinvolgono l’utilizzo di dati personali.
Leggi anche: GDPR, in arrivo la nuova privacy europea