Fecebook: affonda a Wall Street, -5,20%
Cambridge Analytica
Markus Spiske 507983 Unsplash
25 Marzo Mar 2018 1800 25 marzo 2018

Privacy: cosa dice il Gdpr, nuovo regolamento europeo

Entrerà in vigore in tutta l'Ue il 25 maggio. Sostituendo la direttiva 95/46/Ce, nata quando lo scambio di dati era sensibilmente minore. Dalle società coinvolte alle sanzioni: il testo ai raggi X.

  • ...

Proteggere i dati personali, armonizzare le leggi nazionali sulla privacy, rimodellare le modalità di approccio al tema delle organizzazioni e delle imprese. Questi gli obiettivi del nuovo Regolamento generale sulla protezione dei dati (Gdpr) dei cittadini europei che entrerà pienamente in vigore in tutta l'Unione il prossimo 25 maggio e che andrà a sostituire la direttiva 95/46/Ce, nata quando lo scambio di dati - anche sensibili - era sensibilmente minore. In Italia della nuova normativa sulla privacy ancora non si sente parlare molto, eccezion fatta per gli addetti ai lavori. Eppure si tratta di una novità che riguarda oltre 500 milioni di persone e tutte le organizzazioni che operano in Europa, pure con sede fuori dal Vecchio Continente. Non solo Pmi o grandi imprese dei diversi settori commerciali - incluse banche e assicurazioni - ma anche pubbliche amministrazioni e operatori telefonici. Senza dimenticare i colossi che fanno affari nel mondo del digitale, da Amazon a Microsoft, da Google a Facebook, in questi giorni nella bufera per via dell'affaire Cambridge Analytica.

LA DELEGA SCADE IL 19 MAGGIO. Ad arrivare pronte alla scadenza saranno con molta probabilità solo le grandi aziende o la Pa mentre per la gran parte delle micro e delle piccole imprese - piuttosto numerose nel nostro Paese - il rischio è di non essere in regola per il 25 maggio. Intanto due giorni fa il governo, in uno dei suoi ultimi Consigli dei ministri, ha approvato in via preliminare il decreto legislativo messo a punto dal ministero della Giustizia che introduce le disposizioni per adeguarsi al Gdpr e che elimina di fatto - come ricorda proprio Palazzo Chigi - il Codice privacy finora in vigore, contenuto nel decreto legislativo 196 del 30 giugno 2003. Lo schema di decreto varato in Cdm - che ha all'interno le poche norme rimaste in vita dopo l'abrogazione del Codice privacy - seguirà ora un iter che lo porterà alla definitiva approvazione da parte del nuovo esecutivo: commissioni parlamentari competenti, Consiglio di Stato, Garante della privacy. Il tutto entro il 19 maggio, quando scadrà la delega affidata al governo dal parlamento con la legge di delegazione europea 163/2017 per mettere insieme le disposizioni nazionali con il Gdpr.

Nel sito ufficiale di presentazione del nuovo Regolamento, Bruxelles rivendica il fatto che si tratta del «più importante cambiamento» in materia da 20 anni a questa parte e ricorda che il Gdpr è stato approvato ad aprile 2016 dopo quattro anni di lavori. Le modifiche rispetto alla direttiva messa a punto nel 1995 non sono di poco conto, a partire dall'aumento dell'ambito territoriale interessato. Come si diceva, il Gdpr si applicherà a tutte le società che trattano i dati personali delle persone residenti nell'Unione - inclusi al momento pure i cittadini britannici - indipendentemente da dove è posta la loro sede e vengono elaborati i dati. Altro punto chiave riguarda il consenso, che deve essere richiesto e fornito in modo chiaro, facilmente accessibile e distinguibile da altre questioni. Una delle novità più temute riguarda le sanzioni per chi non rispetta il Regolamento - cloud inclusi - che possono arrivare fino a 20 milioni di euro o al 4% del fatturato globale annuale, se superiore. Una soglia massima che si applica nei casi più gravi, per esempio se i dati vengono elaborati senza un consenso sufficiente da parte del cliente. Più basso l'esborso, fino al 2% del fatturato, se per esempio non si notifica una violazione dei dati all'autorità di vigilanza e alla persona interessata. A questo riguardo occorre aggiungere che la notifica della violazione va fatta entro 72 ore da quando se ne è venuti a conoscenza, anche parzialmente.

TRA TUTELE E OPPORTUNITÀ. Alcuni cambiamenti radicali sono relativi ai diritti delle persone che forniscono i propri dati: si può ottenere dal titolare del trattamento la conferma dell'esistenza o meno di dati personali e per quale scopo li si adoperi. Esiste poi una sorta di “diritto all'oblio”: è possibile chiedere che il responsabile del trattamento cancelli i dati personali, non li diffonda più e impedisca ad altri di elaborarli. Spazio poi alla portabilità dei dati che consente a chi lo domanda di ricevere i propri dati personali e di trasmetterli a un altro controllore. Con il Gdpr assume un ruolo più importante il Data protection officer (Dpo), una sorta di controllore della corretta applicazione del Regolamento. La figura del responsabile per la protezione dei dati diventa obbligatoria nella Pa e negli enti pubblici - ad eccezione delle autorità giudiziarie - nelle aziende con più di 250 dipendenti e in quelle che trattano su larga scala dati sensibili. Il Dpo è inoltre un punto di contatto con l'Autorità garante nazionale e con gli interessati e fra i suoi compiti c'è pure quello di informare il titolare del trattamento dei dati e i dipendenti in merito agli obblighi imposti dal Gdpr. Una novità, quella del Dpo, che potrebbe non solo tutelare di più cittadini, imprese e amministrazioni pubbliche ma favorire anche opportunità di lavoro per diplomati o laureati che però devono dimostrare di possedere una formazione specifica.

© RIPRODUZIONE RISERVATA

Correlati

Potresti esserti perso