Nel 2022 molte Pubbliche Amministrazioni e aziende sono ancora impreparate ad accogliere tutte le novità presenti all’interno del GDPR, ovvero il regolamento europeo, emanato nel 2018, volto a tutelare la protezione dei dati personali.
Ma come si fa a porre rimedio? Scopriamolo subito attraverso questa pratica guida!
Che cos’è il GDPR?
Il GDPR, acronimo di General Data Protection Regulation, è un regolamento applicabile in ogni Paese facente parte dell’Unione Europea e riguarda la protezione dei dati personali delle persone fisiche e la rispettiva libera circolazione.
La sua nascita è dovuta alla necessità di semplificare e armonizzare le normative inerenti il trasferimento dei dati dall’UE verso altri Stati del mondo, visto il costante progresso tecnologico e informatico.
GDPR e autonomia degli Stati
L’aspetto che preoccupa maggiormente è l’autonomia dei singoli Paesi membri, in quanto potrebbe far insorgere dei contrasti fra le differenti Autorità di controllo specializzate nel controllo e nell’applicazione dei principi del GDPR.
GDPR e regolamento sulla protezione dati: cosa cambia
L’attuazione del GDPR comporta i seguenti cambiamenti:
- introduzione del concetti di accountability e responsabilizzazione del proprietario;
- introduzione di sanzioni amministrative più salate, il cui importo è commisurato alla regola infranta;
- introduzione del concetto privacy by design, ossia l’approccio basato su adeguatezza e rischio delle misure di sicurezza, di data breach più valutazione d’impatto;
- criteri maggiormente rigorosi riguardo la nomina e la selezione di una persona responsabile al trattato e di eventuali collaboratori;
- esistenza di casistiche in cui la nomina di un responsabile addetto alla protezione dati è obbligatoria;
- maggiore chiarezza sulle regole riguardanti consenso e informativa;
- ampliamento dei diritti di cui beneficiano i soggetti interessati;
- applicazione di rigorosi criteri quando avviene il trasferimento dei dati nei Paesi non facenti parte dell’Unione Europea.
Nota bene: le norme vengono applicate non solo alle aziende ubicate all’interno dell’UE, ma anche a quelle site fuori dalla suddetta che propongono prodotti oppure servizi all’interno del mercato europeo.
L’inosservanza delle regole può comportare sanzioni pesanti.
Decreto Legislativo GDPR in Italia
Il Decreto Legislativo riguardante le disposizioni del GDPR è entrato in vigore nel nostro Paese in data 19 settembre 2018.
Inoltre, al fine di risolvere eventuali problematiche sulla sua applicazione, è stato istituito un Garante Privacy, ovvero uno sportello unico a cui tutte le imprese e le Pubbliche Amministrazioni possono rivolgersi.
Bisogna però segnalare che in Italia, la stragrande maggioranza delle aziende, nonostante le notevoli sanzioni previste, non è ancora pronta ad adeguarsi a tali provvedimenti.
Transizione 4.0: un aiuto concreto per le imprese italiane
La transizione 4.0, prima chiamato Piano Nazionale dell’Industria 4.0, è un aiuto che consente l’investimento circa l’adeguamento delle imprese alle norme contemplate dal GDPR.
Essa conta le seguenti tre priorità:
- portabilità dei dati;
- notifica dei data breach, ovvero la fuga intenzionale e non dei dati;
- istituzione del Registro delle attività riguardanti il trattamento dei dati.
Portabilità dei dati
All’interno del Regolamento è presente il diritto alla portabilità, ossia il diritto del soggetto interessato a ricevere un documento leggibile da tutti i dispositivi contenente tutti i dati personali, in modo che abbia la possibilità di trasferirli da un titolare all’altro senza alcuna difficoltà.
Notifica dei data breach
I titolari del trattamento devono prontamente comunicare ogni eventuale violazione dei dati al Garante, così da poter adottare le adeguate misure di sicurezza.
La modalità più rapida per segnalare tali episodi è senza ombra di dubbio quella telematica mediante un apposito servizio, dove si trova anche uno strumento di autovalutazione.
A tal proposito è stato inoltre fondato l’European Data Protection Board (EDPB), un comitato europeo indipendente in grado di contribuire non solo alla coerente applicazione delle regole di protezione dei dati all’interno di tutta l’Unione Europea, ma anche a incentivare la collaborazione tra le varie autorità competenti. Questo organismo è costituto dal GEPD (Garante Europeo della Protezione dei Dati), dai rappresentanti delle autorità nazionali per la protezione dei dati e dalle autorità di controllo SEE ed EFTA.
Istituzione del Registro delle attività riguardanti il trattamento dei dati
La responsabilizzazione dei titolari del trattamento, o accountability, non è altro che l’adozione di comportamenti volti a dimostrare l’effettiva adozione dei provvedimenti capaci di garantire l’applicazione delle norme previste dal GDPR.
Data Protection Officer
La figura professionale del Data Protection Officer (DPO) ha il compito di monitorare l’osservanza delle regole di protezione dei dati personali negli enti e nelle imprese.
Agisce in maniera del tutto autonoma e non riceve dunque alcun genere di disposizione circa l’esecuzione delle mansioni.
Una persona che intende ricoprire il suddetto incarico deve essere in possesso, oltre a una spiccata indipendenza nel prendere decisioni, di una determinata competenza su prassi e norme dei dati personali riguardante il settore merceologico in cui andrà a operare.
Sanzioni e responsabilità per le imprese
La mancata osservazione delle norme sancite dal GDPR comporta differenti sanzioni che possono prevedere una semplice diffida amministrativa, multe oppure provvedimenti di carattere penale.
Per quanto riguarda l’entità delle sanzioni di tipo pecuniario, possono corrispondere al 2% del fatturato mondiale dell’anno precedente oppure di dieci milioni di euro per le imprese che trattato in modo illecito i dati personali degli utenti, non comunicano i data breach all’Autorità oppure non nominano un DPO.
La somma si alza invece a venti milioni di euro oppure al 4% del fatturato per le casistiche più gravi, basti pensare al trasferimento illegale dei dati personali ad altri stati o l’inosservanza dei diritti degli interessati.
Parlando delle sanzioni di tipo penale, nel nostro Paese vengono applicate in attinenza al Codice della Privacy promulgato nel 2003, il quale prevede fino a sei anni di reclusione.
Come funzionano le ispezioni e i controlli
A seguito dell’introduzione del GDPR, il sistema sanzionatorio, a differenza del passato, ha modo di intervenire dal momento in cui l’azienda commette una violazione e non attui tutte le misure preventive capaci di tutelare le persone.
I controlli sono stati anche delegati alla Guardia di Finanza, in quanto tali inosservanze possono arrecare danni economici allo Stato e dare origine all’evasione fiscale, basti solo pensare alla scorretta gestione dei registri contabili.
Speriamo di esserti stati di aiuto. Se ti è piaciuto l’articolo puoi trovarne tanti altri nella sezione news del sito o puoi seguirci sui social.
