Regolamento generale sulla protezione dei dati: riepilogo, novità e checklist
Il Regolamento generale sulla protezione dei dati dell’UE (GDPR) ha lo scopo di regolare il trattamento dei dati personali e quindi fornire una legge uniforme sulla protezione dei dati. Il GDPR si applica a tutti i 27 stati membri dell’UE, ma anche dopo quasi 4 anni dall’entrata in vigore dell’ultimo emendamento, non si può parlare veramente di una riforma della protezione dei dati a livello europeo. Gli esperti e le associazioni per la protezione dei consumatori criticano l’inerzia dei legislatori europei e nazionali, mentre le aziende sono particolarmente infastidite dalla burocrazia aggiuntiva e dalla situazione giuridica a volte poco chiara.
Di seguito, vi offriamo un riepilogo della situazione giuridica attuale e vi presentiamo una checklist per il GDPR, da utilizzare per comprendere quali misure dovreste prendere nella vostra azienda.
Importante: non si tratta più di linee guida bensì di un regolamento
Solitamente la strada che porta all’attuazione delle leggi a livello europeo è lunga e tortuosa, anche dopo che queste sono entrate ufficialmente in vigore. Una volta che una linea guida europea viene approvata al parlamento di Bruxelles, ai 27 Stati Membri vengono concessi dei generosi periodi di transizione per introdurre la legge nel sistema giuridico nazionale. Ma prima che venga fatta pressione alle aziende perché si adoperino per l’attuazione di tale legge, può passare davvero tanto tempo.
Questo è appunto il caso delle linee guida; la questione cambia quando invece si tratta di un regolamento. In questo caso non vengono garantite né lunghe tempistiche né spazio di manovra per quel che riguarda il contenuto. Le leggi sono immediatamente e unitariamente vincolanti per tutti gli Stati dell’Unione, e quindi anche per le piccole e medie imprese che operano al loro interno. Il RGPD non fa eccezione: non si tratta infatti di un insieme di linee guida ma di un regolamento.
A maggio 2016 è entrato in vigore il periodo di transizione della durata di due anni del Regolamento generale sulla protezione dei dati, diventato ufficialmente valido in tutti gli Stati dell’Unione Europea, e quindi imposto nel sistema giuridico nazionale dal 25 maggio 2018. Tutte le aziende e tutte le istituzioni pubbliche che lavorano con i dati privati degli utenti devono da allora rispettare il Regolamento europeo sulla protezione dei dati e attuare le rispettive misure.
Ma che cosa è successo concretamente? Nel 2020, a due anni dalla sua applicazione, sul territorio italiano la maggior parte delle aziende aveva recepito la nuova normativa e si era adeguata alle relative norme. Secondo il sito Osservatori.net, all’epoca solo il 5% delle aziende italiane si trovava ancora in una fase di analisi e definizione del piano di adeguamento.
Anche a tre anni dalla sua entrata in vigore, nel 2021, emerge sempre di più la tendenza a voler rispettare questo regolamento e si dà una maggiore attenzione al trattamento dei dati personali, anche per evitare sanzioni elevate che sempre più aziende stanno ricevendo. Proprio per questo, come riportato su un articolo del Sole 24 Ore relativo alle imprese e alla privacy, il 69% delle aziende ha assunto un RPD (responsabile di protezione dati), seguendo quanto previsto dal GDPR.
Oggi sono molte le informazioni reperibili da giornali e siti ufficiali che facilitano sempre più l’adeguamento alla nuova legge per le aziende. Ad esempio, si ottengono informazioni utili consultando il sito del Garante della Privacy, che approfondisce più da vicino le norme per il territorio italiano.
Integrazioni: le clausole di apertura e il nuovo BDSG tedesco
I regolamenti europei hanno la precedenza sulle leggi nazionali e prevalgono quindi in caso di incongruenza. Tuttavia, il Regolamento generale sulla protezione dei dati ha alcune clausole di apertura che permettono ai legislatori nazionali di attenuare o rafforzare determinate leggi in materia di privacy. Proprio a questo scopo il parlamento tedesco ha promosso una legge che è entrata in vigore lo stesso giorno del RGPD: il nuovo Bundesdatenschutzgesetz, anche detto nuovo BDSG (o “nuova legge federale tedesca in materia di protezione dati”). Il BDSG sfrutta lo spazio di manovra appositamente lasciato per creare delle regole nazionali di affiancamento.
Una simile mossa sarebbe stata auspicabile anche in Italia, anche se le aziende sono riuscite ad adeguarsi al GDPR con risultati soddisfacenti. Al fine di aiutare le aziende in questo complicato processo, l’autorità Garante per la protezione dei dati personali aveva rilasciato una guida riassuntiva con alcune raccomandazioni.
Obiettivo: unificazione dell’Unione Europea in materia di protezione dati
L’obiettivo principale del Regolamento generale sulla protezione dei dati è l’unificazione della protezione dei dati di tutta l’Unione Europea. Diversamente dalle linee guida in vigore dal 1995 e applicate in maniera differente tra un paese e l’altro, il regolamento concede poco spazio di manovra per azioni individuali a livello nazionale.
L’attenzione del regolamento si concentra anche sugli imponenti cambiamenti tecnologici degli ultimi 25 anni e quelli che ci attendono in futuro. Infatti, le maggiori sfide in materia di protezione dei dati non sono quelle presenti ma quelle future. Un esempio: la creazione di dati biometrici dei dipendenti è assolutamente necessaria per il lavoro con le macchine intelligenti. Se un’azienda tratta i dati con riservatezza e sensibilità non ci sono problemi. Ma se invece il datore di lavoro si trova questi dati in mano per la prima volta, è possibile che abbia la tentazione di utilizzarli anche per altri scopi, come ad esempio il controllo delle prestazioni. Il RGPD dovrebbe quindi reagire anche a questi sviluppi.
Contenuti del regolamento: puntare su principi consolidati
A costruire i punti cardine del Regolamento generale sulla protezione dei dati sono per prima cosa i cambiamenti avvenuti in materia di protezione dei dati personali.
E questo è stato già fatto in passato, seppur non nella misura pianificata; con il RGPD viene rafforzata sensibilmente la protezione dei dati dei privati. Grazie a una serie di paragrafi è ora possibile regolare in maniera chiara ed esperta la raccolta dei dati personali.
Ad esempio, è stato ampliato l’obbligo di responsabilità da parte delle aziende (accountability): sin dall’entrata in vigore del GDPR sono presenti vasti obblighi in merito alla documentazione e alla motivazione riguardo a quali dati un’azienda può registrare, a che scopo li può utilizzare e come li può elaborare. In questo senso il Regolamento generale sulla protezione dei dati corrisponde a un lavoro impegnativo per quel che riguarda la documentazione.
I principi più importanti in sintesi:
- Divieto con riserva di autorizzazione: questo principio stabilisce che ogni elaborazione di dati personali è assolutamente vietata, se non autorizzata. Questo principio, sebbene già presente, rimane ampiamente discusso, poiché non tutti i dati sono ugualmente importanti; tuttavia, il principio vieta indiscriminatamente l’utilizzo di tutti i dati con riferimento a persone.
- Destinazione vincolata: le aziende possono registrare ed elaborare dati solo per certe finalità. È perciò necessario che sin dall’inizio venga formulato lo scopo di raccolta dei dati, così come è necessario che il loro successivo utilizzo sia documentato. Un esempio concreto di questo principio sono i dati rilevati da un’azienda per la compilazione di un contratto, i quali vanno sì salvati e archiviati, ma non possono essere utilizzati per scopi pubblicitari. Infatti, questo è uno scopo differente, che necessita di un’autorizzazione separata. Le modifiche successive relative allo scopo sono permesse solamente in determinate circostanze.
- Minimizzazione dei dati: il principio della minimizzazione dei dati prevede che le aziende rilevino il minor numero di dati possibili. A stabilire quale sia il limite è il seguente principio: il meno possibile, ma tutti quelli necessari. Non è possibile, perciò, raccogliere più dati di quelli necessari per lo scopo prefissato. Questo principio intende vietare il rilevamento cieco di dati semplicemente per farne scorta.
- Trasparenza: l’elaborazione dei dati deve essere chiara per gli interessati. Da un lato questo significa dichiarazioni sulla protezione dei dati personali comprensibili per tutti, e dall’altro gli utenti dispongono ora di ampi diritti con le novità introdotte dal RGPD: su richiesta, le aziende devono comunicare di quali dati dispongono e come questi vengono utilizzati.
- Riservatezza: le aziende devono sempre far sì che i dati personali dei propri clienti siano sempre protetti, e questo riguarda il lato tecnologico e organizzativo. La protezione riguarda l’elaborazione, la modifica, il furto o la cancellazione non autorizzata di dati. L’obbligo esplicito relativo alle misure tecnologiche di protezione dei dati è nuovo. Tuttavia, queste misure non sono formulate con precisione all’interno del Regolamento generale sulla protezione dei dati e offrono perciò un po’ di gioco, in quanto è necessario interpretarle. Nel caso avvenga un furto di dati, la situazione varia se le misure di protezioni tecniche e di organizzazione erano adeguate al rischio e al tipo di dati archiviati.
Gli interessati: aziende e responsabili della protezione dei dati
In primo luogo, il RGPD è una buona base per entrambe le parti, sia per chi si occupa dell’elaborazione dati sia per i consumatori che ne sono soggetti. Inoltre, le normative del nuovo regolamento interessano anche i diritti dei dipendenti. Molte aziende, infatti, devono prestare attenzione poiché hanno obblighi formali sia verso i propri lavoratori che verso i propri clienti, fornitori e semplici visitatori del proprio sito web.
Il RGPD ha naturalmente una particolare rilevanza per una specifica categoria di lavoratori: i responsabili della protezione dei dati (conosciuti anche con l’abbreviazione RPD). Infatti, il RGPD fa in modo che il loro numero aumenti esponenzialmente, dato che tutti gli enti pubblici e tutte le aziende all’interno dell’Unione Europea, la cui attività principale verte sulla gestione dei dati personali, hanno ora l’obbligo di nominare un responsabile della protezione dei dati. Anche se l’elaborazione dati non è l’attività principale della vostra azienda, è comunque necessario disporre di un RPD, basta che ci siano almeno venti persone che lavorano costantemente con l’elaborazione automatizzata di dati personali.
Il Regolamento generale sulla protezione dei dati ha rappresentato un grande cambiamento anche per coloro che svolgevano già questa funzione in un’azienda, poiché il loro ruolo all’interno della stessa è cambiato significativamente: se prima si occupavano di adempiere alla conformità in materia di protezione dati, adesso sono responsabili anche del controllo delle misure attuate. Quindi, in altre parole, l’ambito del loro lavoro è stato ampliato ulteriormente, così come è aumentata la loro responsabilità giuridica.
Tuttavia, questa legge porta beneficio anche ai responsabili della protezione dei dati: la loro conoscenza e le loro capacità sono ora particolarmente richieste e, con l’aumentare dei compiti, anche la loro posizione ha subito una rivalutazione, chiaramente in positivo.
Qui di seguito vi forniamo un riassunto del Regolamento generale sulla protezione dei dati, in particolar modo per quel che riguarda i compiti principali e le relative conseguenze per i gestori di siti web e le aziende.
Siete clienti IONOS? Qui trovate una checklist per i clienti IONOS con tutte le informazioni a cui dovete prestare attenzione in modo che il vostro sito sia conforme al nuovo regolamento generale sulla protezione dei dati.
Punti salienti per le aziende
Anche se non cambia nulla dal punto di vista dell’orientamento, il RGPD dell’Unione Europea ha comportato molte modifiche, che le aziende devono continuare a tenere assolutamente in considerazione, anche e soprattutto per quel che riguarda la progettazione dei processi di lavoro, soprattutto quelli in cui sono coinvolte le persone, all’interno dei quali va incorporata la privacy (principio del Privacy by Design). Altrimenti il rischio è quello di infrangere il diritto europeo. Qui di seguito riportiamo le norme più importanti che devono essere rispettate dalle aziende, in particolare quelle che si occupano di commercio online.
Sicurezza generale dei dati nelle aziende
- Valutazione di impatto sulla protezione dei dati (DPIA o Data Protection Impact Assessment): le aziende sono obbligate a fare una valutazione di impatto, stabilendo quali misure di sicurezza adottare così da ridurre il rischio. Questo adeguamento è particolarmente importante se un’azienda vuole utilizzare i servizi cloud in modo sicuro. Infatti, nel cloud computing si elaborano spesso grandi quantità di dati personali. Ancora più nello specifico, questa modifica riguarda le aziende che archiviano dati sanitari, i quali essendo particolarmente sensibili, aumentano considerabilmente la gravità nel caso in cui vengano diffusi.
- Dati relativi ai dipendenti: anche le modalità con cui un’azienda tratta i dati dei propri dipendenti è trattato nel regolamento, che riguarda perciò anche le risorse umane.
- Responsabili della protezione dei dati: per molte aziende sarà obbligatorio d’ora in avanti disporre di un responsabile della protezione dei dati. Il suo compito è quello di controllare le singole strategie di protezione dei dati sviluppate e la loro conformità con il RGPD. Questo non riguarda solamente le aziende che lavorano costantemente con una mole elevata di dati, ma anche tutte le aziende in cui ci sono almeno 20 persone che lavorano regolarmente con i dati personali.
- Obbligo di segnalazione: le direttive del RGPD, per quel che riguarda il modo di procedere nel caso in cui si verifichi un guasto, sono decisamente più rigide rispetto a quelle precedenti. Le falle di sicurezza devono essere segnalate entro 72 ore dal momento in cui vengono identificate, sia ai diretti interessati che alle autorità competenti.
- Responsabilità e multe: nel caso in cui avvenga una violazione nei confronti dei dati registrati è molto facile che l’azienda sia ritenuta responsabile e che venga quindi punita con pesanti multe.
Sicurezza dei dati relativi alle persone
- Obbligo di documentazione: uno dei punti forti del nuovo regolamento sta nell’obbligo di giustificazione da parte delle aziende, anche detto accountability. Le aziende sono costrette a provare la propria conformità attraverso documentazione interna. Sono infatti tenute ogni volta a riportare alle autorità quali dati sono stati archiviati per quale scopo, in che modo saranno elaborati e quando l’azienda provvederà a cancellarli.
- Privacy by design: il principio Privacy by Design significa che le aziende devono tenere conto della protezione dei dati già nel momento dell’impostazione tecnica dei propri processi di lavoro. Non è infatti accettabile l’implementazione di misure di protezione dati a posteriori o di secondo ordine, ma è necessario che vengano integrate nel processo lavorativo già nella fase di rielaborazione. I prodotti e i processi dovrebbero quindi essere concepiti in modo che possano essere realizzati con il minor numero possibile di dati personali.
- Privacy by default: questa disposizione del regolamento prevede che venga adottata la variante tecnica della protezione dati di più facile utilizzo. Così facendo viene risparmiato agli utenti il dover combattere contro complesse impostazioni tecniche per rendere effettive le limitazioni all’elaborazione dei propri dati personali.
- Basi dell’autorizzazione (consenso, accordo operativo): anche in futuro l’utente dovrà dare esplicitamente l’autorizzazione all’utilizzo dei propri dati personali, con il consenso che sarà valido solamente per lo scopo o l’oggetto specificato. Inoltre, il modulo di consenso deve essere formulato in maniera comprensibile e deve rimanere accessibile da parte dell’utente con facilità. I requisiti per un consenso effettivo sono aumentati rispetto a come era in precedenza con le linee guida del 1995. Uno squilibrio tra le due parti del contratto può portare a escludere la volontarietà, e quindi anche la delega relativa al trattamento dei dati.
- Cancellazione dei dati: i dati relativi alla persona non possono essere archiviati all’infinito, ma solamente per il tempo utile al raggiungimento del fine concordato. Terminata la potestà dell’elaborazione dei dati (che sia perché ritirata l’autorizzazione o perché l’obiettivo è stato raggiunto), i dati devono essere eliminati.
- Diritto di accesso alle informazioni e diritto alla cancellazione: i cittadini europei hanno il diritto, se richiesto espressamente, di sapere di quali informazioni dispone un’azienda e come queste vengano utilizzate dalla stessa. Inoltre, gli utenti hanno facoltà di richiedere all’azienda di cancellare i propri dati. Il “diritto all’oblio” è dunque stabilito per legge e anche le grandi aziende come Google devono conformarsi e, su richiesta, cancellare i link contenenti informazioni personali dai risultati del motore di ricerca.
Punti salienti per i gestori di siti web
Il Regolamento generale sulla protezione dei dati contiene ben poche regole per il commercio online. Esso formula molto più le basi generali della protezione dei dati, i cui vari campi vengono regolati successivamente con leggi e ordinamenti. Tuttavia, per quanto astratte, le norme del regolamento europeo portano alcune novità anche per il commercio online. Nei paragrafi successivi vi mostreremo quali.
Ciò che rimane così com’era (almeno per il momento)
Partiamo dalle cose più importanti: rispetto alle regole per le aziende appena illustrate, i cambiamenti introdotti dal RGPD per il commercio online sono pochi. È presumibile che i temi centrali per i gestori dei siti web – cookie, tracciamento degli utenti, spam marketing e marketing diretto – verranno rivisti in futuro. Ciò che è certo per il momento è che da maggio 2018 il Regolamento ha la priorità sulle leggi attualmente presenti e che tutte le basi generali in esso contenute sono valide anche per i siti web, i Big Data e i social media. Anche l’utilizzo di cookie, di strumenti per il monitoraggio e le misure di targettizzazione devono orientarsi sul RGPD.
Insieme al Regolamento europeo (GDPR) e alle leggi nazionali, dovrebbe entrare in vigore anche un’ulteriore riforma relativa alla protezione dati: il Regolamento sulla vita privata e le comunicazioni elettroniche dell’Unione Europea, conosciuto come Regolamento ePrivacy. È difficile però prevedere quando questo ulteriore regolamento entrerà in vigore, poiché finora i membri dell’UE non sono riusciti a trovare un accordo comune.
La bozza, ancora oggetto di discussione, è infatti molto rigida per quel che riguarda l’autorizzazione all’utilizzo dei cookie. Quando il regolamento diventerà legge, questo avrà delle gravi ripercussioni sul tracking, sul targeting e sulla pubblicità personalizzata. Tuttavia, è ancora da decidere quali saranno i cambiamenti effettivi derivanti dal processo legislativo.
Quindi, per tutti coloro impegnati nella gestione di un sito web o di un negozio online è altamente consigliabile tenere regolarmente sott’occhio il Regolamento ePrivacy. Contrariamente al RGPD, che si occupa di regolare giuridicamente i principi in materia di protezione dei dati, il Regolamento ePrivacy tratterà un settore specifico: la protezione della sfera privata nella vita digitale di tutti i giorni. Quindi i gestori di siti web farebbero meglio ad aspettarsi ulteriori riforme.
Ciò che è cambiato con il GDPR
Dunque, cos’è cambiato dal 25 maggio 2018 con l’entrata in vigore del Regolamento generale sulla protezione dei dati dell’Unione Europea? Le novità più importanti per i gestori di siti web sono le seguenti:
- l’ingente obbligo di documentazione del Regolamento generale;
- la maggior complessità relativa all’autorizzazione;
- i principi del Privacy by Design e Privacy by Default;
- l’ampliamento del diritto di accesso all’informazione e del diritto di cancellazione;
- il diritto alla portabilità dei dati;
- chiari e maggiori obblighi di informazione (ad esempio per quel che riguarda l’informativa sulla privacy);
- il divieto di abbinare più consensi;
- multe molto salate.
Nei paragrafi precedenti abbiamo già preso in considerazione alcuni di questi punti, ora ci concentreremo sull’informativa sulla privacy e il divieto di abbinare più consensi, dato che sono proprio questi due a interessare principalmente i gestori dei siti web.
Va fatta una rigorosa distinzione tra consenso sulla protezione dei dati e l’informativa sulla privacy. Il consenso degli utenti, imprescindibile per ogni elaborazione dati non esplicitamente permessa da una norma di legge, corrisponde alla conferma da parte di un utente di essere d’accordo con l’informativa sulla privacy di un’azienda. L’informativa sulla privacy corrisponde a un testo in cui un’azienda illustra le proprie misure in materia di protezione dati ai propri clienti. È obbligatoria su qualsiasi sito web.
La novità più importante del RGPD per i gestori di siti web è rappresentata dalle direttive riguardo l’informativa sulla privacy. L’articolo 13 EU RGPD par. 2 contiene un catalogo di informazioni che devono essere incluse in un’informativa sulla privacy. All’interno del Regolamento generale viene specificata chiaramente la forma che deve avere un’informativa sulla privacy, ovvero deve essere scritta in un linguaggio semplice e comprensibile da un punto di vista del contenuto. Nel RGPD viene data grande importanza alla trasparenza.
“Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni […] relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.” Art. 12 par. 1 del RGPD: “Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato” (fonte: http://www.privacy-regulation.eu/it/12.htm)
Nel divieto di abbinare più consensi gli esperti vedono la restrizione maggiore presente in tutto il Regolamento generale sulla protezione dei dati. Con tale divieto un gestore di siti web non può costringere i propri potenziali clienti a fornirgli successivamente dati che non siano strettamente necessari per l’effettiva prestazione. Un esempio: richiedendo la registrazione a una newsletter al momento del perfezionamento di un contratto si infrange il diritto europeo. Il principio massimo del consenso è la volontarietà. Nel caso di più consensi abbinati assieme potrebbe tuttavia venire a mancare la volontarietà, rendendoli perciò inefficaci.
“Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.” Art. 7 par. 4 del RGPD: “Condizioni per il consenso” (fonte: http://www.privacy-regulation.eu/it/7.htm)
Ancora una volta vale la pena ricordare di fare assolutamente attenzione ai cambiamenti relativi agli obblighi di documentazione, ai principi dell’autorizzazione, all’archiviazione, ai diritti di accesso alle informazioni e alla cancellazione. Singolarmente, inoltre, è possibile che imprese e gestori di siti web siano interessati anche da altre riforme.
Checklist GDPR: le misure più importanti da attuare per aziende e gestori di siti web
Se a questo punto iniziate a darvi da fare per quel che riguarda il Regolamento generale sulla protezione dei dati, la prima cosa da tenere in conto è che le misure necessarie variano da azienda ad azienda. Tuttavia, ci sono delle precauzioni che ogni azienda dovrebbe prendere, che elenchiamo di seguito in questa lista.
- Stabilire i procedimenti per una corretta documentazione delle operazioni che coinvolgono i dati personali;
- configurare un archivio delle varie elaborazioni di dati;
- mettere a disposizione dei propri clienti delle possibilità di contatto per richieste di informazioni relative alla protezione dei dati;
- verificare se sia necessario incaricare un garante della privacy;
- aggiornare la propria informativa sulla privacy sul proprio sito conformemente alle nuove leggi;
- consultarsi con il proprio responsabile del reparto tecnico (e con il responsabile della protezione dei dati) per verificare se le misure tecniche adottate per la protezione dei dati siano sufficienti. In determinate circostanze devono essere introdotte ulteriori misure o integrate meglio quelle presenti nella propria infrastruttura informatica;
- tutti i dati raccolti che non rispettano il divieto di abbinare più consensi dovranno essere reperiti diversamente ed essere registrati come dati forniti volontariamente;
- se sono stati incaricati prestatori di servizi esterni per l’amministrazione dei dati personali della vostra azienda, dovrebbe essere accertato che le convenzioni del Regolamento generale sulla protezione dei dati siano rispettate;
- verificare il processo di ricezione dei consensi sul proprio negozio online e adattare i procedimenti alle normative del RGPD;
- tenersi aggiornati sulle novità relative al Regolamento sulla vita privata e le comunicazioni elettroniche (Regolamento ePrivacy), il quale si occuperà di regolare il lavoro dei commercianti online con gli strumenti di analisi e monitoraggio;
- se dopo avere adempiuto a questi passaggi non si è ancora convinti di aver fatto tutto quello che c’è da fare, è consigliabile richiedere una consulenza professionale.
Sapete che con il GDPR è necessario assicurarsi che i dati personali degli utenti vengano protetti da terzi o da elaborazioni non conformi alla legge? Per questo motivo vi consigliamo di ricorrere a un certificato SSL per il vostro sito o online shop.
Reazioni al Regolamento generale sulla protezione dei dati: elogi e critiche
In generale le reazioni delle forze politiche europee (e non solo) nei confronti di questa nuova legge sulla protezione dei dati sono state prevalentemente positive. Infatti, il GDPR è volto a fornire una maggiore sicurezza per i consumatori e per le aziende, garantendo le stesse condizioni per tutti gli Stati europei. La promessa di un’uniformità all’interno dell’UE viene quindi rispettata, pur lasciando abbastanza spazio di manovra alle aziende.
“Adottare nel modo più compliant possibile il regolamento è un investimento, non un costo. I rischi non sono le sanzioni, ma la perdita d’immagine e soprattutto sono la perdita di competitività. Il regolamento ha due obiettivi [:] la tutela del diritto fondamentale alla protezione dati, allo stesso modo e in tutta l’Ue, e l’incremento dell’economia digitale, quindi favorire la libera circolazione dei dati, vitale per lo sviluppo della digital economy.” Francesco Pizzetti, ex garante privacy e docente di diritto costituzionale all’Università di Torino (fonte: https://www.corrierecomunicazioni.it/privacy/gdpr/privacy-day-pizzetti-la-riforma-ue-trampolino-per-la-digital-economy/).
Oltre agli elogi, non sono però mancate le critiche che prevedono delle difficoltà di attuazione della legge specialmente per le piccole e medie imprese. Inoltre, alcune formulazioni rimangono vaghe e ciò potrebbe causare delle insicurezze, lasciando spazio a interpretazioni diverse.
Effetti che il Regolamento generale sulla protezione dei dati ha avuto finora sulle aziende e sui consumatori
Già da anni si discute accesamente sulle possibili conseguenze del Regolamento generale sulla protezione dei dati. Dal 25 maggio 2018 sembra che si siano avverate sia alcune previsioni positive che negative. Di seguito trovate perciò un breve riepilogo di tutti gli sviluppi passati che si riferiscono al GDPR e che coinvolgono le aziende e/o i consumatori.
L’attuazione del RGPD grava sulle spalle delle PMI
Inizialmente, molte aziende italiane e internazionali si sono dimostrate impreparate a recepire le norme del RGPD, soprattutto le PMI. L’impegno necessario per conformarsi alla nuova legge avrebbe potuto teoricamente ripercuotersi economicamente sulla loro attività, anche se non sono state mai rese note cifre che avvalorerebbero questa tesi e sembra ormai che il peggio sia stato scongiurato.
Effetti sull’economia digitale internazionale
Il RGPD solleva dubbi e perplessità non solo all’interno dell’Unione Europea, ma anche negli Stati Uniti: così al posto di conformarsi alle normative sulla privacy, molte aziende statunitensi, così come pagine di notizie, bloccano semplicemente gli utenti con indirizzi IP europei, riducono le informazioni offerte o le forniscono solo dietro pagamento di un supplemento. Inoltre, per la paura di incorrere in sanzioni, molti piccoli siti web sono stati messi offline e da allora non sono più tornati online. Ciò influisce direttamente nello scenario della “fuga di dati” che è paventato da tempo da molti critici del RGPD.
Allo stesso tempo l’entrata in vigore del RGPD ha stimolato un discorso a livello internazionale sul tema della protezione dei dati, necessario ormai da tempo, come concordano i garanti della privacy. Le grandi aziende digitali come Alphabet (Google) e Meta (Facebook, WhatsApp, Instagram) sono molto più spesso al centro del dibattito mediatico e vengono guardate più criticamente dagli utenti. Infatti, i “Big Player” elaborano anche i dati personali dei cittadini dell’UE, che godono di una maggiore protezione rispetto a quanto previsto dalla legge statunitense.
Paura delle sanzioni
Lo spauracchio di sanzioni nel caso in cui non si applichi correttamente il Regolamento generale sulla protezione dei dati rimane. A essere preoccupate sono soprattutto le PMI, in quanto potrebbero correre grandi rischi. Tuttavia, non sono state applicate le sanzioni previste sin da subito e vi è stato inizialmente un periodo di permissione, a eccezione delle grandi aziende come Google, per le quali sono state rilevate delle infrazioni già subito al momento dell’entrata in vigore del RGPD.
La situazione pare non essere cambiata neanche in tempi recenti: infatti sempre a Google è stata imposta una sanzione di 50 milioni di euro da parte della Cnil, il garante della privacy francese, per aver violato alcuni obblighi del RGPD. Ciò sarà di esempio anche alle aziende italiane che non lavorano solo sul suolo nazionale, che potrebbero quindi essere accusate di non rispettare le norme del nuovo Regolamento generale sulla protezione dei dati anche da altri Stati membri.
Sin da gennaio 2019 molte aziende in Europa si sono viste recapitare e-mail spam che paventavano sanzioni, ma che contenevano in realtà malware.
Trovate maggiori informazioni sulle e-mail spam e il phishing sulla Digital Guide di IONOS.
Per evitare sanzioni, è necessario comunque rimanere in guardia e soprattutto le grandi aziende o chi tratta i dati di cittadini europei dovrebbe prestare maggiore attenzione all’adeguamento delle norme, in quanto sono già state comminate diverse sanzioni per scorretta applicazione del GDPR. A essere contestato è stato soprattutto il trattamento dei dati, in cui si sarebbe dimostrata la presenza di basi giuridiche insufficienti, il che ha portato l’Italia a essere il secondo paese in Europa con 75 multe per un ammontare di 84,5 milioni di euro.
L’impatto del GDPR a livello mondiale dopo la sua entrata in vigore
Dopo l’entrata in vigore del GDPR, gli effetti non hanno tardato ad arrivare. È interessante notare come ci siano state ripercussioni anche al di là dei confini dell’UE, contribuendo in questo modo a quello che è stato ribattezzato come “effetto Bruxelles”. L’UE ha così aumentato la sua importanza a livello mondiale, affermandosi sempre più come superpotenza sul piano normativo, dato che il GDPR riguarda anche chi non si trova nell’UE.
Sulla scia del Regolamento generale sulla protezione dei dati sono state emanate nuove leggi anche al di fuori dell’UE, come il California Consumer Privacy Act,
che mira a tutelare maggiormente la privacy dei cittadini californiani.
Inoltre, da molti rapporti è emerso che la consapevolezza degli individui dei nuovi regolamenti è aumentata, e con essa anche il numero di segnalazioni di violazioni è in costante crescita. Tuttavia, l’Italia è rimasta in un primo momento indietro rispetto agli altri paesi membri dell’UE per quanto riguarda il recepimento della normativa. A pesare è stata spesso la carenza delle infrastrutture interne che non hanno permesso quindi alle aziende di adeguarsi nel modo giusto.
Ciononostante, sono state comminate sin da subito le prime multe anche in Italia (anche se in misura inferiore rispetto a quanto previsto dalla legge), come quella mossa all’Associazione Rousseau per problemi di sicurezza legati all’e-voting. Per questa violazione al GDPR l’Associazione Rousseau ha ricevuto una multa di 50.000 euro.
Ancora: a un medico è stata comminata una multa di 16.000 euro a seguito di trattamento illecito di dati personali. L’interessato avrebbe infatti utilizzato gli indirizzi di circa 3.500 ex pazienti per inviare lettere a sostegno di un candidato alle elezioni politiche del 4 marzo 2018, senza che le persone coinvolte avessero espresso specifico consenso.
Tutti questi casi si riferiscono però a violazioni avvenute prima che il GDPR entrasse in vigore e questo potrebbe in parte spiegare le sanzioni minori applicate.
Vi preghiamo di osservare la nota legale relativa a questo articolo.