• IT
  • DE
  • EN
Vai ai contenuti

GDPR: il bilancio a un anno dall’entrata in vigore

WebSite Blog
Pubblicato da in Amministrativo & legale · 30 Maggio 2019
Quando si parla di GDPR, acronimo di General Data Protection Regulation, ci sono due date che rappresentano le tappe fondamentali per l’applicazione della nuova normativa in tema di protezione dei dati personali: il 25 maggio 2018 e il 19 settembre 2018.

Il 25 maggio è entrato nell’immaginario collettivo come una sorta di anno zero.
Entro questa data, infatti, era necessario completare l’adeguamento alla nuova normativa entrata in vigore già nel 2016.

Il 19 settembre, invece, è la data nella quale è entrato in vigore il d.lgs. n.101 del 10 agosto 2018, decreto che ha sostituito il “vecchio” codice privacy.

Quest’ultima rappresenta dunque l’ultima tappa di un procedimento legislativo che ha profondamente modificato il nostro sistema e che rappresenta una svolta epocale in materia di privacy. Quindi, cosa cambia per le aziende dall’entrata in vigore del Regolamento Europeo sulla Privacy? Ne abbiamo parlato con Federica De Stefani, avvocato e consulente della privacy.

GDPR: cosa cambia per le aziende

Il GDPR rappresenta una vera e propria svolta epocale per due diverse ragioni.
In primo luogo, i dati personali vengono messi al centro di tutto l’impianto normativo e vengono qualificati come “diritti fondamentali dell’uomo”.

In secondo luogo, la normativa cambia completamente approccio rispetto al passato e punta sul principio di responsabilizzazione del soggetto che tratta i dati, fornendo principi generali che lo stesso dovrà applicare in concreto.
Questo significa che le norme indicano cosa fare, ma non specificano come farlo.

Il Regolamento Europeo 679/2016 insiste proprio su questo aspetto.
Colui che tratta i dati è l’unico soggetto che, conoscendo meglio di qualsiasi legislatore la propria realtà, è in grado di individuare le misure idonee e adeguate per realizzare in concreto quella protezione che richiede appunto il GDPR.

Scadenza del periodo di “tolleranza” sancita con il D.Lgs. 101/2018. Cosa vuol dire -  e cosa succederà - dopo il 20 Maggio 2019  
Significa che in caso di controlli le sanzioni verranno applicate nella loro totalità, ben potendo essere applicati anche i massimi previsti dal legislatore europeo.

Data Breach: cosa fare in caso di violazione dei dati personali

Il data breach è una delle novità più importanti introdotte dal Regolamento Europeo e prevede l’obbligo, per i titolari del trattamento, di comunicare all’Autorità e all’interessato ogni violazione dei dati personali che si verifichi.
A norma dell’art. 4, n. 12) la violazione dei dati personali è definita come: “La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

Il data breach è un evento che deve essere affrontato e gestito da subito, in quanto è necessario evitare che dall’incidente possano derivare all’interessato conseguenze di varia natura, danni fisici, materiali o immateriali alle persone fisiche, per esempio la perdita del controllo dei dati personali che li riguardano o la limitazione dei loro diritti, la discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata.

Qualora si verifichi un data breach che riguardi dei dati personali, a norma dell’art. 33 del Regolamento il titolare ha l’obbligo di comunicare l’incidente all’Autorità di controllo, fatte salve alcune eccezioni.
L’obbligo di comunicazione impone che la notizia del data breach sia riportata all’Autorità di controllo competente, a norma dell’art. 55 del Regolamento senza ingiustificato ritardo e, se possibile, entro le 72 ore dal momento in cui il titolare ne è venuto a conoscenza.

Lo stesso articolo 33, tuttavia, prevede una deroga per l’ipotesi in cui, testualmente:
“sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.
Questo significa, in altre parole, che la notifica all’autorità risulta obbligatoria nei casi in cui il data breach comporti un rischio grave per le persone fisiche.

Social Network: come procede l’adeguamento a un anno dal GDPR  

Non ci possono essere dubbi sul fatto che la normativa sulla protezione dei dati personali incida in misura significativa anche con riferimento ai social network.

Non bisogna infatti dimenticare che i social network offrono diversi strumenti e servizi, e questo aspetto può portare l’utente a trarre conclusioni del tutto errate in relazione alle diverse responsabilità tra fornitore del servizio (social network) e l’utilizzatore (utente stesso) perché basate su ragionamenti logici che in realtà non trovano fondamento nel sistema normativo che regolamenta il rapporto tra la piattaforma e l’utilizzatore.

Si tratta quindi di analizzare sia il sistema tecnico che gli strumenti che ogni piattaforma mette a disposizione dei propri iscritti, nonché le norme giuridiche che disciplinano il rapporto.

Questo significa che anche i trattamenti che vengono realizzati nei social network o per mezzo degli stessi soggiacciono a questo nuovo sistema normativo.

Si deve quindi procedere all’analisi dei singoli trattamenti e delle singole modalità con le quali vengono realizzati, analisi che ad oggi non è stata fatta in maniera completa e da tutti coloro che utilizzano il web per promuovere il proprio business.

Ringraziamo l'avvocato De Stefani per averci aiutato a fare chiarezza sull'argomento.
In conclusione, a un anno dal GDPR – General Data Protection Regulation, in materia di privacy sono stati fatti molti passi avanti, anche se i principi di diritto e le linee direttive stanno ancora subendo delle variazioni, anche alla luce del recente dibattito scaturito dall’ipotesi di fusione tra le Autorità indipendenti attive nel nostro Paese (Agcom, Antitrust e Garante della privacy).


Torna ai contenuti