Gdpr in Gazzetta Ufficiale: come cambia la privacy

Tecnologia
Gdpr, le autorità saranno più morbide fino a maggio 2019 (archivio Ansa)

Entrato in vigore il 25 maggio, il nuovo regolamento sulla privacy è parte a tutti gli effetti dell'ordinamento italiano. Con una novità: una maggiore comprensione per le imprese

Il decreto Gdpracronimo di General data protection regulation, è stato pubblicato in Gazzetta Ufficiale. L'Italia recepisce così il regolamento generale dell’Unione europea pensato per garantire la protezione dei dati personali. Come gli utenti, tempestati dai messaggi obbligatori, si sono già accorti, le nuove norme sono già entrate in vigore lo scorso 25 maggio. Tuttavia, alcune imprese hanno temporeggiato, in attesa di conoscere i dettagli con cui l'Italia avrebbe definito alcuni dettagli.

In cosa consiste il Gdpr

Il concetto su cui si basa il Gdpr è quello secondo cui ogni utente dell’Ue debba autorizzare esplicitamente, previo avviso, il trattamento dei propri dati personali. Nello specifico, il regolamento redatto dalla Commissione europea prevede che: "Si intende per dati personali qualunque informazione relativa a un individuo, collegata alla sua vita privata, professionale o pubblica. Può riguardare qualunque dato personale: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi ip di computer"

Otto mesi di transizione

In Gazzetta Ufficiale si legge che "per i primi otto mesi dalla data di entrata in vigore del decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento Ue, della fase di prima applicazione delle disposizioni sanzionatorie”. Tradotto: le autorità saranno più comprensive fino al prossimo maggio, quando le imprese italiane avranno avuto quasi un anno per adattarsi al Gdpr. Un altro segnale di apertura è la promozione di “linee guida con modalità semplificate di adempimento degli obblighi” per le Pmi.

Un approccio più cauto

Questo approccio più malleabile sembra voler andare incontro alle imprese, indicando quindi un probabile loro ritardo. Allo stesso tempo, però, potrebbe essere utile anche all'Autorità garante per la protezione dei dati personali. A maggio, l'ente aveva ammesso di non avere una struttura sufficiente ad adempiere a tutti i compiti assegnati dal Gdpr. Antonello Soro, presidente dell'Autorità, aveva afferma che, per il 2018, il budget a sua disposizione è di 25 milioni di euro. Servirebbe raddoppiarlo. Così come troppo scarno è il personale, composto da 122 persone, contro i 300 necessari.

Le sanzioni: sconti e aggravanti

Il Gdrp prevede sanzioni salate, che possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo. C'è comunque un ampio margine per le singole autorità di controllo nazionale. Spetta infatti ai singoli Paesi applicare i principi del regolamento, che parla di sanzioni “effettive, proporzionali e dissuasive” e da valutate “per ogni singolo caso”. Vanno tenute in considerazione “la natura, la gravità e la durata della violazione”. Che tra le altre cose dipende dal numero degli utenti coinvolti, dal danno subito e dall'oggetto dell'infrazione. Altra aggravante è “il carattere doloso o colposo della violazione”. Cioè se esiste una chiara responsabilità o, peggio ancora, la volontà di infrangere le norme. Ci sono però anche degli “sconti”. Le sanzioni potrebbero essere più blande se le aziende dimostrano di avere adottato “misure tecniche e organizzative” adeguate e di aver agito per “attenuare il danno subito dagli interessati”. Sarà valutato anche “il grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi”. E “la maniera in cui l'autorità di controllo ha preso conoscenza della violazione”.

Tecnologia: I più letti