Re­go­la­men­to generale sulla pro­te­zio­ne dei dati: riepilogo, novità e checklist

Il Re­go­la­men­to generale sulla pro­te­zio­ne dei dati dell’UE (GDPR) ha lo scopo di regolare il trat­ta­men­to dei dati personali e quindi fornire una legge uniforme sulla pro­te­zio­ne dei dati. Il GDPR si applica a tutti i 27 stati membri dell’UE, ma anche dopo quasi 4 anni dall’entrata in vigore dell’ultimo emen­da­men­to, non si può parlare veramente di una riforma della pro­te­zio­ne dei dati a livello europeo. Gli esperti e le as­so­cia­zio­ni per la pro­te­zio­ne dei con­su­ma­to­ri criticano l’inerzia dei le­gi­sla­to­ri europei e nazionali, mentre le aziende sono par­ti­co­lar­men­te in­fa­sti­di­te dalla bu­ro­cra­zia ag­giun­ti­va e dalla si­tua­zio­ne giuridica a volte poco chiara.

Di seguito, vi offriamo un riepilogo della si­tua­zio­ne giuridica attuale e vi pre­sen­tia­mo una checklist per il GDPR, da uti­liz­za­re per com­pren­de­re quali misure dovreste prendere nella vostra azienda.

So­li­ta­men­te la strada che porta all’at­tua­zio­ne delle leggi a livello europeo è lunga e tortuosa, anche dopo che queste sono entrate uf­fi­cial­men­te in vigore. Una volta che una linea guida europea viene approvata al par­la­men­to di Bruxelles, ai 27 Stati Membri vengono concessi dei generosi periodi di tran­si­zio­ne per in­tro­dur­re la legge nel sistema giuridico nazionale. Ma prima che venga fatta pressione alle aziende perché si adoperino per l’at­tua­zio­ne di tale legge, può passare davvero tanto tempo.

Questo è appunto il caso delle linee guida; la questione cambia quando invece si tratta di un re­go­la­men­to. In questo caso non vengono garantite né lunghe tem­pi­sti­che né spazio di manovra per quel che riguarda il contenuto. Le leggi sono im­me­dia­ta­men­te e uni­ta­ria­men­te vin­co­lan­ti per tutti gli Stati dell’Unione, e quindi anche per le piccole e medie imprese che operano al loro interno. Il RGPD non fa eccezione: non si tratta infatti di un insieme di linee guida ma di un re­go­la­men­to.

A maggio 2016 è entrato in vigore il periodo di tran­si­zio­ne della durata di due anni del Re­go­la­men­to generale sulla pro­te­zio­ne dei dati, diventato uf­fi­cial­men­te valido in tutti gli Stati dell’Unione Europea, e quindi imposto nel sistema giuridico nazionale dal 25 maggio 2018. Tutte le aziende e tutte le isti­tu­zio­ni pubbliche che lavorano con i dati privati degli utenti devono da allora ri­spet­ta­re il Re­go­la­men­to europeo sulla pro­te­zio­ne dei dati e attuare le ri­spet­ti­ve misure.

Ma che cosa è successo con­cre­ta­men­te? Nel 2020, a due anni dalla sua ap­pli­ca­zio­ne, sul ter­ri­to­rio italiano la maggior parte delle aziende aveva recepito la nuova normativa e si era adeguata alle relative norme. Secondo il sito Os­ser­va­to­ri.net, all’epoca solo il 5% delle aziende italiane si trovava ancora in una fase di analisi e de­fi­ni­zio­ne del piano di ade­gua­men­to.

Anche a tre anni dalla sua entrata in vigore, nel 2021, emerge sempre di più la tendenza a voler ri­spet­ta­re questo re­go­la­men­to e si dà una maggiore at­ten­zio­ne al trat­ta­men­to dei dati personali, anche per evitare sanzioni elevate che sempre più aziende stanno ricevendo. Proprio per questo, come riportato su un articolo del Sole 24 Ore relativo alle imprese e alla privacy, il 69% delle aziende ha assunto un RPD (re­spon­sa­bi­le di pro­te­zio­ne dati), seguendo quanto previsto dal GDPR.

Oggi sono molte le in­for­ma­zio­ni re­pe­ri­bi­li da giornali e siti ufficiali che fa­ci­li­ta­no sempre più l’ade­gua­men­to alla nuova legge per le aziende. Ad esempio, si ottengono in­for­ma­zio­ni utili con­sul­tan­do il  sito del Garante della Privacy, che ap­pro­fon­di­sce più da vicino le norme per il ter­ri­to­rio italiano.

I re­go­la­men­ti europei hanno la pre­ce­den­za sulle leggi nazionali e pre­val­go­no quindi in caso di in­con­gruen­za. Tuttavia, il Re­go­la­men­to generale sulla pro­te­zio­ne dei dati ha alcune clausole di apertura che per­met­to­no ai le­gi­sla­to­ri nazionali di attenuare o raf­for­za­re de­ter­mi­na­te leggi in materia di privacy. Proprio a questo scopo il par­la­men­to tedesco ha promosso una legge che è entrata in vigore lo stesso giorno del RGPD: il nuovo Bun­de­sda­ten­schu­tz­ge­se­tz, anche detto nuovo BDSG (o “nuova legge federale tedesca in materia di pro­te­zio­ne dati”). Il BDSG sfrutta lo spazio di manovra ap­po­si­ta­men­te lasciato per creare delle regole nazionali di af­fian­ca­men­to.

Una simile mossa sarebbe stata au­spi­ca­bi­le anche in Italia, anche se le aziende sono riuscite ad adeguarsi al GDPR con risultati sod­di­sfa­cen­ti. Al fine di aiutare le aziende in questo com­pli­ca­to processo, l’autorità Garante per la pro­te­zio­ne dei dati personali aveva ri­la­scia­to una guida rias­sun­ti­va con alcune rac­co­man­da­zio­ni.

L’obiettivo prin­ci­pa­le del Re­go­la­men­to generale sulla pro­te­zio­ne dei dati è l’uni­fi­ca­zio­ne della pro­te­zio­ne dei dati di tutta l’Unione Europea. Di­ver­sa­men­te dalle linee guida in vigore dal 1995 e applicate in maniera dif­fe­ren­te tra un paese e l’altro, il re­go­la­men­to concede poco spazio di manovra per azioni in­di­vi­dua­li a livello nazionale.

L’at­ten­zio­ne del re­go­la­men­to si concentra anche sugli imponenti cam­bia­men­ti tec­no­lo­gi­ci degli ultimi 25 anni e quelli che ci attendono in futuro. Infatti, le maggiori sfide in materia di pro­te­zio­ne dei dati non sono quelle presenti ma quelle future. Un esempio: la creazione di dati bio­me­tri­ci dei di­pen­den­ti è as­so­lu­ta­men­te ne­ces­sa­ria per il lavoro con le macchine in­tel­li­gen­ti. Se un’azienda tratta i dati con ri­ser­va­tez­za e sen­si­bi­li­tà non ci sono problemi. Ma se invece il datore di lavoro si trova questi dati in mano per la prima volta, è possibile che abbia la ten­ta­zio­ne di uti­liz­zar­li anche per altri scopi, come ad esempio il controllo delle pre­sta­zio­ni. Il RGPD dovrebbe quindi reagire anche a questi sviluppi.

A costruire i punti cardine del Re­go­la­men­to generale sulla pro­te­zio­ne dei dati sono per prima cosa i cam­bia­men­ti avvenuti in materia di pro­te­zio­ne dei dati personali.

E questo è stato già fatto in passato, seppur non nella misura pia­ni­fi­ca­ta; con il RGPD viene raf­for­za­ta sen­si­bil­men­te la pro­te­zio­ne dei dati dei privati. Grazie a una serie di paragrafi è ora possibile regolare in maniera chiara ed esperta la raccolta dei dati personali.

Ad esempio, è stato ampliato l’obbligo di re­spon­sa­bi­li­tà da parte delle aziende (ac­coun­ta­bi­li­ty): sin dall’entrata in vigore del GDPR sono presenti vasti obblighi in merito alla do­cu­men­ta­zio­ne e alla mo­ti­va­zio­ne riguardo a quali dati un’azienda può re­gi­stra­re, a che scopo li può uti­liz­za­re e come li può elaborare. In questo senso il Re­go­la­men­to generale sulla pro­te­zio­ne dei dati cor­ri­spon­de a un lavoro im­pe­gna­ti­vo per quel che riguarda la do­cu­men­ta­zio­ne.

I principi più im­por­tan­ti in sintesi:

1. Divieto con riserva di au­to­riz­za­zio­ne: questo principio sta­bi­li­sce che ogni ela­bo­ra­zio­ne di dati personali è as­so­lu­ta­men­te vietata, se non au­to­riz­za­ta. Questo principio, sebbene già presente, rimane am­pia­men­te discusso, poiché non tutti i dati sono ugual­men­te im­por­tan­ti; tuttavia, il principio vieta in­di­scri­mi­na­ta­men­te l’utilizzo di tutti i dati con ri­fe­ri­men­to a persone.
2. De­sti­na­zio­ne vincolata: le aziende possono re­gi­stra­re ed elaborare dati solo per certe finalità. È perciò ne­ces­sa­rio che sin dall’inizio venga formulato lo scopo di raccolta dei dati, così come è ne­ces­sa­rio che il loro suc­ces­si­vo utilizzo sia do­cu­men­ta­to. Un esempio concreto di questo principio sono i dati rilevati da un’azienda per la com­pi­la­zio­ne di un contratto, i quali vanno sì salvati e ar­chi­via­ti, ma non possono essere uti­liz­za­ti per scopi pub­bli­ci­ta­ri. Infatti, questo è uno scopo dif­fe­ren­te, che necessita di un’au­to­riz­za­zio­ne separata. Le modifiche suc­ces­si­ve relative allo scopo sono permesse solamente in de­ter­mi­na­te cir­co­stan­ze.
3. Mi­ni­miz­za­zio­ne dei dati: il principio della mi­ni­miz­za­zio­ne dei dati prevede che le aziende rilevino il minor numero di dati possibili. A stabilire quale sia il limite è il seguente principio: il meno possibile, ma tutti quelli necessari. Non è possibile, perciò, rac­co­glie­re più dati di quelli necessari per lo scopo pre­fis­sa­to. Questo principio intende vietare il ri­le­va­men­to cieco di dati sem­pli­ce­men­te per farne scorta.
4. Tra­spa­ren­za: l’ela­bo­ra­zio­ne dei dati deve essere chiara per gli in­te­res­sa­ti. Da un lato questo significa di­chia­ra­zio­ni sulla pro­te­zio­ne dei dati personali com­pren­si­bi­li per tutti, e dall’altro gli utenti di­spon­go­no ora di ampi diritti con le novità in­tro­dot­te dal RGPD: su richiesta, le aziende devono co­mu­ni­ca­re di quali dati di­spon­go­no e come questi vengono uti­liz­za­ti.
5. Ri­ser­va­tez­za: le aziende devono sempre far sì che i dati personali dei propri clienti siano sempre protetti, e questo riguarda il lato tec­no­lo­gi­co e or­ga­niz­za­ti­vo. La pro­te­zio­ne riguarda l’ela­bo­ra­zio­ne, la modifica, il furto o la can­cel­la­zio­ne non au­to­riz­za­ta di dati. L’obbligo esplicito relativo alle misure tec­no­lo­gi­che di pro­te­zio­ne dei dati è nuovo. Tuttavia, queste misure non sono formulate con pre­ci­sio­ne all’interno del Re­go­la­men­to generale sulla pro­te­zio­ne dei dati e offrono perciò un po’ di gioco, in quanto è ne­ces­sa­rio in­ter­pre­tar­le. Nel caso avvenga un furto di dati, la si­tua­zio­ne varia se le misure di pro­te­zio­ni tecniche e di or­ga­niz­za­zio­ne erano adeguate al rischio e al tipo di dati ar­chi­via­ti.

In primo luogo, il RGPD è una buona base per entrambe le parti, sia per chi si occupa dell’ela­bo­ra­zio­ne dati sia per i con­su­ma­to­ri che ne sono soggetti. Inoltre, le normative del nuovo re­go­la­men­to in­te­res­sa­no anche i diritti dei di­pen­den­ti. Molte aziende, infatti, devono prestare at­ten­zio­ne poiché hanno obblighi formali sia verso i propri la­vo­ra­to­ri che verso i propri clienti, fornitori e semplici vi­si­ta­to­ri del proprio sito web.

Il RGPD ha na­tu­ral­men­te una par­ti­co­la­re rilevanza per una specifica categoria di la­vo­ra­to­ri: i re­spon­sa­bi­li della pro­te­zio­ne dei dati (co­no­sciu­ti anche con l’ab­bre­via­zio­ne RPD). Infatti, il RGPD fa in modo che il loro numero aumenti espo­nen­zial­men­te, dato che tutti gli enti pubblici e tutte le aziende all’interno dell’Unione Europea, la cui attività prin­ci­pa­le verte sulla gestione dei dati personali, hanno ora l’obbligo di nominare un re­spon­sa­bi­le della pro­te­zio­ne dei dati. Anche se l’ela­bo­ra­zio­ne dati non è l’attività prin­ci­pa­le della vostra azienda, è comunque ne­ces­sa­rio disporre di un RPD, basta che ci siano almeno venti persone che lavorano co­stan­te­men­te con l’ela­bo­ra­zio­ne au­to­ma­tiz­za­ta di dati personali.

Il Re­go­la­men­to generale sulla pro­te­zio­ne dei dati ha rap­pre­sen­ta­to un grande cam­bia­men­to anche per coloro che svol­ge­va­no già questa funzione in un’azienda, poiché il loro ruolo all’interno della stessa è cambiato si­gni­fi­ca­ti­va­men­te: se prima si oc­cu­pa­va­no di adempiere alla con­for­mi­tà in materia di pro­te­zio­ne dati, adesso sono re­spon­sa­bi­li anche del controllo delle misure attuate. Quindi, in altre parole, l’ambito del loro lavoro è stato ampliato ul­te­rior­men­te, così come è aumentata la loro re­spon­sa­bi­li­tà giuridica.

Tuttavia, questa legge porta beneficio anche ai re­spon­sa­bi­li della pro­te­zio­ne dei dati: la loro co­no­scen­za e le loro capacità sono ora par­ti­co­lar­men­te richieste e, con l’aumentare dei compiti, anche la loro posizione ha subito una ri­va­lu­ta­zio­ne, chia­ra­men­te in positivo.

Qui di seguito vi forniamo un riassunto del Re­go­la­men­to generale sulla pro­te­zio­ne dei dati, in par­ti­co­lar modo per quel che riguarda i compiti prin­ci­pa­li e le relative con­se­guen­ze per i gestori di siti web e le aziende.

Anche se non cambia nulla dal punto di vista dell’orien­ta­men­to, il RGPD dell’Unione Europea ha com­por­ta­to molte modifiche, che le aziende devono con­ti­nua­re a tenere as­so­lu­ta­men­te in con­si­de­ra­zio­ne, anche e so­prat­tut­to per quel che riguarda la pro­get­ta­zio­ne dei processi di lavoro, so­prat­tut­to quelli in cui sono coinvolte le persone, all’interno dei quali va in­cor­po­ra­ta la privacy (principio del Privacy by Design). Al­tri­men­ti il rischio è quello di in­fran­ge­re il diritto europeo. Qui di seguito ri­por­tia­mo le norme più im­por­tan­ti che devono essere ri­spet­ta­te dalle aziende, in par­ti­co­la­re quelle che si occupano di commercio online.

• Va­lu­ta­zio­ne di impatto sulla pro­te­zio­ne dei dati (DPIA o Data Pro­tec­tion Impact As­sess­ment): le aziende sono obbligate a fare una va­lu­ta­zio­ne di impatto, sta­bi­len­do quali misure di sicurezza adottare così da ridurre il rischio. Questo ade­gua­men­to è par­ti­co­lar­men­te im­por­tan­te se un’azienda vuole uti­liz­za­re i servizi cloud in modo sicuro. Infatti, nel cloud computing si elaborano spesso grandi quantità di dati personali. Ancora più nello specifico, questa modifica riguarda le aziende che ar­chi­via­no dati sanitari, i quali essendo par­ti­co­lar­men­te sensibili, aumentano con­si­de­ra­bil­men­te la gravità nel caso in cui vengano diffusi.
• Dati relativi ai di­pen­den­ti: anche le modalità con cui un’azienda tratta i dati dei propri di­pen­den­ti è trattato nel re­go­la­men­to, che riguarda perciò anche le risorse umane.
• Re­spon­sa­bi­li della pro­te­zio­ne dei dati: per molte aziende sarà ob­bli­ga­to­rio d’ora in avanti disporre di un re­spon­sa­bi­le della pro­te­zio­ne dei dati. Il suo compito è quello di con­trol­la­re le singole strategie di pro­te­zio­ne dei dati svi­lup­pa­te e la loro con­for­mi­tà con il RGPD. Questo non riguarda solamente le aziende che lavorano co­stan­te­men­te con una mole elevata di dati, ma anche tutte le aziende in cui ci sono almeno 20 persone che lavorano re­go­lar­men­te con i dati personali.
• Obbligo di se­gna­la­zio­ne: le direttive del RGPD, per quel che riguarda il modo di procedere nel caso in cui si verifichi un guasto, sono de­ci­sa­men­te più rigide rispetto a quelle pre­ce­den­ti. Le falle di sicurezza devono essere segnalate entro 72 ore dal momento in cui vengono iden­ti­fi­ca­te, sia ai diretti in­te­res­sa­ti che alle autorità com­pe­ten­ti.
• Re­spon­sa­bi­li­tà e multe: nel caso in cui avvenga una vio­la­zio­ne nei confronti dei dati re­gi­stra­ti è molto facile che l’azienda sia ritenuta re­spon­sa­bi­le e che venga quindi punita con pesanti multe.

• Obbligo di do­cu­men­ta­zio­ne: uno dei punti forti del nuovo re­go­la­men­to sta nell’obbligo di giu­sti­fi­ca­zio­ne da parte delle aziende, anche detto ac­coun­ta­bi­li­ty. Le aziende sono costrette a provare la propria con­for­mi­tà at­tra­ver­so do­cu­men­ta­zio­ne interna. Sono infatti tenute ogni volta a riportare alle autorità quali dati sono stati ar­chi­via­ti per quale scopo, in che modo saranno elaborati e quando l’azienda prov­ve­de­rà a can­cel­lar­li.
• Privacy by design: il principio Privacy by Design significa che le aziende devono tenere conto della pro­te­zio­ne dei dati già nel momento dell’im­po­sta­zio­ne tecnica dei propri processi di lavoro. Non è infatti ac­cet­ta­bi­le l’im­ple­men­ta­zio­ne di misure di pro­te­zio­ne dati a po­ste­rio­ri o di secondo ordine, ma è ne­ces­sa­rio che vengano integrate nel processo la­vo­ra­ti­vo già nella fase di rie­la­bo­ra­zio­ne. I prodotti e i processi do­vreb­be­ro quindi essere concepiti in modo che possano essere rea­liz­za­ti con il minor numero possibile di dati personali.
• Privacy by default: questa di­spo­si­zio­ne del re­go­la­men­to prevede che venga adottata la variante tecnica della pro­te­zio­ne dati di più facile utilizzo. Così facendo viene ri­spar­mia­to agli utenti il dover com­bat­te­re contro complesse im­po­sta­zio­ni tecniche per rendere effettive le li­mi­ta­zio­ni all’ela­bo­ra­zio­ne dei propri dati personali.
• Basi dell’au­to­riz­za­zio­ne (consenso, accordo operativo): anche in futuro l’utente dovrà dare espli­ci­ta­men­te l’au­to­riz­za­zio­ne all’utilizzo dei propri dati personali, con il consenso che sarà valido solamente per lo scopo o l’oggetto spe­ci­fi­ca­to. Inoltre, il modulo di consenso deve essere formulato in maniera com­pren­si­bi­le e deve rimanere ac­ces­si­bi­le da parte dell’utente con facilità. I requisiti per un consenso effettivo sono aumentati rispetto a come era in pre­ce­den­za con le linee guida del 1995. Uno squi­li­brio tra le due parti del contratto può portare a escludere la vo­lon­ta­rie­tà, e quindi anche la delega relativa al trat­ta­men­to dei dati.
• Can­cel­la­zio­ne dei dati: i dati relativi alla persona non possono essere ar­chi­via­ti all’infinito, ma solamente per il tempo utile al rag­giun­gi­men­to del fine con­cor­da­to. Terminata la potestà dell’ela­bo­ra­zio­ne dei dati (che sia perché ritirata l’au­to­riz­za­zio­ne o perché l’obiettivo è stato raggiunto), i dati devono essere eliminati.
• Diritto di accesso alle in­for­ma­zio­ni e diritto alla can­cel­la­zio­ne: i cittadini europei hanno il diritto, se richiesto espres­sa­men­te, di sapere di quali in­for­ma­zio­ni dispone un’azienda e come queste vengano uti­liz­za­te dalla stessa. Inoltre, gli utenti hanno facoltà di ri­chie­de­re all’azienda di can­cel­la­re i propri dati. Il “diritto all’oblio” è dunque stabilito per legge e anche le grandi aziende come Google devono con­for­mar­si e, su richiesta, can­cel­la­re i link con­te­nen­ti in­for­ma­zio­ni personali dai risultati del motore di ricerca.

Il Re­go­la­men­to generale sulla pro­te­zio­ne dei dati contiene ben poche regole per il commercio online. Esso formula molto più le basi generali della pro­te­zio­ne dei dati, i cui vari campi vengono regolati suc­ces­si­va­men­te con leggi e or­di­na­men­ti. Tuttavia, per quanto astratte, le norme del re­go­la­men­to europeo portano alcune novità anche per il commercio online. Nei paragrafi suc­ces­si­vi vi mo­stre­re­mo quali.

Partiamo dalle cose più im­por­tan­ti: rispetto alle regole per le aziende appena il­lu­stra­te, i cam­bia­men­ti in­tro­dot­ti dal RGPD per il commercio online sono pochi. È pre­su­mi­bi­le che i temi centrali per i gestori dei siti web – cookie, trac­cia­men­to degli utenti, spam marketing e marketing diretto – verranno rivisti in futuro. Ciò che è certo per il momento è che da maggio 2018 il Re­go­la­men­to ha la priorità sulle leggi at­tual­men­te presenti e che tutte le basi generali in esso contenute sono valide anche per i siti web, i Big Data e i social media. Anche l’utilizzo di cookie, di strumenti per il mo­ni­to­rag­gio e le misure di tar­get­tiz­za­zio­ne devono orien­tar­si sul RGPD.

Insieme al Re­go­la­men­to europeo (GDPR) e alle leggi nazionali, dovrebbe entrare in vigore anche un’ulteriore riforma relativa alla pro­te­zio­ne dati: il Re­go­la­men­to sulla vita privata e le co­mu­ni­ca­zio­ni elet­tro­ni­che dell’Unione Europea, co­no­sciu­to come Re­go­la­men­to ePrivacy. È difficile però prevedere quando questo ulteriore re­go­la­men­to entrerà in vigore, poiché finora i membri dell’UE non sono riusciti a trovare un accordo comune.

La bozza, ancora oggetto di di­scus­sio­ne, è infatti molto rigida per quel che riguarda l’au­to­riz­za­zio­ne all’utilizzo dei cookie. Quando il re­go­la­men­to diventerà legge, questo avrà delle gravi ri­per­cus­sio­ni sul tracking, sul targeting e sulla pub­bli­ci­tà per­so­na­liz­za­ta. Tuttavia, è ancora da decidere quali saranno i cam­bia­men­ti effettivi derivanti dal processo le­gi­sla­ti­vo.

Quindi, per tutti coloro impegnati nella gestione di un sito web o di un negozio online è altamente con­si­glia­bi­le tenere re­go­lar­men­te sott’occhio il Re­go­la­men­to ePrivacy. Con­tra­ria­men­te al RGPD, che si occupa di regolare giu­ri­di­ca­men­te i principi in materia di pro­te­zio­ne dei dati, il Re­go­la­men­to ePrivacy tratterà un settore specifico: la pro­te­zio­ne della sfera privata nella vita digitale di tutti i giorni. Quindi i gestori di siti web farebbero meglio ad aspet­tar­si ulteriori riforme.

Dunque, cos’è cambiato dal 25 maggio 2018 con l’entrata in vigore del Re­go­la­men­to generale sulla pro­te­zio­ne dei dati dell’Unione Europea? Le novità più im­por­tan­ti per i gestori di siti web sono le seguenti:

1. l’ingente obbligo di do­cu­men­ta­zio­ne del Re­go­la­men­to generale;
2. la maggior com­ples­si­tà relativa all’au­to­riz­za­zio­ne;
3. i principi del Privacy by Design e Privacy by Default;
4. l’am­plia­men­to del diritto di accesso all’in­for­ma­zio­ne e del diritto di can­cel­la­zio­ne;
5. il diritto alla por­ta­bi­li­tà dei dati;
6. chiari e maggiori obblighi di in­for­ma­zio­ne (ad esempio per quel che riguarda l’in­for­ma­ti­va sulla privacy);
7. il divieto di abbinare più consensi;
8. multe molto salate.

Nei paragrafi pre­ce­den­ti abbiamo già preso in con­si­de­ra­zio­ne alcuni di questi punti, ora ci con­cen­tre­re­mo sull’infor­ma­ti­va sulla privacy e il divieto di abbinare più consensi, dato che sono proprio questi due a in­te­res­sa­re prin­ci­pal­men­te i gestori dei siti web.

La novità più im­por­tan­te del RGPD per i gestori di siti web è rap­pre­sen­ta­ta dalle direttive riguardo l’in­for­ma­ti­va sulla privacy. L’articolo 13 EU RGPD par. 2 contiene un catalogo di in­for­ma­zio­ni che devono essere incluse in un’in­for­ma­ti­va sulla privacy. All’interno del Re­go­la­men­to generale viene spe­ci­fi­ca­ta chia­ra­men­te la forma che deve avere un’in­for­ma­ti­va sulla privacy, ovvero deve essere scritta in un lin­guag­gio semplice e com­pren­si­bi­le da un punto di vista del contenuto. Nel RGPD viene data grande im­por­tan­za alla tra­spa­ren­za.

Nel divieto di abbinare più consensi gli esperti vedono la re­stri­zio­ne maggiore presente in tutto il Re­go­la­men­to generale sulla pro­te­zio­ne dei dati. Con tale divieto un gestore di siti web non può co­strin­ge­re i propri po­ten­zia­li clienti a fornirgli suc­ces­si­va­men­te dati che non siano stret­ta­men­te necessari per l’effettiva pre­sta­zio­ne. Un esempio: ri­chie­den­do la re­gi­stra­zio­ne a una new­slet­ter al momento del per­fe­zio­na­men­to di un contratto si infrange il diritto europeo. Il principio massimo del consenso è la vo­lon­ta­rie­tà. Nel caso di più consensi abbinati assieme potrebbe tuttavia venire a mancare la vo­lon­ta­rie­tà, ren­den­do­li perciò inef­fi­ca­ci.

Ancora una volta vale la pena ricordare di fare as­so­lu­ta­men­te at­ten­zio­ne ai cam­bia­men­ti relativi agli obblighi di do­cu­men­ta­zio­ne, ai principi dell’au­to­riz­za­zio­ne, all’ar­chi­via­zio­ne, ai diritti di accesso alle in­for­ma­zio­ni e alla can­cel­la­zio­ne. Sin­go­lar­men­te, inoltre, è possibile che imprese e gestori di siti web siano in­te­res­sa­ti anche da altre riforme.

Se a questo punto iniziate a darvi da fare per quel che riguarda il Re­go­la­men­to generale sulla pro­te­zio­ne dei dati, la prima cosa da tenere in conto è che le misure ne­ces­sa­rie variano da azienda ad azienda. Tuttavia, ci sono delle pre­cau­zio­ni che ogni azienda dovrebbe prendere, che elen­chia­mo di seguito in questa lista.

• Stabilire i pro­ce­di­men­ti per una corretta do­cu­men­ta­zio­ne delle ope­ra­zio­ni che coin­vol­go­no i dati personali;
• con­fi­gu­ra­re un archivio delle varie ela­bo­ra­zio­ni di dati;
• mettere a di­spo­si­zio­ne dei propri clienti delle pos­si­bi­li­tà di contatto per richieste di in­for­ma­zio­ni relative alla pro­te­zio­ne dei dati;
• ve­ri­fi­ca­re se sia ne­ces­sa­rio in­ca­ri­ca­re un garante della privacy;
• ag­gior­na­re la propria in­for­ma­ti­va sulla privacy sul proprio sito con­for­me­men­te alle nuove leggi;
• con­sul­tar­si con il proprio re­spon­sa­bi­le del reparto tecnico (e con il re­spon­sa­bi­le della pro­te­zio­ne dei dati) per ve­ri­fi­ca­re se le misure tecniche adottate per la pro­te­zio­ne dei dati siano suf­fi­cien­ti. In de­ter­mi­na­te cir­co­stan­ze devono essere in­tro­dot­te ulteriori misure o integrate meglio quelle presenti nella propria in­fra­strut­tu­ra in­for­ma­ti­ca;
• tutti i dati raccolti che non ri­spet­ta­no il divieto di abbinare più consensi dovranno essere reperiti di­ver­sa­men­te ed essere re­gi­stra­ti come dati forniti vo­lon­ta­ria­men­te;
• se sono stati in­ca­ri­ca­ti pre­sta­to­ri di servizi esterni per l’am­mi­ni­stra­zio­ne dei dati personali della vostra azienda, dovrebbe essere accertato che le con­ven­zio­ni del Re­go­la­men­to generale sulla pro­te­zio­ne dei dati siano ri­spet­ta­te;
• ve­ri­fi­ca­re il processo di ricezione dei consensi sul proprio negozio online e adattare i pro­ce­di­men­ti alle normative del RGPD;
• tenersi ag­gior­na­ti sulle novità relative al Re­go­la­men­to sulla vita privata e le co­mu­ni­ca­zio­ni elet­tro­ni­che (Re­go­la­men­to ePrivacy), il quale si occuperà di regolare il lavoro dei com­mer­cian­ti online con gli strumenti di analisi e mo­ni­to­rag­gio;
• se dopo avere adempiuto a questi passaggi non si è ancora convinti di aver fatto tutto quello che c’è da fare, è con­si­glia­bi­le ri­chie­de­re una con­su­len­za pro­fes­sio­na­le.

In generale le reazioni delle forze politiche europee (e non solo) nei confronti di questa nuova legge sulla pro­te­zio­ne dei dati sono state pre­va­len­te­men­te positive. Infatti, il GDPR è volto a fornire una maggiore sicurezza per i con­su­ma­to­ri e per le aziende, ga­ran­ten­do le stesse con­di­zio­ni per tutti gli Stati europei. La promessa di un’uni­for­mi­tà all’interno dell’UE viene quindi ri­spet­ta­ta, pur lasciando ab­ba­stan­za spazio di manovra alle aziende.

Oltre agli elogi, non sono però mancate le critiche che prevedono delle dif­fi­col­tà di at­tua­zio­ne della legge spe­cial­men­te per le piccole e medie imprese. Inoltre, alcune for­mu­la­zio­ni rimangono vaghe e ciò potrebbe causare delle in­si­cu­rez­ze, lasciando spazio a in­ter­pre­ta­zio­ni diverse.

Già da anni si discute ac­ce­sa­men­te sulle possibili con­se­guen­ze del Re­go­la­men­to generale sulla pro­te­zio­ne dei dati. Dal 25 maggio 2018 sembra che si siano avverate sia alcune pre­vi­sio­ni positive che negative. Di seguito trovate perciò un breve riepilogo di tutti gli sviluppi passati che si ri­fe­ri­sco­no al GDPR e che coin­vol­go­no le aziende e/o i con­su­ma­to­ri.

Ini­zial­men­te, molte aziende italiane e in­ter­na­zio­na­li si sono di­mo­stra­te im­pre­pa­ra­te a recepire le norme del RGPD, so­prat­tut­to le PMI. L’impegno ne­ces­sa­rio per con­for­mar­si alla nuova legge avrebbe potuto teo­ri­ca­men­te ri­per­cuo­ter­si eco­no­mi­ca­men­te sulla loro attività, anche se non sono state mai rese note cifre che av­va­lo­re­reb­be­ro questa tesi e sembra ormai che il peggio sia stato scon­giu­ra­to.

Il RGPD solleva dubbi e per­ples­si­tà non solo all’interno dell’Unione Europea, ma anche negli Stati Uniti: così al posto di con­for­mar­si alle normative sulla privacy, molte aziende sta­tu­ni­ten­si, così come pagine di notizie, bloccano sem­pli­ce­men­te gli utenti con indirizzi IP europei, riducono le in­for­ma­zio­ni offerte o le for­ni­sco­no solo dietro pagamento di un sup­ple­men­to. Inoltre, per la paura di incorrere in sanzioni, molti piccoli siti web sono stati messi offline e da allora non sono più tornati online. Ciò influisce di­ret­ta­men­te nello scenario della “fuga di dati” che è paventato da tempo da molti critici del RGPD.

Allo stesso tempo l’entrata in vigore del RGPD ha stimolato un discorso a livello in­ter­na­zio­na­le sul tema della pro­te­zio­ne dei dati, ne­ces­sa­rio ormai da tempo, come con­cor­da­no i garanti della privacy. Le grandi aziende digitali come Alphabet (Google) e Meta (Facebook, WhatsApp, Instagram) sono molto più spesso al centro del dibattito mediatico e vengono guardate più cri­ti­ca­men­te dagli utenti. Infatti, i “Big Player” elaborano anche i dati personali dei cittadini dell’UE, che godono di una maggiore pro­te­zio­ne rispetto a quanto previsto dalla legge sta­tu­ni­ten­se.

Lo spau­rac­chio di sanzioni nel caso in cui non si applichi cor­ret­ta­men­te il Re­go­la­men­to generale sulla pro­te­zio­ne dei dati rimane. A essere pre­oc­cu­pa­te sono so­prat­tut­to le PMI, in quanto po­treb­be­ro correre grandi rischi. Tuttavia, non sono state applicate le sanzioni previste sin da subito e vi è stato ini­zial­men­te un periodo di per­mis­sio­ne, a eccezione delle grandi aziende come Google, per le quali sono state rilevate delle in­fra­zio­ni già subito al momento dell’entrata in vigore del RGPD.

La si­tua­zio­ne pare non essere cambiata neanche in tempi recenti: infatti sempre a Google è stata imposta una sanzione di 50 milioni di euro da parte della Cnil, il garante della privacy francese, per aver violato alcuni obblighi del RGPD. Ciò sarà di esempio anche alle aziende italiane che non lavorano solo sul suolo nazionale, che po­treb­be­ro quindi essere accusate di non ri­spet­ta­re le norme del nuovo Re­go­la­men­to generale sulla pro­te­zio­ne dei dati anche da altri Stati membri.

Sin da gennaio 2019 molte aziende in Europa si sono viste re­ca­pi­ta­re e-mail spam che pa­ven­ta­va­no sanzioni, ma che con­te­ne­va­no in realtà malware.

Trovate maggiori in­for­ma­zio­ni sulle e-mail spam e il phishing sulla Digital Guide di IONOS.

Per evitare sanzioni, è ne­ces­sa­rio comunque rimanere in guardia e so­prat­tut­to le grandi aziende o chi tratta i dati di cittadini europei dovrebbe prestare maggiore at­ten­zio­ne all’ade­gua­men­to delle norme, in quanto sono già state comminate diverse sanzioni per scorretta ap­pli­ca­zio­ne del GDPR. A essere con­te­sta­to è stato so­prat­tut­to il trat­ta­men­to dei dati, in cui si sarebbe di­mo­stra­ta la presenza di basi giu­ri­di­che in­suf­fi­cien­ti, il che ha portato l’Italia a essere il secondo paese in Europa con 75 multe per un ammontare di 84,5 milioni di euro.

Dopo l’entrata in vigore del GDPR, gli effetti non hanno tardato ad arrivare. È in­te­res­san­te notare come ci siano state ri­per­cus­sio­ni anche al di là dei confini dell’UE, con­tri­buen­do in questo modo a quello che è stato ri­bat­tez­za­to come “effetto Bruxelles”. L’UE ha così aumentato la sua im­por­tan­za a livello mondiale, af­fer­man­do­si sempre più come su­per­po­ten­za sul piano normativo, dato che il GDPR riguarda anche chi non si trova nell’UE.

Sulla scia del Re­go­la­men­to generale sulla pro­te­zio­ne dei dati sono state emanate nuove leggi anche al di fuori dell’UE, come il Ca­li­for­nia Consumer Privacy Act,

che mira a tutelare mag­gior­men­te la privacy dei cittadini ca­li­for­nia­ni.

Inoltre, da molti rapporti è emerso che la con­sa­pe­vo­lez­za degli individui dei nuovi re­go­la­men­ti è aumentata, e con essa anche il numero di se­gna­la­zio­ni di vio­la­zio­ni è in costante crescita. Tuttavia, l’Italia è rimasta in un primo momento indietro rispetto agli altri paesi membri dell’UE per quanto riguarda il re­ce­pi­men­to della normativa. A pesare è stata spesso la carenza delle in­fra­strut­tu­re interne che non hanno permesso quindi alle aziende di adeguarsi nel modo giusto.

Cio­no­no­stan­te, sono state comminate sin da subito le prime multe anche in Italia (anche se in misura inferiore rispetto a quanto previsto dalla legge), come quella mossa all’As­so­cia­zio­ne Rousseau per problemi di sicurezza legati all’e-voting. Per questa vio­la­zio­ne al GDPR l’As­so­cia­zio­ne Rousseau ha ricevuto una multa di 50.000 euro.

Ancora: a un medico è stata comminata una multa di 16.000 euro a seguito di trat­ta­men­to illecito di dati personali. L’in­te­res­sa­to avrebbe infatti uti­liz­za­to gli indirizzi di circa 3.500 ex pazienti per inviare lettere a sostegno di un candidato alle elezioni politiche del 4 marzo 2018, senza che le persone coinvolte avessero espresso specifico consenso.

Tutti questi casi si ri­fe­ri­sco­no però a vio­la­zio­ni avvenute prima che il GDPR entrasse in vigore e questo potrebbe in parte spiegare le sanzioni minori applicate.