Regolamento generale sulla protezione dei dati: riepilogo

Il 25 maggio 2018 entra è entrato ufficialmente in vigore il nuovo Regolamento generale sulla protezione dei dati dell’Unione Europea, chiamato anche RGPD. Ancora oggi ad essereIn precedenza effettive erano applicate in materia di trattamento dei dati sono le linee guida del 1995, il che,che, assieme all’avanzamento tecnologico degli ultimi decenni, ha reso non più derogabilehanno reso necessarie una revisione  ammodernamento delle leggi sulla protezione dei dati: d’altronde quando queste leggi in materia di privacy sono state varate, Internet stava ancora muovendo i primi passi.

Oggi la protezione dei dati all’interno dell’Unione Europea deve confrontarsi con Big Data, l’Industria 4.0, la robotica e l’intelligenza artificiale. Il ritmo è talmente frenetico che un aggiornamento delle relative disposizioni era urgentemente necessario.

Il nuovo Regolamento generale sulla protezione dei dati (GDPR) serve soprattutto allo scopo di uniformare il processo relativo alla protezione dei dati a livello europeo. Le domande che sorgono spontanee a chi gestisce un’azienda sono fondamentalmente due: quali sono le novità? E a che cosa devono fare attenzione le aziende e i gestori di siti web? Infatti dall’entrata in vigore della nuova legge, il 25 maggio 2018, sono cambiate alcune cose anche per il commercio online e per la protezione dati dei dipendenti nelle aziende.

In questo articolo vi forniamo un sunto di quella che è la situazione giuridica accompagnata da una lista delle cose da fare per il RGPD, sottolineando dunque quali sono le misure che dovete attuare.

Solitamente la strada che porta all’attuazione delle leggi a livello europeo è lunga e tortuosa, anche dopo che queste sono entrate ufficialmente in vigore. Una volta che una linea guida europea viene approvata al parlamento di Bruxelles, ai 28 Stati Membri vengono concessi dei generosi periodi di transizione per introdurre la legge nel sistema giuridico nazionale. Ma prima che venga fatta pressione alle aziende perché si adoperino per l’attuazione di tale legge, può passare davvero tanto tempo.

Però questo è appunto il caso delle linee guida; la questione cambia quando invece si tratta di un regolamento. In questo caso non vengono garantite né lunghe tempistiche né spazio di manovra per quel che riguarda il contenuto. Le leggi sono immediatamente e unitariamente vincolanti per tutti gli Stati dell’Unione, e quindi anche per le piccole e medie imprese che operano al loro interno. Il RGPD non fa eccezione: non si tratta infatti di un insieme di linee guida ma di un regolamento.

A maggio 2016 è entrato in vigore il periodo di transizione della durata di due anni del Regolamento generale sulla protezione dei dati, diventato ufficialmente valido in tutti gli Stati dell’Unione Europea, e quindi imposto nel sistema giuridico nazionale dal 25 maggio 2018. Questo significa che non ci saranno ulteriori scadenze ma da ora è in vigore la sua applicazione. Tutte le aziende e tutte le istituzioni pubbliche che lavorano con i dati privati degli utenti devono rispettare in toto la nuova regolamentazione europea sulla protezione dei dati.

Tuttavia non tutte le aziende erano a conoscenza dell’urgenza relativa al rispetto del RGPD: l’Osservatorio Information Security & Privacy del Politecnico di Milano a inizio 2017 ha pubblicato un rapporto relativo al grave ritardo da parte delle aziende italiane nell’adeguamento per il rispetto del nuovo regolamento, dove veniva riportato che solo il 27% conosceva gli obblighi del regolamento e il 9% aveva avviato già un progetto per l’adeguamento.

La situazione non riguarda però solo l’Italia. Uno studio internazionale (comprendente anche 200 aziende italiane) ha riportato (dati aggiornati a settembre 2017) che in media tra le 1600 organizzazioni che hanno preso parte al sondaggio, ben il 37% non aveva ben chiaro se la propria azienda fosse direttamente interessata dal nuovo regolamento.

Oggi sono molte le informazioni reperibili da giornali e siti ufficiali che facilitano sempre più l’adeguamento alla nuova legge per le aziende. Se alcuni gestori di siti web devono ancora correre al riparo, troveranno utili informazioni sulla pagina dedicata della Commissione europea e sul sito del Garante della Privacy, che approfondisce più da vicino le norme per il territorio italiano.

I regolamenti europei hanno la precedenza sulle leggi nazionali e prevalgono quindi in caso di incongruenza. Tuttavia il Regolamento generale sulla protezione dei dati ha alcune clausole di apertura che servono a permettere agli Stati Membri di attenuare o rafforzare determinate leggi in materia di privacy. Proprio a questo scopo il parlamento tedesco ha promosso una legge che è entrata in vigore lo stesso giorno del RGPD: il nuovoBundesdatenschutzgesetz, anche detto nuovo BDSG (o “nuova legge federale tedesca in materia di protezione dati”). Il BDSG sfrutta lo spazio di manovra appositamente lasciato per creare delle regole nazionali di affiancamento.

Una simile mossa sarebbe auspicabile anche in Italia, in modo da guidare le aziende durante l’adeguamento, evitando così il rischio che si venga a creare dell’inutile confusione. Al fine di aiutare le aziende in questo complicato processo, l’autorità Garante per la protezione dei dati personali ha rilasciato questa guida riassuntiva con tanto di raccomandazioni.

L’obiettivo principale del Regolamento generale sulladi protezione dei dati è l’unificazione della protezione dati di tutta l’Unione Europea. Diversamente dalle linee guida in vigore dal 1995 e applicate in maniera differente tra un paese e l’altro, il nuovo regolamento non concede lo stesso spazio di manovra per azioni individuali a livello nazionale.

Un secondo focus del nuovo regolamento sono gli imponenti cambiamenti tecnologici degli ultimi 25 anni e quelli che ci attendono in futuro. Infatti le maggiori sfide in materia di protezione dati non sono quelle presenti ma quelle future. Un esempio: la creazione di dati biometrici dei dipendenti è assolutamente necessaria per il lavoro con le macchine intelligenti. Se un’azienda tratta i dati con riservatezza e sensibilità non ci sono problemi. Ma se invece il datore di lavoro si trova questi dati in mano per la prima volta, è possibile che abbia la tentazione di utilizzarli anche per altri scopi, come ad esempio il controllo delle prestazioni. Il RGPD dovrebbe regolare anche questo ambito.

A costruire i punti cardine del Regolamento generale sulla protezione dei dati sono per prima cosa i cambiamenti avvenuti in materia di protezione dei dati personali. E questo è stato già fatto in passato, seppur non nella misura pianificata; con il RGPD viene rafforzata sensibilmente la protezione dei dati dei privati. Paragrafo dopo paragrafo si dovrebbe riuscire a far sì che i dati personali siano regolati in maniera chiara ed esperta.

Ad esempio viene ampliato l’obbligo di responsabilità da parte delle aziende (accountability): sono presenti vasti obblighi in merito alla documentazione e alla motivazione riguardo a quali dati un’azienda può registrare, a che scopo li può utilizzare e come li può elaborare. In questo senso il Regolamento generale sulla protezione dei dati corrisponde a un lavoro impegnativo per quel che riguarda la documentazione. Quelle aziende che già da tempo danno valore alla tutela dei dati e che tengono un registro dei processi di elaborazione degli stessi, faranno significativamente meno fatica a mettere in pratica gli adeguamenti necessari del RGPD.

A ogni modo il regolamento in generale non contiene alcun nuovo orientamento per quel che riguarda la protezione dati, infatti i principi noti in materia di privacy rimangono gli stessi, il RGPD si occupa semplicemente di difenderli e promuoverli. Essi rappresentano le fondamenta del nuovo regolamento e vengono perciò ulteriormente formulati e ampliati. I principi più importanti sono i seguenti:

1. Divieto con riserva di autorizzazione: questo principio significa che ogni elaborazione di dati personali è assolutamente vietata, se non autorizzata. Questo principio sebbene già presente rimane ampiamente discusso, poiché non tutti i dati sono ugualmente importanti; tuttavia il principio vieta indiscriminatamente l’utilizzo di tutti i dati con riferimento a persone.
    
2. Destinazione vincolata: le aziende possono registrare ed elaborare dati solo per certe finalità. È perciò necessario che sin dall’inizio venga formulato lo scopo di raccolta dei dati, così come è necessario che il loro successivo utilizzo sia documentato. Un esempio concreto di questo principio sono i dati rilevati da un’azienda per la compilazione di un contratto, i quali vanno sì salvati e archiviati, ma non essere utilizzati a scopi pubblicitari. Infatti questo è uno scopo differente, che necessita di un’autorizzazione separata. Le modifiche successive relative allo scopo sono permesse solamente in determinate circostanze.
    
3. Minimizzazione dei dati: il principio della minimizzazione dei dati prevede che le aziende rilevino il minor numero di dati possibili. A stabilire quale sia il limite è il seguente principio: il meno possibile, ma tutti quelli necessari. Non è possibile perciò raccogliere più dati di quelli necessari per lo scopo prefissato. Questo principio intende vietare il rilevamento cieco di dati semplicemente per farne scorta.
    
4. Trasparenza: l’elaborazione dei dati deve essere chiara per gli interessati. Da un lato questo significa dichiarazioni sulla protezione dei dati personali comprensibili per tutti, e dall’altro questo principio fa sì che gli utenti ottengano ampi diritti con le novità introdotte dal RGPD. Così com’è stato fino a oggi, su richiesta, le aziende devono comunicare di quali dati dispongono e come questi vengono utilizzati.
    
5. Riservatezza: le aziende devono sempre far sì che i dati personali dei propri clienti siano sempre protetti, e questo riguarda il lato tecnologico e organizzativo. La protezione riguarda l’elaborazione, la modifica, il furto o la cancellazione non autorizzata di dati. L’obbligo esplicito relativo alle misure tecnologiche di protezione dei dati è nuovo. Tuttavia queste misure non sono formulate con precisione all’interno del Regolamento generale sulla protezione dei dati e offrono perciò un po’ di gioco, in quanto è necessario interpretarle. Nel caso avvenga un furto dati,  la situazione varia se le misure di protezioni tecniche e di organizzazione erano adeguate al rischio e al tipo di dati archiviati.

In primo luogo il RGPD è una buona notizia per entrambe le parti, sia per chi si occupa dell’elaborazione dati sia per i consumatori che ne sono soggetti. Inoltre le normative del nuovo regolamento interessano anche i diritti dei dipendenti. Molte aziende infatti devono prestare attenzione poiché hanno obblighi formali sia verso i propri lavoratori che verso i propri clienti, fornitori e semplici visitatori del proprio sito web.

Il RGPD ha naturalmente una particolare rilevanza per una specifica categoria di lavoratori: i responsabili della protezione dei dati (conosciuti anche con l’abbreviazione RPD). Infatti il RGPD fa in modo che il loro numero aumenti esponenzialmente a livello europeo, dato che tutti gli enti pubblici e tutte le aziende all’interno dell’Unione Europea, la cui attività principale verte sulla gestione dei dati personali, hanno ora l’obbligo di nominare un responsabile della protezione dei dati. Anche se l’elaborazione dati non è l’attività principale della vostra azienda, è comunque necessario disporre di un RPD, basta che ci siano almeno 10 persone che lavorano costantemente con l’elaborazione automatizzata di dati personali.

Il Regolamento generale sulla protezione dei dati rappresenta un grande cambiamento anche per coloro che svolgono già questa funzione in un’azienda, poiché il loro ruolo all’interno della stessa cambia significativamente: se prima si occupavano di adempiere alla conformità in materia di protezione dati, adesso sono responsabili anche del controllo delle misure attuate. In questo modo l’ambito del loro lavoro si amplia ulteriormente, così come aumenta la loro responsabilità giuridica.

Tuttavia questa nuova legge porta beneficio anche ai responsabili della protezione dei dati: la loro conoscenza e le loro capacità saranno particolarmente richieste in futuro e, con l’aumentare dei compiti, anche la loro posizione subirà una rivalutazione, chiaramente in positivo.

Qui di seguito vi forniamo un riassunto del Regolamento generale sulla protezione dei dati, in particolar modo per quel che riguarda le novità per i gestori di siti web e per le aziende.

Anche se non cambia nulla dal punto di vista dell’orientamento, l’EU-RGPD porta con sé molte modifiche, che le aziende devono tenere assolutamente in considerazione, anche e soprattutto per quel che riguarda la progettazione dei processi di lavoro, soprattutto quelli in cui sono coinvolte le persone, all’interno dei quali va incorporata la privacy (principio del Privacy by Design). Altrimenti il rischio è quello di infrangere il diritto europeo. Qui di seguito riportiamo le riforme che devono essere rispettate dalle aziende, in particolare quelle che si occupano di commercio online.

• Valutazione di impatto sulla protezione dei dati (DPIA o Data Protection Impact Assessment): le aziende sono obbligate a fare una valutazione di impatto, stabilendo quali misure di sicurezza adottare così da ridurre il rischio. Questo adeguamento è particolarmente importante per le aziende che si occupano di Cloud Computing, e che quindi elaborano grandi quantità di dati di persone. Ancora più nello specifico, questa modifica riguarda le aziende che archiviano dati sanitari, i quali essendo particolarmente sensibili, aumentano considerabilmente la gravità nel caso in cui vengano diffusi.
   
• Dati relativi ai dipendenti: anche le modalità con cui un’azienda tratta i dati dei propri dipendenti è materia del nuovo regolamento, che riguarda perciò anche le risorse umane.
   
• Responsabili della protezione dei dati: per molte aziende sarà obbligatorio d’ora in avanti disporre di un responsabile della protezione dei dati. Il suo compito è quello di controllare le singole strategie di protezione dei dati sviluppate e la loro conformità con il RGPD. Questo non riguarda solamente le aziende che lavorano costantemente con una mole elevata di dati, ma anche tutte le aziende in cui ci sono almeno 10 persone che lavorano regolarmente con i dati relativi alle persone.
   
• Obbligo di segnalazione: le nuove direttive del RGPD, per quel che riguarda il modo di procedere nel caso in cui si verifichi un guasto, sono decisamente più rigide rispetto a quelle precedenti. Le falle di sicurezza devono essere segnalate entro 72 ore dal momento in cui vengono identificate: sia ai diretti interessati che alle autorità competenti.
   
• Responsabilità e multe: nel caso in cui avvenga una violazione nei confronti dei dati registrati è molto facile che l’azienda sia ritenuta responsabile e che venga quindi punita con pesanti multe.

• Obbligo di documentazione: uno dei punti forti del nuovo regolamento sta nell’obbligo di giustificazione da parte delle aziende, anche detto accountability. Diversamente da com’è stato finora, le aziende sono costrette a provare la propria conformità attraverso documentazione interna. Sono infatti tenute ogni volta a riportare alle autorità quali dati sono stati archiviati a quale scopo, in che modo saranno elaborati e quando l’azienda provvederà a cancellarli.
   
• Privacy by design: il principio Privacy by Design significa che le aziende devono tenere conto della protezione dei dati già nel momento dell’impostazione tecnica dei propri processi di lavoro. Non è infatti accettabile l’implementazione di misure di protezione dati a posteriori o di secondo ordine, è necessario che vengano perciò integrate nel processo lavorativo già nella fase di rielaborazione. I prodotti e i processi dovrebbero quindi essere concepiti in modo che possano essere realizzati con il minor numero possibile di dati personali.
   
• Privacy by default: questa disposizione del nuovo regolamento prevede che venga adottata la variante tecnica della protezione dati di più facile utilizzo. Così facendo viene risparmiato agli utenti il dover combattere contro complesse impostazioni tecniche per rendere effettive le limitazioni all’elaborazione dei propri dati personali.
   
• Basi dell’autorizzazione(consenso, accordo operativo): anche in futuro l’utente dovrà dare esplicitamente l’autorizzazione all’utilizzo dei propri dati personali, con il consenso che sarà valido solamente per lo scopo o l’oggetto specificato. Inoltre il modulo di consenso deve essere formulato in maniera comprensibile e deve rimanere accessibile da parte dell’utente con facilità. I requisiti per un consenso effettivo sono aumentati rispetto a come era in precedenza con le linee guida del 1995. Uno squilibrio tra le due parti del contratto può portare a escludere la volontarietà, e quindi anche la delega relativa al trattamento dei dati.
   
• Cancellazione dei dati: i dati relativi alla persona non possono essere archiviati all’infinito, ma solamente per il tempo utile al raggiungimento del fine concordato. Terminata la potestà dell’elaborazione dei dati (che sia perché ritirata l’autorizzazione o perché l’obiettivo è stato raggiunto), i dati devono essere eliminati.
   
• Diritto di accesso alle informazioni e diritto alla cancellazione: i cittadini europei hanno il diritto, se richiesto espressamente, di sapere di quali informazioni dispone un’azienda e come queste vengano utilizzate dalla stessa. Inoltre gli utenti hanno facoltà di richiedere all’azienda di cancellare i propri dati. Il “diritto all’oblio” è dunque stabilito per legge e anche le grandi aziende come Google devono conformarsi, cancellando i risultati di ricerca, se richiesto.

Il Regolamento generale sulla privacy dei dati contiene ben poche regole per il commercio online. Esso formula molto più le basi generali della protezione dei dati, i cui vari campi vengono regolati successivamente con leggi e ordinamenti. Tuttavia, per quanto astratte, le norme del regolamento europeo portano alcune novità anche per il commercio online. Nei paragrafi successivi vi mostreremo quali.

Partiamo dalle cose più importanti: rispetto alle novità per le aziende appena illustrate, i cambiamenti introdotti dal RGPD per il commercio online sono poca cosa. È presumibile che i temi centrali per i gestori dei siti web – cookie, user tracking, spam marketing e marketing diretto – verranno rivisti nella primavera del 2019in futuro. Ciò che è certo per il momento è che da maggio 2018 il Regolamento ha la priorità sulle leggi attualmente presenti e che tutte le basi generali in esso contenute sono valide anche per i siti web, i Big Data e i social media. Anche l’utilizzo di cookie, di strumenti per il monitoraggio e di misure di targetizzazione devono orientarsi sul RGPD.

Tuttavia il Regolamento europeo è una soluzione provvisoria, infatti assieme a esso e alle leggi nazionali dovrebbe entrare in vigore anche un’ulteriore riforma relativa alla protezione dati: il Regolamento sulla vita privata e le comunicazioni elettroniche dell’Unione Europea (ePrivacy Regulation), conosciuto come regolamento ePrivacy. È difficile però prevedere quando questo ulteriore regolamento entrerà in vigore, poiché finora i membri dell'UE non sono riusciti a trovare un accordo comune.

La bozza, ancora oggetto di discussione, è infatti molto rigida per quel che riguarda l’autorizzazione all’utilizzo dei cookie. Nel caso in cui essa dovesse diventare legge, questo avrebbe delle gravi ripercussioni sul tracking, sul targeting e sulla pubblicità personalizzata. È ancora da decidere quali saranno i cambiamenti effettivi derivanti dal processo legislativo.

Tuttavia è altamente consigliabile che tutti coloro impegnati nella gestione di un sito web o di un negozio online tengano regolarmente sott’occhio il regolamento ePrivacy. Contrariamente al RGPD, che si occupa di regolare giuridicamente i principi in materia di protezione dei dati, il regolamento ePrivacy tratterà un settore specifico: la protezione della sfera privata nella vita digitale di tutti i giorni. Quindi i gestori di siti web farebbero meglio ad aspettarsi ulteriori riforme.

Dunque cos’è cambiato dal 25 maggio 2018 con l’entrata in vigore del Regolamento generale sulla protezione dei dati dell’Unione Europea? Le novità più importanti per i gestori di siti web sono le seguenti:

1. l’ingente obbligo di documentazione del Regolamento generale;
2. la maggior complessità relativa all’autorizzazione;
3. i principi del Privacy by Design e Privacy by Default;
4. l’ampliamento del diritto di accesso all’informazione e del diritto di cancellazione;
5. il diritto alla portabilità dei dati;
6. chiari e maggiori obblighi di informazione (ad esempio per quel che riguarda l’informativa sulla privacy);
7. il divieto di abbinare più consensi;
8. multe molto salate.

Nei paragrafi precedenti abbiamo già preso in considerazione alcuni di questi punti, ora ci concentreremo invece sull’informativa sulla privacy e il divieto di abbinare più consensi, dato che sono proprio questi due a interessare principalmente i gestori dei siti web.

La novità più importante del RGPD per i gestori di siti web è rappresentata dalle direttive riguardo l’informativa sulla privacy. L’articolo 13 par. 2 contiene un catalogo di informazioni che devono essere incluse in un’informativa sulla privacy. All’interno del Regolamento generale viene specificata chiaramente la forma che deve avere un’informativa sulla privacy: scritta in un linguaggio semplice e comprensibile da un punto di vista del contenuto. Nel RGPD viene data grande importanza alla trasparenza.

Nel divieto di abbinare più consensi gli esperti vedono la restrizione maggiore presente in tutto il Regolamento generale sulla privacy dei dati. Con tale divieto un gestore di siti web non può costringere i propri potenziali clienti a fornirgli successivamente dati che non siano strettamente necessari per l’effettiva prestazione. Un esempio: richiedendo la registrazione a una newsletter online al momento del perfezionamento di un contratto si infrangerà il diritto europeo. Il principio massimo del consenso è la volontarietà. Nel caso di più consensi abbinati assieme potrebbe tuttavia venire a mancare la volontarietà, rendendoli perciò inefficaci.

Ancora una volta vale la pena ricordare di fare assolutamente attenzione ai cambiamenti relativi agli obblighi di documentazione, ai principi dell’autorizzazione, all’archiviazione, ai diritti di accesso alle informazioni e alla cancellazione. Singolarmente inoltre è possibile che imprese e gestori di siti web siano interessati anche da altre riforme.

Se a questo punto iniziate a darvi da fare per quel che riguarda il Regolamento generale sulla protezione dei dati, la prima cosa da tenere in conto è che le misure necessarie variano da azienda ad azienda. Tuttavia ci sono delle precauzioni che ogni azienda dovrebbe prendere, che elenchiamo di seguito in questa lista.

• Stabilire i procedimenti per una corretta documentazione delle operazioni che coinvolgono i dati personali;
• configurare un archivio delle varie elaborazioni di dati;
• mettere a disposizione dei propri clienti delle possibilità di contatto per richieste di informazioni relative alla protezione dei dati;
• verificare se sia necessario incaricare un garante della privacy;
• aggiornare la propria informativa sulla privacy sul proprio sito conformemente alle nuove leggi;
• consultarsi con il proprio responsabile del reparto tecnico (e con il responsabile della protezione dei dati) per verificare se le misure tecniche adottate per la protezione dati siano sufficienti. In determinate circostanze devono essere introdotte ulteriori misure o integrate meglio quelle presenti nella propria infrastruttura informatica;
• tutti i dati raccolti che non rispettano il divieto di abbinare più consensi dovranno essere reperiti diversamente d’ora in poi ed essere registrati come dati forniti volontariamente;
• se sono stati incaricati prestatori di servizi esterni per l’amministrazione dei dati personali della vostra azienda, dovrebbe essere accertato che le convenzioni del Regolamento generale sulla privacy dei dati siano rispettate;
• verificare il processo di ricezione dei consensi sul proprio negozio online e adattare i procedimenti alle normative del RGPD;
• tenersi aggiornati sulle novità relative al Regolamento sulla vita privata e le comunicazioni elettroniche, il quale si occuperà di regolare il lavoro dei commercianti online con i tool di analisi e di monitoraggio;
• se dopo avere adempiuto a questi passaggi non si è ancora convinti di aver fatto tutto quello che c’è da fare, è consigliabile richiedere una consulenza professionale.

In generale le reazioni delle forze politiche europee (e non solo) nei confronti di questa nuova legge sulla protezione dei dati sono state prevalentemente positive. Infatti il GDPR è volto a fornire una maggiore sicurezza per i consumatori e per le aziende, garantendo le stesse condizioni per tutti gli Stati europei. La promessa di un’uniformità all’interno dell’UE viene quindi rispettata, pur lasciando abbastanza spazio di manovra alle aziende.

Oltre agli elogi, non sono però mancate le critiche che prevedono delle difficoltà di attuazione della legge specialmente per le piccole e medie imprese. Inoltre alcune formulazioni rimangono vaghe e ciò potrebbe causare delle insicurezze, lasciando spazio a interpretazioni diverse.

Già da anni si discute accesamente sulle possibili conseguenze del Regolamento generale sulla protezione dei dati. Dal 25 maggio 2018 sembra che si siano avverati sia alcuni pareri positivi che negativi. Di seguito trovate perciò un breve riepilogo di tutti gli sviluppi passati che si riferiscono al GDPR e che coinvolgono le aziende e/o i consumatori.

Come accennato prima, molte aziende italiane e internazionali si sono dimostrate impreparate a recepire le norme del RGPD, soprattutto le PMI. L’impegno necessario per conformarsi alla nuova legge potrebbe teoricamente ripercuotersi economicamente sulla loro attività, anche se ancora non sono state rese note cifre che avvalorerebbero questa tesi. I grandi gruppi industriali digitali come Facebook hanno invece superato la prova delle modifiche grazie all’elevato budget a disposizione e alle conoscenze tecniche accumulate. Queste sembrerebbero persino utilizzare il RGPD per propri scopi di marketing: ad esempio Google sostiene di aver avuto bisogno per l’implementazione delle nuove misure per la protezione dati di “500 anni di lavoro di un uomo”.

Come è emerso nei mesi passati, il RGPD solleva dubbi e perplessità non solo all’interno dell’Unione Europea, ma anche negli Stati Uniti: così al posto di conformarsi alle normative sulla privacy, molte aziende statunitensi, così come 1.100 pagine di notizie, bloccano semplicemente gli utenti con indirizzi IP europei, riducono le informazioni offerte o le forniscono solo dietro pagamento di un supplemento. Inoltre, per la paura di incorrere in sanzioni, molti piccoli siti web sono stati messi offline e da allora non sono più tornati online. Ciò influisce direttamente nello scenario della “fuga di dati” che è paventato da tempo da molti critici del RGPD.

Allo stesso tempo l’entrata in vigore del RGPD ha stimolato un discorso a livello internazionale sul tema della protezione dei dati, necessario ormai da tempo, come concordano i garanti della privacy. Le grandi aziende digitali come Google e Facebook sono molto più spesso al centro del dibattito mediatico e vengono guardate più criticamente dagli utenti. Infatti i Big Player elaborano anche i dati personali dei cittadini dell’UE, che godono di una maggiore protezione rispetto a quanto previsto dalla legge statunitense.

Lo spauracchio di sanzioni nel caso in cui non si applichi correttamente il Regolamento generale sulla protezione dei dati rimane. A essere preoccupate sono soprattutto le PMI, in quanto potrebbero correre grandi rischi. Tuttavia non sono state applicate le sanzioni previste sin da subito e vi è stato inizialmente un periodo di permissione, a eccezione delle grandi aziende come Google, per le quali sono state rilevate delle infrazioni già subito al momento dell’entrata in vigore del RGPD

La situazione pare non essere cambiata neanche in tempi recenti: infatti sempre a Google è stata imposta una sanzione di 50 milioni di euro da parte della Cnil, il garante della privacy francese, per aver violato alcuni obblighi del RGPD. Ciò sarà di esempio anche alle aziende italiane che non lavorano solo sul suolo nazionale, che potrebbero quindi essere accusate di non rispettare le norme del nuovo Regolamento generale della privacy anche da altri Stati membri.

Sin dal gennaio 2019 molte aziende in Europa si sono viste recapitare e-mail spam che paventavano sanzioni, ma che contenevano in realtà malware.

Trovate maggiori informazioni sulle e-mail spam e il phishing sulla Digital Guide di IONOS.

Per evitare sanzioni, è necessario comunque rimanere in guardia e soprattutto le grandi aziende o chi tratta i dati di cittadini europei dovrebbero prestare maggiore attenzione all’adeguamento delle norme, in quanto si cominciano a riscontrare i primi casi di sanzioni per scorretta applicazione del GDPR.

L'impatto del GDPR a livello mondiale a più di un anno dalla sua entrata in vigore

A più di un anno dalla sua entrata in vigore, cominciano a vedersi i primi effetti del GDPR. È interessante notare come ci siano state ripercussioni anche al di là dei confini dell'UE, contribuendo in questo modo a quello che è stato ribattezzato come "effetto Bruxelles". L'UE ha così aumentato la sua importanza a livello mondiale, affermandosi sempre più come superpotenza sul piano normativo, dato che il GDPR riguarda anche chi non si trova nell'UE.

Sulla scia del Regolamento generale sulla protezione dei dati sono state emanate nuove leggi anche al di fuori dell'UE, come il California Consumer Privacy Act, che mira a tutelare maggiormente la privacy dei cittadini californiani.

Inoltre, da molti rapporti è emerso che la consapevolezza degli individui dei nuovi regolamenti è aumentata, e di con essa anche il numero di segnalazioni di violazioni è in costante crescita.  Tuttavia l'Italia sembra essere rimasta ancora indietro rispetto agli altri paesi membri dell'UE per quanto riguarda il recepimento della normativa. A pesare è spesso la carenza delle infrastrutture interne che non permettono quindi alle aziende di adeguarsi nel modo giusto.

Ciononostante sono state comminate le prime multe anche in Italia (anche se in misura inferiore rispetto a quanto previsto dalla legge), come quella mossa all'Associazione Rousseau per problemi di sicurezza legati all'e-voting. Per questa violazione al GDPR l'Associazione Rousseau ha ricevuto una multa di 50.000 euro.

Ancora: a un medico è stata comminata una multa di 16.000 euro a seguito di trattamento illecito di dati personali. L'interessato avrebbe infatti utilizzato gli indirizzi di circa 3.500 ex pazienti per inviare lettere a sostegno di un candidato alle elezioni politiche del 4 marzo 2018, senza che le persone coinvolte avessero espresso specifico consenso.

Tutti questi casi si riferiscono però a violazioni avvenute prima che il GDPR entrasse in vigore e questo potrebbe in parte spiegare le sanzioni minori applicate.