Regolamento generale sulla protezione dei dati: riepilogo

Il 25 maggio 2018 è entrato ufficialmente in vigore il Regolamento generale sulla protezione dei dati dell’Unione Europea, chiamato anche RGPD. In precedenza erano applicate in materia di trattamento dei dati le linee guida del 1995 che, assieme all’avanzamento tecnologico degli ultimi decenni, hanno reso necessarie una revisione delle leggi sulla protezione dei dati: d’altronde quando queste leggi in materia di privacy sono state varate, Internet stava ancora muovendo i primi passi.

Oggi la protezione dei dati all’interno dell’Unione Europea deve confrontarsi con Big Data, l’Industria 4.0, la robotica e l’intelligenza artificiale. Il ritmo è talmente frenetico che un aggiornamento delle relative disposizioni era urgentemente necessario.

Il Regolamento generale sulla protezione dei dati (GDPR) serve soprattutto allo scopo di uniformare il processo relativo alla protezione dei dati a livello europeo. Le domande che sorgono spontanee a chi gestisce un’azienda sono fondamentalmente due: quali sono le regole da rispettare? E quali sono i passaggi da seguire per un trattamento dei dati personali conforme al GDPR? Inoltre, dall’entrata in vigore della leggesono cambiate alcune cose anche per il commercio online e per la protezione dati dei dipendenti nelle aziende.

In questo articolo vi forniamo un sunto di quella che è la situazione giuridica accompagnata da una lista delle cose da fare per il RGPD, sottolineando dunque quali sono le misure che dovete attuare.

Solitamente la strada che porta all’attuazione delle leggi a livello europeo è lunga e tortuosa, anche dopo che queste sono entrate ufficialmente in vigore. Una volta che una linea guida europea viene approvata al parlamento di Bruxelles, ai 28 Stati Membri vengono concessi dei generosi periodi di transizione per introdurre la legge nel sistema giuridico nazionale. Ma prima che venga fatta pressione alle aziende perché si adoperino per l’attuazione di tale legge, può passare davvero tanto tempo.

Però questo è appunto il caso delle linee guida; la questione cambia quando invece si tratta di un regolamento. In questo caso non vengono garantite né lunghe tempistiche né spazio di manovra per quel che riguarda il contenuto. Le leggi sono immediatamente e unitariamente vincolanti per tutti gli Stati dell’Unione, e quindi anche per le piccole e medie imprese che operano al loro interno. Il RGPD non fa eccezione: non si tratta infatti di un insieme di linee guida ma di un regolamento.

A maggio 2016 è entrato in vigore il periodo di transizione della durata di due anni del Regolamento generale sulla protezione dei dati, diventato ufficialmente valido in tutti gli Stati dell’Unione Europea, e quindi imposto nel sistema giuridico nazionale dal 25 maggio 2018. Questo significa che non ci saranno ulteriori scadenze ma da ora è in vigore la sua applicazione. Tutte le aziende e tutte le istituzioni pubbliche che lavorano con i dati privati degli utenti devono rispettare in toto la nuova regolamentazione europea sulla protezione dei dati.

Tuttavia non tutte le aziende erano a conoscenza dell’urgenza relativa al rispetto del RGPD: l’Osservatorio Information Security & Privacy del Politecnico di Milano a inizio 2017 ha pubblicato un rapporto relativo al grave ritardo da parte delle aziende italiane nell’adeguamento per il rispetto del nuovo regolamento, dove veniva riportato che solo il 27% conosceva gli obblighi del regolamento e il 9% aveva avviato già un progetto per l’adeguamento.

La situazione non riguarda però solo l’Italia. Uno studio internazionale (comprendente anche 200 aziende italiane) ha riportato (dati aggiornati a settembre 2017) che in media tra le 1600 organizzazioni che hanno preso parte al sondaggio, ben il 37% non aveva ben chiaro se la propria azienda fosse direttamente interessata dal nuovo regolamento.

Oggi sono molte le informazioni reperibili da giornali e siti ufficiali che facilitano sempre più l’adeguamento alla nuova legge per le aziende. Se alcuni gestori di siti web devono ancora correre al riparo, troveranno utili informazioni sulla pagina dedicata della Commissione europea e sul sito del Garante della Privacy, che approfondisce più da vicino le norme per il territorio italiano.

I regolamenti europei hanno la precedenza sulle leggi nazionali e prevalgono quindi in caso di incongruenza. Tuttavia, il Regolamento generale sulla protezione dei dati ha alcune clausole di apertura che servono a permettere agli Stati Membri di attenuare o rafforzare determinate leggi in materia di privacy. Proprio a questo scopo il parlamento tedesco ha promosso una legge che è entrata in vigore lo stesso giorno del RGPD: il nuovoBundesdatenschutzgesetz, anche detto nuovo BDSG (o “nuova legge federale tedesca in materia di protezione dati”). Il BDSG sfrutta lo spazio di manovra appositamente lasciato per creare delle regole nazionali di affiancamento.

Una simile mossa sarebbe stata auspicabile anche in Italia, anche se le aziende sono riuscite ad adeguarsi al GDPR con risultati soddisfacenti. Al fine di aiutare le aziende in questo complicato processo, l’autorità Garante per la protezione dei dati personali aveva rilasciato una guida riassuntiva con alcune raccomandazioni.

L’obiettivo principale del Regolamento generale sulla protezione dei dati è l’unificazione della protezione dati di tutta l’Unione Europea. Diversamente dalle linee guida in vigore dal 1995 e applicate in maniera differente tra un paese e l’altro, il regolamento concede poco spazio di manovra per azioni individuali a livello nazionale.

L’attenzione del regolamento si concentra anche sugli imponenti cambiamenti tecnologici degli ultimi 25 anni e quelli che ci attendono in futuro. Infatti, le maggiori sfide in materia di protezione dei dati non sono quelle presenti ma quelle future. Un esempio: la creazione di dati biometrici dei dipendenti è assolutamente necessaria per il lavoro con le macchine intelligenti. Se un’azienda tratta i dati con riservatezza e sensibilità non ci sono problemi. Ma se invece il datore di lavoro si trova questi dati in mano per la prima volta, è possibile che abbia la tentazione di utilizzarli anche per altri scopi, come ad esempio il controllo delle prestazioni. Il RGPD dovrebbe quindi reagire anche a questi sviluppi.

A costruire i punti cardine del Regolamento generale sulla protezione dei dati sono per prima cosa i cambiamenti avvenuti in materia di protezione dei dati personali.

E questo è stato già fatto in passato, seppur non nella misura pianificata; con il RGPD viene rafforzata sensibilmente la protezione dei dati dei privati. Grazie a una serie di paragrafi è ora possibile regolare in maniera chiara ed esperta la raccolta dei dati personali.

Ad esempio, è stato ampliato l’obbligo di responsabilità da parte delle aziende (accountability): sin dall’entrata in vigore del GDPR sono presenti vasti obblighi in merito alla documentazione e alla motivazione riguardo a quali dati un’azienda può registrare, a che scopo li può utilizzare e come li può elaborare. In questo senso il Regolamento generale sulla protezione dei dati corrisponde a un lavoro impegnativo per quel che riguarda la documentazione.

I principi più importanti in sintesi:

1. Divieto con riserva di autorizzazione: questo principio significa che ogni elaborazione di dati personali è assolutamente vietata, se non autorizzata. Questo principio sebbene già presente rimane ampiamente discusso, poiché non tutti i dati sono ugualmente importanti; tuttavia, il principio vieta indiscriminatamente l’utilizzo di tutti i dati con riferimento a persone.
2. Destinazione vincolata: le aziende possono registrare ed elaborare dati solo per certe finalità. È perciò necessario che sin dall’inizio venga formulato lo scopo di raccolta dei dati, così come è necessario che il loro successivo utilizzo sia documentato. Un esempio concreto di questo principio sono i dati rilevati da un’azienda per la compilazione di un contratto, i quali vanno sì salvati e archiviati, ma non possono essere utilizzati per scopi pubblicitari. Infatti questo è uno scopo differente, che necessita di un’autorizzazione separata. Le modifiche successive relative allo scopo sono permesse solamente in determinate circostanze.
3. Minimizzazione dei dati: il principio della minimizzazione dei dati prevede che le aziende rilevino il minor numero di dati possibili. A stabilire quale sia il limite è il seguente principio: il meno possibile, ma tutti quelli necessari. Non è possibile perciò raccogliere più dati di quelli necessari per lo scopo prefissato. Questo principio intende vietare il rilevamento cieco di dati semplicemente per farne scorta.
4. Trasparenza: l’elaborazione dei dati deve essere chiara per gli interessati. Da un lato questo significa dichiarazioni sulla protezione dei dati personali comprensibili per tutti, e dall’altro gli utenti dispongono ora di ampi diritti con le novità introdotte dal RGPD: su richiesta, le aziende devono comunicare di quali dati dispongono e come questi vengono utilizzati.
5. Riservatezza: le aziende devono sempre far sì che i dati personali dei propri clienti siano sempre protetti, e questo riguarda il lato tecnologico e organizzativo. La protezione riguarda l’elaborazione, la modifica, il furto o la cancellazione non autorizzata di dati. L’obbligo esplicito relativo alle misure tecnologiche di protezione dei dati è nuovo. Tuttavia, queste misure non sono formulate con precisione all’interno del Regolamento generale sulla protezione dei dati e offrono perciò un po’ di gioco, in quanto è necessario interpretarle. Nel caso avvenga un furto di dati, la situazione varia se le misure di protezioni tecniche e di organizzazione erano adeguate al rischio e al tipo di dati archiviati.

In primo luogo, il RGPD è una buona base per entrambe le parti, sia per chi si occupa dell’elaborazione dati sia per i consumatori che ne sono soggetti. Inoltre le normative del nuovo regolamento interessano anche i diritti dei dipendenti. Molte aziende, infatti, devono prestare attenzione poiché hanno obblighi formali sia verso i propri lavoratori che verso i propri clienti, fornitori e semplici visitatori del proprio sito web.

Il RGPD ha naturalmente una particolare rilevanza per una specifica categoria di lavoratori: i responsabili della protezione dei dati (conosciuti anche con l’abbreviazione RPD). Infatti il RGPD fa in modo che il loro numero aumenti esponenzialmente, dato che tutti gli enti pubblici e tutte le aziende all’interno dell’Unione Europea, la cui attività principale verte sulla gestione dei dati personali, hanno ora l’obbligo di nominare un responsabile della protezione dei dati. Anche se l’elaborazione dati non è l’attività principale della vostra azienda, è comunque necessario disporre di un RPD, basta che ci siano almeno 10 persone che lavorano costantemente con l’elaborazione automatizzata di dati personali.

Il Regolamento generale sulla protezione dei dati ha rappresentato un grande cambiamento anche per coloro che svolgevano già questa funzione in un’azienda, poiché il loro ruolo all’interno della stessa è cambiato significativamente: se prima si occupavano di adempiere alla conformità in materia di protezione dati, adesso sono responsabili anche del controllo delle misure attuate. In questo modo l’ambito del loro lavoro è stato ampliato ulteriormente, così come è aumentata la loro responsabilità giuridica.

Tuttavia, questa legge porta beneficio anche ai responsabili della protezione dei dati: la loro conoscenza e le loro capacità sono ora particolarmente richieste e, con l’aumentare dei compiti, anche la loro posizione ha subito una rivalutazione, chiaramente in positivo.

Qui di seguito vi forniamo un riassunto del Regolamento generale sulla protezione dei dati, in particolar modo per quel che riguarda i compiti principali e le relative conseguenze per i gestori di siti web e le aziende.

Anche se non cambia nulla dal punto di vista dell’orientamento, il RGPD dell’Unione Europea ha comportato molte modifiche, che le aziende devono continuare a tenere assolutamente in considerazione, anche e soprattutto per quel che riguarda la progettazione dei processi di lavoro, soprattutto quelli in cui sono coinvolte le persone, all’interno dei quali va incorporata la privacy (principio del Privacy by Design). Altrimenti il rischio è quello di infrangere il diritto europeo. Qui di seguito riportiamo le norme più importanti che devono essere rispettate dalle aziende, in particolare quelle che si occupano di commercio online.

• Valutazione di impatto sulla protezione dei dati (DPIA o Data Protection Impact Assessment): le aziende sono obbligate a fare una valutazione di impatto, stabilendo quali misure di sicurezza adottare così da ridurre il rischio. Questo adeguamento è particolarmente importante per le aziende che si occupano di Cloud Computing, e che quindi elaborano grandi quantità di dati di persone. Ancora più nello specifico, questa modifica riguarda le aziende che archiviano dati sanitari, i quali essendo particolarmente sensibili, aumentano considerabilmente la gravità nel caso in cui vengano diffusi.
• Dati relativi ai dipendenti: anche le modalità con cui un’azienda tratta i dati dei propri dipendenti è trattato nel regolamento, che riguarda perciò anche le risorse umane.
• Responsabili della protezione dei dati: per molte aziende sarà obbligatorio d’ora in avanti disporre di un responsabile della protezione dei dati. Il suo compito è quello di controllare le singole strategie di protezione dei dati sviluppate e la loro conformità con il RGPD. Questo non riguarda solamente le aziende che lavorano costantemente con una mole elevata di dati, ma anche tutte le aziende in cui ci sono almeno 10 persone che lavorano regolarmente con i dati relativi alle persone.
• Obbligo di segnalazione: le direttive del RGPD, per quel che riguarda il modo di procedere nel caso in cui si verifichi un guasto, sono decisamente più rigide rispetto a quelle precedenti. Le falle di sicurezza devono essere segnalate entro 72 ore dal momento in cui vengono identificate, sia ai diretti interessati che alle autorità competenti.
• Responsabilità e multe: nel caso in cui avvenga una violazione nei confronti dei dati registrati è molto facile che l’azienda sia ritenuta responsabile e che venga quindi punita con pesanti multe.

• Obbligo di documentazione: uno dei punti forti del nuovo regolamento sta nell’obbligo di giustificazione da parte delle aziende, anche detto accountability. Le aziende sono costrette a provare la propria conformità attraverso documentazione interna. Sono infatti tenute ogni volta a riportare alle autorità quali dati sono stati archiviati per quale scopo, in che modo saranno elaborati e quando l’azienda provvederà a cancellarli.
• Privacy by design: il principio Privacy by Design significa che le aziende devono tenere conto della protezione dei dati già nel momento dell’impostazione tecnica dei propri processi di lavoro. Non è infatti accettabile l’implementazione di misure di protezione dati a posteriori o di secondo ordine, ma è necessario che vengano integrate nel processo lavorativo già nella fase di rielaborazione. I prodotti e i processi dovrebbero quindi essere concepiti in modo che possano essere realizzati con il minor numero possibile di dati personali.
• Privacy by default: questa disposizione del regolamento prevede che venga adottata la variante tecnica della protezione dati di più facile utilizzo. Così facendo viene risparmiato agli utenti il dover combattere contro complesse impostazioni tecniche per rendere effettive le limitazioni all’elaborazione dei propri dati personali.
• Basi dell’autorizzazione(consenso, accordo operativo): anche in futuro l’utente dovrà dare esplicitamente l’autorizzazione all’utilizzo dei propri dati personali, con il consenso che sarà valido solamente per lo scopo o l’oggetto specificato. Inoltre, il modulo di consenso deve essere formulato in maniera comprensibile e deve rimanere accessibile da parte dell’utente con facilità. I requisiti per un consenso effettivo sono aumentati rispetto a come era in precedenza con le linee guida del 1995. Uno squilibrio tra le due parti del contratto può portare a escludere la volontarietà, e quindi anche la delega relativa al trattamento dei dati.
• Cancellazione dei dati: i dati relativi alla persona non possono essere archiviati all’infinito, ma solamente per il tempo utile al raggiungimento del fine concordato. Terminata la potestà dell’elaborazione dei dati (che sia perché ritirata l’autorizzazione o perché l’obiettivo è stato raggiunto), i dati devono essere eliminati.
• Diritto di accesso alle informazioni e diritto alla cancellazione: i cittadini europei hanno il diritto, se richiesto espressamente, di sapere di quali informazioni dispone un’azienda e come queste vengano utilizzate dalla stessa. Inoltre gli utenti hanno facoltà di richiedere all’azienda di cancellare i propri dati. Il “diritto all’oblio” è dunque stabilito per legge e anche le grandi aziende come Google devono conformarsi, cancellando i risultati di ricerca, se richiesto.

Il Regolamento generale sulla protezione dei dati contiene ben poche regole per il commercio online. Esso formula molto più le basi generali della protezione dei dati, i cui vari campi vengono regolati successivamente con leggi e ordinamenti. Tuttavia, per quanto astratte, le norme del regolamento europeo portano alcune novità anche per il commercio online. Nei paragrafi successivi vi mostreremo quali.

Partiamo dalle cose più importanti: rispetto alle regole per le aziende appena illustrate, i cambiamenti introdotti dal RGPD per il commercio online sono pochi. È presumibile che i temi centrali per i gestori dei siti web – cookie, tracciamento degli utenti, spam marketing e marketing diretto – verranno rivisti in futuro. Ciò che è certo per il momento è che da maggio 2018 il Regolamento ha la priorità sulle leggi attualmente presenti e che tutte le basi generali in esso contenute sono valide anche per i siti web, i Big Data e i social media. Anche l’utilizzo di cookie, di strumenti per il monitoraggio e di misure di targetizzazione devono orientarsi sul RGPD.

Tuttavia, il Regolamento europeo (GDPR) è una soluzione provvisoria, infatti assieme a esso e alle leggi nazionali dovrebbe entrare in vigore anche un’ulteriore riforma relativa alla protezione dati: il Regolamento sulla vita privata e le comunicazioni elettroniche dell’Unione Europea (ePrivacy Regulation), conosciuto come regolamento ePrivacy. È difficile però prevedere quando questo ulteriore regolamento entrerà in vigore, poiché finora i membri dell'UE non sono riusciti a trovare un accordo comune.

La bozza, ancora oggetto di discussione, è infatti molto rigida per quel che riguarda l’autorizzazione all’utilizzo dei cookie. Nel caso in cui essa dovesse diventare legge, questo avrebbe delle gravi ripercussioni sul tracking, sul targeting e sulla pubblicità personalizzata. È ancora da decidere quali saranno i cambiamenti effettivi derivanti dal processo legislativo.

Tuttavia è altamente consigliabile che tutti coloro impegnati nella gestione di un sito web o di un negozio online tengano regolarmente sott’occhio il regolamento ePrivacy. Contrariamente al RGPD, che si occupa di regolare giuridicamente i principi in materia di protezione dei dati, il regolamento ePrivacy tratterà un settore specifico: la protezione della sfera privata nella vita digitale di tutti i giorni. Quindi i gestori di siti web farebbero meglio ad aspettarsi ulteriori riforme.

Dunque, cos’è cambiato dal 25 maggio 2018 con l’entrata in vigore del Regolamento generale sulla protezione dei dati dell’Unione Europea? Le novità più importanti per i gestori di siti web sono le seguenti:

1. l’ingente obbligo di documentazione del Regolamento generale;
2. la maggior complessità relativa all’autorizzazione;
3. i principi del Privacy by Design e Privacy by Default;
4. l’ampliamento del diritto di accesso all’informazione e del diritto di cancellazione;
5. il diritto alla portabilità dei dati;
6. chiari e maggiori obblighi di informazione (ad esempio per quel che riguarda l’informativa sulla privacy);
7. il divieto di abbinare più consensi;
8. multe molto salate.

Nei paragrafi precedenti abbiamo già preso in considerazione alcuni di questi punti, ora ci concentreremo invece sull’informativa sulla privacy e il divieto di abbinare più consensi, dato che sono proprio questi due a interessare principalmente i gestori dei siti web.

La novità più importante del RGPD per i gestori di siti web è rappresentata dalle direttive riguardo l’informativa sulla privacy. L’articolo 13 par. 2 contiene un catalogo di informazioni che devono essere incluse in un’informativa sulla privacy. All’interno del Regolamento generale viene specificata chiaramente la forma che deve avere un’informativa sulla privacy, ovvero deve essere scritta in un linguaggio semplice e comprensibile da un punto di vista del contenuto. Nel RGPD viene data grande importanza alla trasparenza.

Nel divieto di abbinare più consensi gli esperti vedono la restrizione maggiore presente in tutto il Regolamento generale sulla protezione dei dati. Con tale divieto un gestore di siti web non può costringere i propri potenziali clienti a fornirgli successivamente dati che non siano strettamente necessari per l’effettiva prestazione. Un esempio: richiedendo la registrazione a una newsletter online al momento del perfezionamento di un contratto si infrange il diritto europeo. Il principio massimo del consenso è la volontarietà. Nel caso di più consensi abbinati assieme potrebbe tuttavia venire a mancare la volontarietà, rendendoli perciò inefficaci.

Ancora una volta vale la pena ricordare di fare assolutamente attenzione ai cambiamenti relativi agli obblighi di documentazione, ai principi dell’autorizzazione, all’archiviazione, ai diritti di accesso alle informazioni e alla cancellazione. Singolarmente inoltre è possibile che imprese e gestori di siti web siano interessati anche da altre riforme.

Se a questo punto iniziate a darvi da fare per quel che riguarda il Regolamento generale sulla protezione dei dati, la prima cosa da tenere in conto è che le misure necessarie variano da azienda ad azienda. Tuttavia ci sono delle precauzioni che ogni azienda dovrebbe prendere, che elenchiamo di seguito in questa lista.

• Stabilire i procedimenti per una corretta documentazione delle operazioni che coinvolgono i dati personali;
• configurare un archivio delle varie elaborazioni di dati;
• mettere a disposizione dei propri clienti delle possibilità di contatto per richieste di informazioni relative alla protezione dei dati;
• verificare se sia necessario incaricare un garante della privacy;
• aggiornare la propria informativa sulla privacy sul proprio sito conformemente alle nuove leggi;
• consultarsi con il proprio responsabile del reparto tecnico (e con il responsabile della protezione dei dati) per verificare se le misure tecniche adottate per la protezione dei dati siano sufficienti. In determinate circostanze devono essere introdotte ulteriori misure o integrate meglio quelle presenti nella propria infrastruttura informatica;
• tutti i dati raccolti che non rispettano il divieto di abbinare più consensi dovranno essere reperiti diversamente ed essere registrati come dati forniti volontariamente;
• se sono stati incaricati prestatori di servizi esterni per l’amministrazione dei dati personali della vostra azienda, dovrebbe essere accertato che le convenzioni del Regolamento generale sulla privacy dei dati siano rispettate;
• verificare il processo di ricezione dei consensi sul proprio negozio online e adattare i procedimenti alle normative del RGPD;
• tenersi aggiornati sulle novità relative al Regolamento sulla vita privata e le comunicazioni elettroniche, il quale si occuperà di regolare il lavoro dei commercianti online con i tool di analisi e di monitoraggio;
• se dopo avere adempiuto a questi passaggi non si è ancora convinti di aver fatto tutto quello che c’è da fare, è consigliabile richiedere una consulenza professionale.

In generale le reazioni delle forze politiche europee (e non solo) nei confronti di questa nuova legge sulla protezione dei dati sono state prevalentemente positive. Infatti il GDPR è volto a fornire una maggiore sicurezza per i consumatori e per le aziende, garantendo le stesse condizioni per tutti gli Stati europei. La promessa di un’uniformità all’interno dell’UE viene quindi rispettata, pur lasciando abbastanza spazio di manovra alle aziende.

Oltre agli elogi, non sono però mancate le critiche che prevedono delle difficoltà di attuazione della legge specialmente per le piccole e medie imprese. Inoltre alcune formulazioni rimangono vaghe e ciò potrebbe causare delle insicurezze, lasciando spazio a interpretazioni diverse.

Già da anni si discute accesamente sulle possibili conseguenze del Regolamento generale sulla protezione dei dati. Dal 25 maggio 2018 sembra che si siano avverati sia alcuni pareri positivi che negativi. Di seguito trovate perciò un breve riepilogo di tutti gli sviluppi passati che si riferiscono al GDPR e che coinvolgono le aziende e/o i consumatori.

Inizialmente, molte aziende italiane e internazionali si sono dimostrate impreparate a recepire le norme del RGPD, soprattutto le PMI. L’impegno necessario per conformarsi alla nuova legge avrebbe potuto teoricamente ripercuotersi economicamente sulla loro attività, anche se non sono state mai rese note cifre che avvalorerebbero questa tesi e sembra ormai che il peggio sia stato scongiurato.

Il RGPD solleva dubbi e perplessità non solo all’interno dell’Unione Europea, ma anche negli Stati Uniti: così al posto di conformarsi alle normative sulla privacy, molte aziende statunitensi, così come pagine di notizie, bloccano semplicemente gli utenti con indirizzi IP europei, riducono le informazioni offerte o le forniscono solo dietro pagamento di un supplemento. Inoltre, per la paura di incorrere in sanzioni, molti piccoli siti web sono stati messi offline e da allora non sono più tornati online. Ciò influisce direttamente nello scenario della “fuga di dati” che è paventato da tempo da molti critici del RGPD.

Allo stesso tempo l’entrata in vigore del RGPD ha stimolato un discorso a livello internazionale sul tema della protezione dei dati, necessario ormai da tempo, come concordano i garanti della privacy. Le grandi aziende digitali come Google e Facebook sono molto più spesso al centro del dibattito mediatico e vengono guardate più criticamente dagli utenti. Infatti i Big Player elaborano anche i dati personali dei cittadini dell’UE, che godono di una maggiore protezione rispetto a quanto previsto dalla legge statunitense.

Lo spauracchio di sanzioni nel caso in cui non si applichi correttamente il Regolamento generale sulla protezione dei dati rimane. A essere preoccupate sono soprattutto le PMI, in quanto potrebbero correre grandi rischi. Tuttavia non sono state applicate le sanzioni previste sin da subito e vi è stato inizialmente un periodo di permissione, a eccezione delle grandi aziende come Google, per le quali sono state rilevate delle infrazioni già subito al momento dell’entrata in vigore del RGPD

La situazione pare non essere cambiata neanche in tempi recenti: infatti sempre a Google è stata imposta una sanzione di 50 milioni di euro da parte della Cnil, il garante della privacy francese, per aver violato alcuni obblighi del RGPD. Ciò sarà di esempio anche alle aziende italiane che non lavorano solo sul suolo nazionale, che potrebbero quindi essere accusate di non rispettare le norme del nuovo Regolamento generale della privacy anche da altri Stati membri.

Sin dal gennaio 2019 molte aziende in Europa si sono viste recapitare e-mail spam che paventavano sanzioni, ma che contenevano in realtà malware.

Trovate maggiori informazioni sulle e-mail spam e il phishing sulla Digital Guide di IONOS.

Per evitare sanzioni, è necessario comunque rimanere in guardia e soprattutto le grandi aziende o chi tratta i dati di cittadini europei dovrebbero prestare maggiore attenzione all’adeguamento delle norme, in quanto sono già state comminate diverse sanzioni per scorretta applicazione del GDPR. A essere contestato è stato soprattutto il trattamento dei dati, in cui si sarebbe dimostrata la presenza di basi giuridiche insufficienti, il che ha portato l’Italia a essere il primo paese per sanzioni per un ammontare di 46,5 milioni di euro.

Dopo l’entrata in vigore del GDPR, gli effetti non hanno tardato ad arrivare. È interessante notare come ci siano state ripercussioni anche al di là dei confini dell’UE, contribuendo in questo modo a quello che è stato ribattezzato come “effetto Bruxelles”. L’UE ha così aumentato la sua importanza a livello mondiale, affermandosi sempre più come superpotenza sul piano normativo, dato che il GDPR riguarda anche chi non si trova nell'UE.

Sulla scia del Regolamento generale sulla protezione dei dati sono state emanate nuove leggi anche al di fuori dell'UE, come il California Consumer Privacy Act, che mira a tutelare maggiormente la privacy dei cittadini californiani.

Inoltre, da molti rapporti è emerso che la consapevolezza degli individui dei nuovi regolamenti è aumentata, e con essa anche il numero di segnalazioni di violazioni è in costante crescita. Tuttavia, l’Italia è rimasta in un primo momento indietro rispetto agli altri paesi membri dell’UE per quanto riguarda il recepimento della normativa. A pesare è stata spesso la carenza delle infrastrutture interne che non hanno permesso quindi alle aziende di adeguarsi nel modo giusto.

Ciononostante sono state comminate sin da subito le prime multe anche in Italia (anche se in misura inferiore rispetto a quanto previsto dalla legge), come quella mossa all'Associazione Rousseau per problemi di sicurezza legati all’e-voting. Per questa violazione al GDPR l’Associazione Rousseau ha ricevuto una multa di 50.000 euro.

Ancora: a un medico è stata comminata una multa di 16.000 euro a seguito di trattamento illecito di dati personali. L’interessato avrebbe infatti utilizzato gli indirizzi di circa 3.500 ex pazienti per inviare lettere a sostegno di un candidato alle elezioni politiche del 4 marzo 2018, senza che le persone coinvolte avessero espresso specifico consenso.

Tutti questi casi si riferiscono però a violazioni avvenute prima che il GDPR entrasse in vigore e questo potrebbe in parte spiegare le sanzioni minori applicate.