Dal 25 maggio 2018 è applicabile in tutti gli Stati Membri il Regolamento Ue 2016/679 GDPR.
Che cosa è il GDPR?
Si tratta dell’acronimo di General Data Protection Regulation, una norma che regola la protezione delle persone fisiche in merito al trattamento e alla libera circolazione dei loro dati personali.
Perché nasce il GDPR?
Il Regolamento risponde alle esigenze dettate dalle nuove sfide tecnologiche, e dalla crescente necessità di accordare e semplificare le norme che regolano la circolazione dei dati tra i diversi Stati Membri della Comunità Europea.
I cambiamenti di cui è divenuta protagonista la nostra società hanno infatti introdotto un nuovo concetto di privacy: al giorno d’oggi non può più essere intesa come mera presentazione della documentazione, ma deve essere vista intesa come metodo.
La privacy deve essere concepita come logica formativa e informativa, in grado di permeare l’aspetto della tutela legale, dell’organizzazione e della predisposizione di sistemi informatici ad hoc che assicurino la migliore protezione dei dati personali che tutti archiviano nel proprio database.
Ed è proprio questo il motivo per cui l’entrata in vigore del nuovo Regolamento (UE) 2016/679 (cosiddetto “GDPR”) non ha comportato l’abrogazione del già noto D.Lgs. n. 196/2003.
Le due norme infatti trovano applicazione in combinato disposto, poiché il GDPR rappresenta una implementazione e armonizzazione a livello europeo di quanto già normato dai singoli Stati membri sul tema protezione e trattamento dei dati personali.
Come affrontare il GDPR?
La nuova concezione di privacy portata dal Regolamento 2016/679 GDPR deve essere affrontata nel modo corretto per evitare di incorrere in sanzioni e generare disordine.
Sarà quindi necessario trattare le tematiche inerenti alla privacy non come un “calderone”, ma utilizzando informative che dovranno essere ben distinte in base a:
- tipo di trattamento;
- finalità del trattamento;
- al fatto che ci si stia riferendo a dati di clienti esterni all’azienda oppure ai dati dei dipendenti dell’azienda stessa.
Vi sono poi altri temi delicati e strettamente correlati al trattamento dei dati personali:
– il trattamento di dati personali acquisiti mediante riprese audio e video;
– le possibilità di profilazione del cliente mediante il rilascio di fidelity card nominative;
– il corretto trattamento di dati c.d. particolari, specialmente in relazione ai consensi in eccesso.
Quali sono le sanzioni in caso di mancato rispetto del GDPR?
L’art. 83 Reg. (UE) 2016/679 GDPR sancisce che la violazione delle disposizioni relative agli obblighi del titolare del trattamento e del responsabile del trattamento può comportare l’applicazione di sanzioni amministrative pecuniarie fino a € 10.000.000 o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente.
La violazione delle disposizioni relative ai principi di base del trattamento e del consenso, ai diritti dell’interessato e ai trasferimenti di dati personali a un destinatario in un paese terzo può comportare l’applicazione di sanzioni amministrative pecuniarie fino a € 20.000.000 o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente;
L’art. 84 Reg. (UE) 2016/679 GDPR chiarisce inoltre che gli Stati membri dell’Unione possono stabilire disposizioni normative relative alle altre sanzioni per le violazioni del Regolamento GDPR ed in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma del precedente art. 83.