![Diga in valle Argentina: sindaci si riuniscono a Taggia "No a grandi dighe", Sì a piccoli invasi?](https://www.sanremonews.it/typo3temp/pics/R_19a60dc878.jpg "Diga in valle Argentina: sindaci si riuniscono a Taggia "No a grandi dighe", Sì a piccoli invasi?")
![La lista 'X Vallecrosia' incontra gli abitanti del centro storico, Quesada: "Momento di confronto" (Foto e video)](https://www.sanremonews.it/typo3temp/pics/Q_2a9c41a581.jpg "La lista 'X Vallecrosia' incontra gli abitanti del centro storico, Quesada: "Momento di confronto" (Foto e video)")
25 maggio 2018. Segnate bene la data di oggi perché d’ora in avanti la vostra vita non sarà più la stessa. Scherzi ed esagerazione a parte, a due anni dall’approvazione oggi diventa operativo il tanto temuto General Data Protection Regulation il nuovo regolamento europeo in materia di privacy e protezione dei dati sensibili.
L’argomento e la sua applicazione sono vastissimi e sicuramente non di immediata comprensione. Cerchiamo di fare luce insieme sul nuovo decreto analizzando cosa prevede e quale impatto avrà su imprese e privati cittadini.
In quali casi si applica il Gdpr?
Prima di tutto, come già detto, va ricordato nuovamente che si tratta di una legge Europea e per questo valida in tutta l’Unione senza bisogno di emanazione di altre leggi “interne”. L’intento dell’UE è quello di rafforzare la tutela dei dati personali dei cittadini di fronte ai rischi del web (basti pensare al recente scandalo che ha coinvolto Facebook e del quale ci siamo occupati anche noi nella nostra rubrica).
Il Gdpr (che si snoda in ben 99 articoli) interessa società, organizzazioni e persone che raccolgono e/o gestiscono dati personali. Come dato personale si intende qualsiasi tipo di informazione riguardante una persona fisica identificata o identificabile: anagrafiche, personali, fiscali, sanitarie, genetiche, biometriche. Il decreto si snoda attraverso precisi punti cardine: dati, consenso, responsabilità, sicurezza, controlli e sanzioni. Il consenso alla raccolta dei dati deve essere fornito in modo chiaro e senza possibilità di fraintendimento: ad esempio è stata bandita la formula del silenzio assenso.
Ovviamente è indispensabile specificare come saranno utilizzati i dati ed in caso di violazione l’utente ha il diritto di essere informato entro 72 ore. Parecchio spazio viene data alla rimozione dei dati al diritto all’oblio: ogni persona, infatti, ha diritto di ottenere la cancellazione dei propri dati personali ritirando il consenso precedentemente dato. I dati archiviati andranno cancellati completamente e per sempre. il diritto all’oblio previsto dall’art. 17 del regolamento consiste nella cancellazione rafforzata dei propri dati.
Per esempio quando non sono più necessari rispetto alle finalità per le quali sono stati raccolti o trattati, o come già detto quando si revoca o ci si oppone al consenso o se non sussiste altro fondamento giuridico per il trattamento. Ovviamente la richiesta di cancellazione è un diritto sancito anche quando sono stati raccolti quando l’utente era minore o in modo illecito. Inoltre chi per primo ha utilizzato le informazioni interessate all’oblio ha l’obbligo di trasmetterle a tutti coloro che le hanno utilizzate in seguito (norma questa che interessa soprattutto i social e le newletter).
Il diritto all’oblio non si applica tuttavia se il trattamento è necessario “per l'esercizio del diritto alla libertà di espressione e d’informazione”, “per motivi di interesse pubblico nel settore della sanità pubblica”, “a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici” o se occorre in sede giudiziaria.
Il cittadino, inoltre, “possiede” i suoi dati, ovvero può richiederli, scaricarli e trasferirli altrove. In altre parole l’interessato avrà il diritto di ricevere i dati precedentemente forniti ad un titolare del trattamento e di ottenere che questi vengano trasmessi ad un altro titolare (social compresi). Ma una novità che maggiormente spaventano le aziende è l’introduzione del registro delle attività di trattamento dove è obbligatorio specificare le finalità per cui si sta procedendo con il trattamento dei dati, le categorie di dati personali e di soggetti interessati e le misure di sicurezza tecniche ed organizzative adottate.
Le autorità di controllo (in questo caso saranno istituite sinergie tra i vari paesi dell’Unione Europea) possono condurre indagini, ottenere l’accesso alle informazioni e imporre limitazioni al trattamento, così come vietarlo o imporre alcune azioni, tipo la cancellazione.
Cosa succede se non ti adegui al Gdpr?
Ma vediamo le sanzioni previste per chi non rispetta il decreto: le multe addirittura possono sfiorare anche i 10 milioni di euro oppure il 2% del volume di affari dell’azienda, in caso di violazione delle condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione o alla mancata o errata notificazione e/o comunicazione di un data breach all’autorità nazionale competente, o addirittura fino a 20 milioni di euro e il 4% del fatturato in altre situazioni, come l’inosservanza di un ordine imposto da un’autorità o il trasferimento illecito di dati personali ad un destinatario in un Paese terzo.
Secondo una stima di massima le aziende italiane spenderanno oltre 200 milioni di euro per adeguarsi al Gdpr. Ovviamente in queste settimane le case produttrici di software stanno lanciando sul mercato numerosi applicativi per la gestione della privacy.
Andrea Ventura
