Il Gdpr

/ News

Protezione dei dati ma non privacy

Il regolamento non parla di privacy in quanto, se da un lato sancisce il diritto alla protezione dei dati, dall’altro afferma che tale tutela non deve limitarne la circolazione, prendendo atto implicitamente che le informazioni sono l’elemento cardine del sistema economico. L’ordinamento infatti considera il dato come un “bene economico” e quindi le informazioni devono essere trattate ma con la cautela riservata a qualsiasi oggetto di valore.

 Alto livello di formalizzazione

Il vocabolo che spesso viene utilizzato nella legge è “accountability”, ovvero la responsabilità da parte di chi gestisce i dati di dimostrare, attraverso un ragionamento logico, la correttezza e la conformità al regolamento in modo oggettivo e rilevabile, per questo in più articoli vengono utilizzati termini come “oggettivamente” e “scritto”. Ad esempio per quanto riguarda le misure di sicurezza la legge richiede “una procedura per testare, verificare regolarmente l’efficacia” (Art.32) oppure il titolare “documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio” (Art.33) e infine, rispetto ai registri del trattamento, devono essere “tenuti in forma scritta, anche in formato elettronico” (Art. 30).

L’accountability prevede quindi un’ampia delega all’organizzazione per definire quelli che sono i rischi e di conseguenza i controlli da mettere in campo. Questo perché solo l’azienda conosce il contesto in cui opera e gli obbiettivi da perseguire. Il prezzo di questa “autonomia” è l’inversione dell’onere della prova, classico del diritto anglosassone. Più concretamente significa che se accade qualcosa, l’organizzazione sarà presunta colpevole a meno che non dimostri di aver preso tutte le precauzioni possibili. Qualora non sia in grado di dimostrarlo sarà sanzionata, e può andare incontro a diversi spiacevoli inconvenienti.

Rischi per le aziende che non seguono la direttiva

Il livello sanzionatorio (Art.83) è diviso in due grandi gruppi di violazioni:

  1. Trattamento dei dati non consentiti
  2. Violazione dei principi del regolamento e dei diritti degli interessati

Nel primo caso le sanzioni possono arrivare a 10.000.000 di euro, o per le imprese, fino AL 2% del fatturato totale annuo (intendendo, per multinazionali, il fatturato dell’intero gruppo). Nel secondo la sanzione può arrivare fino a 20.000.000 di euro, o per le imprese, fino al %4 del fatturato totale annuo.

Un altro rischio significativo è rappresentato dall’articolo 82 il quale stabilisce che chiunque subisca un danno materiale o immateriale causato da una violazione ha diritto ad ottenere un risarcimento danni dal titolare o dal responsabile del trattamento. Infine l’articolo 84 prevede che gli stati membri stabiliscano le norme relative alle altre sanzioni per le violazioni, di conseguenza la norma lascia ampia discrezionalità ai governi per definire eventuali condanne penali.