

Diventa free member
Vuoi leggere questo articolo e le altre notizie e approfondimenti su Ninja? Allora registrati e diventa un membro free. Riceverai Breaking News, Marketing Insight, Podcast, Tips&Tricks e tanto altro. Che aspetti? Tieniti aggiornato con Ninja.
Il 25 maggio 2018 entra in vigore il General Data Protection Regulation. Il GDPR è il nuovo regolamento dell’Unione Europea (più esattamente è il Regolamento Ue 2016/679) per la raccolta e il trattamento dei dati degli utenti e sostituisce tutte le normative presenti nei singoli Stati europei. Non solo. Coinvolge tutti: aziende, enti pubblici, e individui che devono accedere, trattare, conservare, gestire, o trasferire dati personali di cittadini UE. Il Regolamento è stato approvato ad aprile 2016, il testo è stato riportato in Gazzetta Ufficiale nel maggio dello stesso anno e dal 25 maggio le sue norme diventano vincolanti, anche a livello di sanzioni. Ecco appunto, le sanzioni. Vediamole una per una.
LEGGI ANCHE: Cosa devi sapere sul GDPR, spiegato in cinque semplici punti
Prima però un elemento importante. Che cosa si intende per dato personale? Secondo l'Art.4 del Regolamento è "qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Come previsto dall'art. 83, paragrafo 4, sarà soggetta all'applicazione di sanzioni amministrative pecuniarie fino ad un massimo di 10 milioni di euro oppure, per le imprese, fino al 2% del fatturato mondiale totale annuo riferito all'esercizio precedente (se si tratta di un importo superiore ai 10 milioni di euro) la violazione di una serie di obblighi che il Regolamento pone in capo al titolare e al responsabile del trattamento dei dati, tra cui:
https://twitter.com/EU_Commission/status/994829457436311553
Fino al 4% del fatturato totale mondiale con un tetto massimo di 20 milioni. L’ammontare indicato è il massimo della pena possibile in caso di gravissime inadempienze e di data breach di portata molto ampia. Per tutte le violazioni intermedie si va dalla semplice richiesta da parte del Garante di azioni correttive, a sanzioni pecuniarie di importi variabili a seconda della gravità. Il Garante è legittimato a punire ogni singola inadempienza: nel caso in cui, dunque, vi fosse più di una violazione le sanzioni si sommano (ovviamente, secondo il loro grado di gravità). In questo caso il riferimento è alla violazione dei Principi fondamentali che stanno alla base di un legittimo trattamento dei dati personali. In particolare:
Oltre alle sanzioni in denaro esiste poi un danno reputazionale. Chi non si è messo in regola con il GDPR potrebbe essere fatto oggetto di esposti specifici al Garante da parte degli interessati che vedono negato il proprio diritto alla riservatezza, che è un diritto tipico delle democrazie liberali. Esposti che, di conseguenza, possono incidere pesantemente sulla reputazione delle aziende che ne ostacolano l’esercizio.
Il GDPR cambia l’impostazione dell’apparato sanzionatorio che sarà più pesante di quello attuale, con la possibilità per il Garante di modulare le sanzioni amministrative in relazione ad una serie di elementi. Le sanzioni penali saranno, invece, previste dai singoli Stati UE. L’impostazione dell’apparato sanzionatorio insomma cambierà radicalmente dal 25 maggio 2018.