GDPR e la nuova normativa sula privacy: pesanti sanzioni per chi non è in regola

Dal 25 Maggio 2018 è entrata in vigore in Italia la nuova normativa Europea regolamento (UE) n. 2016/679 «General Data Protection Regulation» (GDPR – Regolamento Generale Protezione Dati Privacy).

Il regolamento si compone di 99 articoli in materia di trattamento dei dati personali e di privacy per rafforzare e rendere più omogenea la protezione dei dati personali di cittadini dell’Unione europea e dei residenti nell’Unione europea (UE). I destinatari sono i «titolari del trattamento», ossia chi gestisce le informazioni: privati e, soprattutto, aziende.

Le imprese dovranno pertanto:

1) nominare un responsabile per la protezione dei dati (Data Protection Officer),
2) dotarsi di database per gestione in sicurezza dei dati dei propri clienti,
3) recuperare il consenso scritto dei propri clienti per il trattamento dei loro dati,
4) fornire ai propri clienti informativa con chiare indicazioni inerenti il trattamento dei loro dati,
5) sostenere corso di formazione per la nuova normativa GDPR.

E se si viola il regolamento? Se si viola il regolamento, scattano delle sanzioni, salate. A seconda della gravità dell’ infrazione, le multe sono divise in due scaglioni: fino a un massimo di 10 milioni di euro o, per le imprese, il 2% del fatturato; oppure fino a un massimo di 20 milioni di euro o il 4% del turnover, sempre per le aziende e sempre in rapporto al giro d’affari.  La multa più “leggera” (10 milioni o 2% turnover) viene inflitta per la trasgressione di principi come la privacy by design (mancata protezione dei dati fin dalla progettazione) o la carenza di misure adatte a garantire un buon standard di sicurezza. Quella più pesante (20 milioni o 4% del turnover) arriva in caso di violazione dei principi fondamentali, come la negazione del diritto all’oblio o l’opacità nella richiesta di consenso dei dati.