Il Regolamento UE n. 679/2016 – GDPR – definito dall’autorità Garante come: “la prima e più importante risposta che il diritto abbia espresso nei confronti della rivoluzione digitale” ha dato origine ad una vera e propria rivoluzione digitale su più fronti: normativi, giuridici, organizzativi, e processuali ed anche tecnologici, nel mondo della libera circolazione dei dati personali, definito dal termine “privacy”.

In breve sintesi si può elencare quali siano le novità introdotte:

  • Applicazione coincidente delle regole in tutti i Paesi UE . Estensione extra UE per quei trattamenti svolti da titolari del trattamento non stabiliti nel territorio dell’Unione ma che offrano beni e servizi on line, anche gratuitamente, a persone che si trovano in Europa.
  • Sanzioni uniformi nel massimo parametrate al 4% del fatturato annuo mondiale del trasgressore o fino a 20 milioni di Euro, quale delle due misure risulti la maggiore.
  • Obbligatorietà della nomina del Responsabile della protezione dei dati (DPO Data Protection Officer ), con incarico di controllo e consulenza, non necessariamente all’interno dell’azienda.
  • Estensione di altre pregiudiziali di liceità del trattamento oltre al consenso.
  • Aumento della categoria dei dati sensibili, apertura ai meccanismi di pseudonimizzazione”.
  • Obbligo di notifica al Garante e della comunicazione agli interessati delle violazioni di dati personali.
  • Responsabilità solidale tra titolare e responsabile, salvo patto contrario e fissazione in un contratto dei compiti e responsabilità dei responsabili del trattamento.
  • Obbligo di tenuta del registro dei trattamenti, di effettuare la formazione ai dipendenti, di svolgere audit periodici, di adottare misure di sicurezza proporzionate ai rischi.

Secondo il Garante privacy, nel periodo tra il 25 maggio 2018 e il 31 marzo 2019 sono state riportate all’autorità 946 violazioni di dati.

Rispetto ai numeri di denunce registrate in altri paesi europei, in l’Italia è ancora chiusa alla totale applicazione del GDPR, anche se è auspicabile ritenere che si addivenga ad un aumento di denunce nei prossimi mesi, con il crescere della consapevolezza che non si tratta di un’autodenuncia che si può evitare, ma dell’adempimento di uno specifico obbligo di legge. Molto probabilmente ciò deriva dal fatto che in Italia le autorità privacy, i meccanismi e le procedure di coordinamento stabilite dal GDPR sono ancora in fase di attuazione, mentre registriamo una acceso dibattito sulle indicazioni interpretative in materia di intelligenza artificiale.

Il bilancio è pertanto ambivalente, da una parte c’è chi si dichiara soddisfatto, ed da un’altra chi invece rileva, oggettivamente delle criticità, dovute sostanzialmente al divario esistente tra i principi di diritto enunciati dal GDPR e la realtà dei fatti e l’attuabilità delle norme alle singole fattispecie.

Pertanto, si potrebbe concludere che non basta un regolamento per contrastare fenomeni deplorevoli come gli attacchi hacker e la diffusione di notizie false in rete, violazione dei dati personali, pubblicazioni di informazioni non veritiere. Un passo avanti, sarebbe iniziare a divenire consapevoli dell’esistenza di tali regole e delle loro possibili finalità, che siano viste come una maggiore cultura del rispetto delle persone.