{"id":5553,"date":"2018-02-12T21:39:31","date_gmt":"2018-02-12T20:39:31","guid":{"rendered":"https:\/\/www.legalmondo.com\/?p=5553"},"modified":"2020-01-05T21:40:48","modified_gmt":"2020-01-05T20:40:48","slug":"gdpr-entrata-vigore-ambito-applicazione","status":"publish","type":"post","link":"https:\/\/www.legalmondo.com\/it\/2018\/02\/gdpr-entrata-vigore-ambito-applicazione\/","title":{"rendered":"GDPR – Entrata in vigore e ambito di applicazione"},"content":{"rendered":"

L\u2019ambito di applicazione del regolamento generale sulla protezione dei dati\u00a0 (\u201cGDPR\u201d), con entrata in vigore a decorrere dal 25 maggio 2018, <\/strong>indurr\u00e0 le aziende a misurarsi – senza possibilit\u00e0 di ulteriori esitazioni – con questioni concernenti la sicurezza informatica<\/strong> e la responsabilit\u00e0 nella raccolta e archiviazione di dati personali<\/strong>. La tutela della privacy diverr\u00e0 parte integrante della cultura aziendale e dovr\u00e0 essere governata a partire dai livelli pi\u00f9 alti, ossia dall\u2019amministratore delegato e dal management. Gli stessi dipendenti saranno coinvolti in questo processo di sensibilizzazione attraverso la pianificazione di un\u2019adeguata formazione in materia. Le aziende dovranno ristabilire l\u2019ordine e la priorit\u00e0 di alcuni processi che contemplano la presenza di dati secondo i principi di privacy by design<\/em><\/strong> e privacy by default<\/em><\/strong>.<\/em> In sostanza, esse dovranno garantire la protezione dei dati fin dalla fase di ideazione e progettazione del prodotto o del servizio, adottando comportamenti che consentano di prevenire possibili problematiche impattanti sui dati personali.<\/p>\n

Una definizione di dato personale sempre pi\u00f9 ampia<\/strong><\/h2>\n

Il concetto di \u201cdati personali\u201d si riferisce a tutte le informazioni che identificano o rendono identificabile una persona fisica<\/strong> e che possono fornire dettagli <\/strong>sulle sue caratteristiche, le sue abitudini, lo stile di vita, le relazioni personali, lo stato di salute e la condizione economica. Le nuove tecnologie hanno inoltre assegnato un ruolo significativo ai dati relativi alle comunicazioni elettroniche<\/strong> e a quelli che contengono la geolocalizzazione, rendendo sempre pi\u00f9 ampia e articolata la definizione di \u201cdato personale\u201d.<\/p>\n

Questa transizione, non certo priva di criticit\u00e0, introduce nuove sfide e opportunit\u00e0, ponendo al centro del dibattito internazionale e delle politiche digitali la questione della protezione dei dati come fondamentale tutela dei diritti dell\u2019uomo<\/strong>. \u00c8 un punto di svolta significativo. La digitalizzazione ha infatti generato una serie di questioni relative alla sicurezza informatica che alcuni anni fa potevano essere gestite dalle autorit\u00e0 nazionali in ogni Paese dell’UE e che ora esigono un quadro legislativo pi\u00f9 attento e articolato. L’ introduzione di piattaforme come SaaS (Software as a Service<\/em>) e l\u2019espansione del cloud<\/em> computing<\/em> hanno modificato radicalmente lo scenario.<\/p>\n

Pertanto, nel 2011 il GEPD (Garante europeo della protezione dei dati) ha accolto con favore l\u2019istanza di riformare l’ambito giuridico della protezione dei dati personali, non risultando pi\u00f9 idonea la legislazione vigente.<\/p>\n

Bench\u00e9 sia ancora prematuro tratteggiare il quadro dell\u2019impatto complessivo che il regolamento sulla privacy avr\u00e0, ci pare interessante e opportuno soffermarci su alcune considerazioni di ordine generale e su alcuni esiti del GDPR nello scenario internazionale.<\/p>\n

L\u2019applicabilit\u00e0 potenzialmente mondiale del GDPR<\/strong><\/h2>\n

Una delle grandi novit\u00e0 del GDPR \u00e8 certamente la sua applicabilit\u00e0 potenzialmente mondiale: il regolamento varca dunque i confini europei in nome della tutela del dato personale.<\/p>\n

Esso infatti si applica non solo in tutti i casi di trattamento di dati da parte di aziende stabilite nell\u2019Unione Europea, ma anche in tutti i casi in cui l\u2019azienda, anche se stabilita in Paesi extra UE, tratti dati personali di soggetti che si trovano nell\u2019Unione<\/strong>, al fine di offrire loro beni o servizi ovvero di monitorare il loro comportamento nell\u2019ambito dell\u2019Unione Europea.<\/p>\n

Pertanto, alla luce di ci\u00f2, tutte le societ\u00e0 estere che vorranno continuare a proporre e rendere le loro prestazioni ai cittadini europei non potranno esimersi dal conformarsi al GDPR.<\/p>\n

Ragioni di opportunit\u00e0 e convenienza, oltre che di obbligatoriet\u00e0 alle condizioni di cui sopra e comunque fintantoch\u00e9 non sar\u00e0 compiuta la Brexit, potranno portare anche le organizzazioni britanniche ad adeguarsi per proteggere i dati personali dei cittadini britannici ed essere competitive nel mercato europeo.<\/p>\n

L\u2019irrilevanza dell\u2019ubicazione dei dati<\/strong><\/h2>\n

Il regolamento non solo vincola le societ\u00e0 estere che trattino dati personali di cittadini dell\u2019Unione, ma mira anche a disciplinare tutti i trattamenti di dati personali, a prescindere da dove i dati personali si trovino. Si prevede infatti che siano soggetti al GDPR tutti i trattamenti di dati effettuati da aziende stabilite dell\u2019Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell\u2019Unione. <\/strong><\/p>\n

I dati saranno quindi al centro dell’attenzione legale e soggetti a questo nuovo regolamento anzich\u00e9 alle leggi di un Paese. Ci\u00f2 significa che l’ubicazione fisica perde rilevanza dinanzi al fine di garantire agli interessati un maggior controllo sulle informazioni che vengono raccolte, archiviate e utilizzate da altri.<\/p>\n

Certo rimarr\u00e0 aperta la possibilit\u00e0 per un\u2019azienda di decidere di cessare le proprie attivit\u00e0 con i cittadini dell\u2019UE per evitare l\u2019adeguamento ai principi del GDPR, ma tale scelta dovr\u00e0 essere assunta correttamente: se, per esempio, si fornisce un servizio che, attraverso il web, pu\u00f2 essere fruito anche da cittadini dell\u2019UE, si dovr\u00e0 prendere in considerazione l\u2019applicazione del GDPR.<\/p>\n

La previsione di severe sanzioni<\/strong><\/h2>\n

Le sanzioni verso le societ\u00e0 riluttanti all\u2019adeguamento normativo possono giungere sino al 4% del loro fatturato mondiale e fino a 20 milioni di euro. La rilevanza di queste misure sanzionatorie ha destato l’attenzione di tutte le parti, in particolare delle organizzazioni statunitensi, che hanno una forte presenza nell’UE. Il GDPR, peraltro, si applica alle organizzazioni di tutte le dimensioni, sia che si tratti di uno studio individuale sia di una grande societ\u00e0.<\/p>\n

Dal momento che raggiungere la conformit\u00e0 risulta complesso e rispettare la scadenza del 25 maggio potrebbe essere difficile, le societ\u00e0 lungimiranti hanno iniziato ad avviare i loro programmi di conformit\u00e0 subito dopo l\u2019annuncio del regolamento UE.<\/p>\n

Secondo i dati di PwC, il 9% delle aziende statunitensi dichiara di aver assegnato oltre 10 milioni di dollari per ottenere la conformit\u00e0.<\/p>\n

Alcuni requisiti di conformit\u00e0 per le imprese<\/strong><\/h2>\n
    \n
  • Principio di accountability<\/em>: si dovr\u00e0 garantire che il trattamento dei dati passi attraverso procedure documentate, indipendentemente dal fatto che sia l\u2019azienda a condurre tali procedure o che queste vengano eseguite per conto dell’azienda. Il titolare del trattamento viene cos\u00ec responsabilizzato e dovr\u00e0 dimostrare di essere compliant<\/em> con il GDPR.<\/li>\n
  • Risk based approach<\/em>: alla base del regolamento europeo v\u2019\u00e8, appunto, la responsabilizzazione delle societ\u00e0, cui viene richiesto di essere in linea con i principi del GDPR sulla scorta di un nuovo approccio basato sul rischio e sull\u2019analisi dei rischi.<\/li>\n
  • Consenso chiaro ed esplicito<\/em>: grande attenzione viene dedicata al tema del consenso al trattamento dei dati personali, che dovr\u00e0 essere chiaro, esplicito, distinguibile ed inequivocabile.<\/li>\n
  • Data protection by design e by default<\/em>: gestione e implementazione della privacy fin dalla progettazione e con impostazioni di default; ci\u00f2 significa che le imprese dovranno prendere in considerazione la tutela dei dati personali sin dal momento della progettazione e dello sviluppo pratico di un prodotto, un servizio o un\u2019applicazione.<\/li>\n
  • Diritto all’oblio<\/em>: i soggetti interessati hanno il diritto di ottenere, senza ritardo, dal titolare del trattamento la cancellazione dei loro dati personali alle condizioni previste dal GDPR, quali ad esempio la superfluit\u00e0, e non pi\u00f9 necessit\u00e0, dei dati rispetto alle finalit\u00e0 per cui sono stati raccolti ovvero la revoca del consenso da parte del soggetto interessato.<\/li>\n
  • Diritto alla portabilit\u00e0 dei dati<\/em>: i soggetti interessati hanno il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i loro dati personali, potendoli cos\u00ec trasmettere ad un altro titolare del trattamento senza impedimento alcuno da parte del precedente titolare.<\/li>\n
  • Designazione di un Rappresentante nell\u2019Unione Europea<\/em>: il Rappresentante dovr\u00e0 agire per conto del titolare o del responsabile del trattamento e potr\u00e0 essere interpellato da qualsiasi Autorit\u00e0 di vigilanza.<\/li>\n<\/ul>\n

    Come facilitare il processo di transizione?<\/strong><\/h2>\n

    Il regolamento UE in tema di protezione dei dati personali richiede una solida preparazione giuridica e, al contempo, una grande capacit\u00e0 di implementazione tecnica sulla base dei processi di digitalizzazione in atto e l\u2019utilizzo di tecnologie sempre pi\u00f9 avanzate e complesse.<\/p>\n

    Le aziende, pertanto, potranno affidarsi a professionisti in grado di fornire una consulenza multidisciplinare, che contempli non solo le adeguate competenze in ambito giuridico ed informatico, ma anche il dialogo e le sinergie tra professionisti e figure aziendali quali giuristi, informatici, ingegneri e matematici.<\/p>\n

    Il GDPR diventa pertanto non solo un faticoso adempimento, ma anche l\u2019occasione per avviare nelle aziende un processo di transizione, in cui l\u2019unione delle predette skills<\/em> si configura come la ricetta in grado di garantire la crescita, oltre che l\u2019osservanza della normativa.<\/p>\n

    L’autore di questo post \u00e8 Giorgio Piccolotto.<\/p>\n","protected":false},"excerpt":{"rendered":"

    L\u2019ambito di applicazione del regolamento generale sulla protezione dei dati\u00a0 (\u201cGDPR\u201d), con entrata in vigore a decorrere dal 25 maggio 2018, indurr\u00e0 le aziende a misurarsi – senza possibilit\u00e0 di ulteriori esitazioni – con questioni concernenti la sicurezza informatica e la responsabilit\u00e0 nella raccolta e archiviazione di dati personali. La tutela della privacy diverr\u00e0 parte […]<\/p>\n","protected":false},"author":50,"featured_media":5949,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1554],"tags":[217],"class_list":["post-5553","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-privacy-data-protection-it","tag-italy-it"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.legalmondo.com\/it\/wp-json\/wp\/v2\/posts\/5553","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.legalmondo.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.legalmondo.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.legalmondo.com\/it\/wp-json\/wp\/v2\/users\/50"}],"replies":[{"embeddable":true,"href":"https:\/\/www.legalmondo.com\/it\/wp-json\/wp\/v2\/comments?post=5553"}],"version-history":[{"count":3,"href":"https:\/\/www.legalmondo.com\/it\/wp-json\/wp\/v2\/posts\/5553\/revisions"}],"predecessor-version":[{"id":9181,"href":"https:\/\/www.legalmondo.com\/it\/wp-json\/wp\/v2\/posts\/5553\/revisions\/9181"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.legalmondo.com\/it\/wp-json\/wp\/v2\/media\/5949"}],"wp:attachment":[{"href":"https:\/\/www.legalmondo.com\/it\/wp-json\/wp\/v2\/media?parent=5553"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.legalmondo.com\/it\/wp-json\/wp\/v2\/categories?post=5553"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.legalmondo.com\/it\/wp-json\/wp\/v2\/tags?post=5553"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}