News

GDPR, i testi in Gazzetta Ufficiale. Due anni da oggi per adeguarsi in materia di data protection

Il 14 aprile scorso l’approvazione definitiva della nuova GDPR – General Data Protection Regulation, il 4 maggio 2016, la pubblicazione dei testi ufficiali in G.U.U.E.

Il Regolamento Europeo diviene realtà a tutti gli effetti e per tutti gli Stati membri, sta ora alle imprese adeguarsi entro due anni a partire da oggi.

Il Presidente del Garante per la protezione dei dati personali, Antonello Soro ha così commentato:

Oggi è una giornata importante per i cittadini europei e per la tutela dei loro diritti. Con la pubblicazione in Gazzetta Ufficiale dell’Unione Europea dei testi del Regolamento in tema di protezione dei dati e della Direttiva nelle attività di polizia e giustizia, si conclude uno dei più complessi, travagliati e rilevanti percorsi di riforma dell’Unione europea.

Maggiori responsabilità, dunque, per le imprese che potranno però godere anche di qualche semplificazione. Obiettivo comune adeguare la protezione dei dati all’evoluzione tecnologica e abbattere, grazie a regole certe e condivise, barriere inutili alla libera circolazione di persone e beni. Come sottolineato da più parti, infatti, lo sviluppo del mercato unico digitale passa necessariamente dal rispetto della privacy e dei diritti ad essa riferiti dei cittadini che ne sono protagonisti.

Ora che è avvenuta la pubblicazione sulla Gazzetta Ufficiale dell’UE, da oggi decorrono i due anni per l’adeguamento prima che le disposizioni siano applicabili in tutti gli Stati Membri. Questo comporterà necessariamente una trasformazione nel modus operandi, o perlomeno nella mentalità degli addetti ai lavori rispetto alla governance delle informazioni aziendali.


Alcuni spunti di riflessione rispetto alla nuova normativa

  • Obbligo di conformazione prodotti IT a normativa
  • Obbligo conformazione data center a normativa
  • Maggiore potere di controllo assegnato al cittadino sui propri dati personali.
  • Una sola regolamentazione per un solo continente: proteggere i dati aziendali equivale a proteggere il business.
  • Notificazioni delle violazioni agli utenti interessati ed alle autorità nazionali nei casi di data breach
  • Diritto all’oblio.
  • Diritto alla portabilità dei dati (anche rispetto all’incremento delle sempre più diffuse wearable technology).
  • Meccanismo one-stop-shop, da considerarsi come primario.
  • Normativa proporzionata al rischio.
  • Privacy by design e by default
  • Rapporto con i fornitori che dovranno uniformarsi alla normativa, anche se allocati extra-UE
  • PIA e regolamenti
  • Responsabilità di Controller (Titolare) e Processor
  • DPO – Data Protection Officer
  • Nuovo sistema sanzionatorio
  • Semplificazioni per le PMI


Le aziende hanno un cammino tracciato da intraprendere, obblighi da rispettare che possono e devono essere valutati in ottica di sviluppo sostenibile e competitivo su un mercato di dimensioni europee ed internazionali.

La svolta legislativa non deve di fatto rappresentare solo una disposizione alla quale conformarsi, ma deve essere colta come un’opportunità, una occasione di ripensamento dei processi interni nell’ottica di una razionalizzazione dei flussi informativi dell’azienda: interni, rispetto ai dipendenti, ed esterni rispetto ai fornitori. Una presa di coscienza fondamentale, soprattutto a fronte degli aspetti sanzionatori previsti in caso di violazione delle disposizioni, fino a 20 milioni di euro o, per le imprese, fino al 4 per cento del fatturato mondiale totale annuo.” sottolinea l’Avv. Frediani.