Cosa rischia chi non si adegua al Regolamento GDPR

entra in vigore il gdpr

Il 25 maggio è entrato in vigore il GDPR, General Data Protection Regulation, l’adeguamento al Regolamento UE n. 679/2016 sul trattamento e la protezione dei dati personali. Si tratta di una normativa che obbliga le organizzazioni ad assumersi maggiori responsabilità sui dati degli utenti e a proteggerli con cura.
La General Data Protection Regulation sarà applicata a tutti i tipi di imprese che offrono servizi o prodotti a persone che si trovano nel territorio dell’Unione Europea. Le norme si applicano dunque anche alle imprese situate fuori dall’ Unione europea che offrono servizi o prodotti all’ interno del mercato Ue.

Ma cosa accade a chi non adempie al Regolamento?
Le sanzioni pecunarie per comportamenti scorretti possono arrivare sino al 4% del fatturato globale o a 20 milioni di euro e possono essere inflitte a persone fisiche, a soggetti giuridici privati o pubblici, specificamente ai titolari e i responsabili del trattamento, ovvero il DPO (Data Protection Officer, nuova figura introdotta dal GDPR) oppure gli organismi di certificazione e di monitoraggio dei codici di condotta.

In alcuni casi il Regolamento prevede che, il mancato adempimento, comporti anche sanzioni penali. Sono questi gli stessi casi previsti dal nostro Codice Privacy che prevede: sanzioni penali per il trattamento illecito dei dati, con pene che vanno da sei mesi a 18 mesi di reclusione e, in determinate condizioni, fino a tre anni. Resta anche la reclusione da sei mesi a tre anni per falsa dichiarazione di fronte al Garante privacy. C’è poi una differenza sostanziale tra responsabilità penale e amministrativa: la prima è sempre personale, mentre la seconda può essere comminata sia alla persona fisica che all’ azienda.
In Italia l’autorità competente ad occuparsi del controllo è il Garante della Privacy.
Il GDPR individua anche chi è responsabile e/o risponde alle violazioni. Sancendo il principio di accountability, che prevede la responsabilizzazione del titolare del trattamento nel “mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di mostrare, che il trattamento è effettuato conformemente al regolamento”.
Il titolare del trattamento può delegare terzi nella gestione dei dati: il responsabile del trattamento (nel Gdpr data processor) è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento.
Il titolare del trattamento conserva il potere decisionale, è colui che decide il motivo e le modalità del trattamento, ed è responsabile giuridicamente dell’ottemperanza degli obblighi previsti dalla normativa.
Il DPO (Data Protection Officer) invece è una figura non personalmente responsabile dell’inosservanza degli obblighi in materia di protezione dei dati personali, perché è compito del titolare mettere in atto le misure tecniche ed organizzative adeguate. Il DPO risponde solo per lo svolgimento dei suoi obblighi di consulenza ed assistenza nei confronti del titolare.
L’intero testo del regolamento GDPR, riferito al nostro paese, è disponibile qui.