Per le imprese e per i professionisti l’impatto del GDPR, il Regolamento UE sulla protezione dei dati n. 2016/679, andrà ad interessare soprattutto le modalità di raccolta e trattamento dei dati personali. Il regolamento prevede che ogni trattamento dei dati sia basato sul principio di liceità del trattamento, così come previsto già attualmente dal Codice privacy, sulla correttezza e sulla trasparenza.

gdpr

Per il trattamento di dati sensibili viene stabilito che il consenso debba essere esplicito, così come per il consenso a decisioni basate su trattamenti automatizzati come la profilazione. Il consenso non dovrà obbligatoriamente esser documentato in forma scritta ma bisognerà adottare mezzi idonei a configurare l’inequivocabilità del consenso. Così, ad esempio, non sarà ammessa la forma tacita o presunta, così come le caselle pre-spuntate su un modulo.

gdpr-consenso-privacy-810x310

Viene previsto il diritto all’opposizione al trattamento dei dati personali, così come dovrà esser fornita un’informativa necessaria a garantire il corretto e trasparente uso dei dati. L’informativa dovrà esser scritta in maniera concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice. Accanto ai principi base che regoleranno il rapporto tra titolare dei dati e titolare del trattamento degli stessi, ad imprese e professionisti viene richiesto un continuo monitoraggio delle attività di trattamento e del rispetto della privacy.


Sanzioni graduali con il GDPR, fino a 20 milioni di euro e 4% del fatturato

gdpr-sanzioni-1-nqbdt95g13jiwj6ne8badclcp923zpnre90bc45dbs

Nuove sanzioni in caso di violazione delle regole in materia di privacy: dal 25 maggio 2018 le multe potranno arrivare fino a 20 milioni di euro o al 4% del fatturato per le imprese.

Nello specifico, il GDPR prevede che le sanzioni siano calcolate e comminate dall’Autorità Garante in base ad un principio di proporzionalità: più grave è la violazione e maggiore sarà l’importo da pagare.

In particolare, sono previste le seguenti regole in merito alle sanzioni amministrative del GDPR:

  • 10 milioni di euro o 2% del fatturato mondiale annuo dell’anno precedente per le imprese che, ad esempio, non avranno nominato il DPO, non comunichino data breach all’Autorità garante, violino le condizioni sul consenso dei minori oppure che trattino in maniera illecita i dati personali degli utenti;
  • 20 milioni di euro o 4% del fatturato per le imprese nei casi, ad esempio, di trasferimento illecito di dati personali ad altri Paesi o di inosservanza di un ordine imposto dal Garante.

Accanto alle sanzioni monetarie si inseriscono le sanzioni penali che, per esplicita previsione del nuovo regolamento sulla privacy, dovranno essere determinate sulla base delle regole previste in ciascuno degli Stati membri.