Il regolamento generale per la protezione dei dati (General Data Protection Regulation) è il Regolamento dell’UE 2016/679 con cui si sanciscono le nuove normative in termini di privacy e trattamento dei dati personali.
Adottato il 27 aprile 2016, pubblicato in Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, il regolamento è operativo dal 25 maggio 2018 e rappresenta la risposta della Commissione Europea alla necessità di rafforzare e rendere omogenea la protezione dei dati sensibili non solo dei cittadini e residenti UE, ma anche all’interno e all’esterno dell’Unione Europea stessa.
Il GDPR sostituisce la Direttiva 95/46/EC sulla Protezione dei Dati: i principi fondamentali in tema di protezione dei dati e di privacy sono pressoché invariati, ma il nuovo regolamento – tenendo conto dei cambiamenti avvenuti nel mondo digitale – presenta delle innovazioni in termini di consenso, extraterritorialità e sanzioni.

Consenso
Le aziende che trattano o raccolgono dati personali devono spiegare le condizioni di trattamento e raccolta degli stessi in modo chiaro: termini e condizioni devono essere perciò redatti con un linguaggio semplice e comprensibile a tutti i cittadini, senza possibilità di equivoco. Stesso discorso vale per gli strumenti attraverso cui l’utente esprime il consenso e l’elaborazione dei dati raccolti.

Extraterritorialità
Le norme contenute nel GDPR devono essere rispettate da tutte le società che trattano/gestiscono i dati dei cittadini europei, a prescindere dal Paese in cui vengono elaborati e da quello in cui hanno sede legale. Sono infatti soggette al GDPR tutte le aziende che offrono beni e servizi e monitorano individui residenti nell’UE.

Sanzioni
Sono previste multe salate per le aziende che non rispettano le direttive del GDPR, che vanno dal 4% del fatturato annuale globale sino a 20 milioni di euro.
Sono passibili di sanzioni, per esempio, aziende sprovviste di policy adeguata per il consenso dei dati personali oppure quelle che violano il concetto di Privacy by Design.

Il GDPR porta con sé una sorta di rivoluzione copernicana che mette – finalmente – al centro il dato personale.
Sebbene il regolamento abbia visto la luce nel 2016 e sia entrato in vigore lo scorso maggio, gli ultimi dati sono sconfortanti: solo il 40% delle imprese operanti sul territorio UE si è adeguato al GDPR. Il dato è destinato ad aumentare poiché, come precisato dalle raccomandazioni del Garante, qualunque impresa abbia almeno un dipendente dovrà adeguarsi – quindi, per esempio, anche il piccolo negozio sotto casa.
È necessaria perciò una vera e propria rieducazione del cittadino europeo.
Un cittadino informato renderà un servizio duplice:

• sarà controllore di se stessi e dei suoi dati (si veda l’art.82 del GDPR, che rafforza il diritto al risarcimento in caso di danno – materiale o immateriale – causato da una violazione del regolamento);
• spingerà le imprese che non riceveranno sufficiente fiducia a ricercare una compliance pur di rimanere competitive.

La cultura digitale, in Italia come in Europa, non è sviluppata: una percentuale altissima di cittadini europei (circa la metà) non legge le informative per la privacy e ben il 18% di chi invece lo fa non ne è influenzato. Se è vero che servirebbero giorni per leggere le informative della privacy di tutti i siti su cui abitualmente navighiamo – per cui si rende necessario snellire e rendere più accessibili le informative stesse – è anche vero che è necessario informare, creando una cittadinanza consapevole e rafforzando la fiducia generale nell’economia digitale. È un percorso lungo, che dovrà partire dalle scuole e dalla generazione dei cosiddetti Millenials, che dovrà vedere la partecipazione di tutti gli attori coinvolti, dalle imprese alla PA, dai consulenti informatici a quelli giuridici. Solo una cittadinanza informata e fiduciosa consentirà il tanto auspicato sviluppo di tutto il mercato digitale europeo.