Territorio dell'Unione Europea, dove si applica il GDPR

GDPR: APPLICAZIONE A LIVELLO TERRITORIALE E MATERIALE

In questo articolo potrai comprendere cosa sia e come venga applicato il regolamento europeo 679/2016 in Italia. Il tema principale verterà sull’applicazione territoriale con particolare focus su tutti i soggetti coinvolti, per poi spostare l’attenzione sul caso concreto in Italia e sulla difficoltà per le aziende di essere compliant con il regolamento.

 

E nello specifico:

  1. Introduzione al GDPR cosa è e finalità
  2. Ambito di applicazione territoriale e soggetti coinvolti
  3. GDPR e applicazione materiale, il caso concreto

1. INTRODUZIONE AL GDPR COSA È E FINALITÀ

Il GDPR (General Data Protection Regulation) è il regolamento UE recentemente introdotto e in attuazione dal 25 maggio 2018, è composto da 99 articoli spesso accompagnati da puntuali indicazioni utili alla piena comprensione del loro significato, i cosiddetti “considerando”.

Le norme delineate dal GDPR devono essere attuate obbligatoriamente da tutti gli Stati membri dell’Unione Europea e allo stesso modo, ad accezione di alcuni casi specifici per i quali è espressamente prevista la possibilità di deroga.

Il regolamento UE 2016/679 disciplina dunque le norme relative alla data protection per gli Stati dell’Unione Europea, nonché le norme relative alla libera circolazione degli stessi, al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e la protezione dei dati personali.

2. AMBITO DI APPLICAZIONE TERRITORIALE E SOGGETTI COINVOLTI

L’ambito di applicazione del GDPR a livello territoriale è ben definito dall’art.2 e 3 dello stesso e riguarda qualsiasi azienda che si trovi a gestire dati personali.

Il regolamento si esprime come segue, ovvero si applica a:

    • tutti i trattamenti di dati personali di interessati che si trovano nell’Unione Europea, effettuati da un titolare o responsabile del trattamento di un azienda con sede in uno dei paesi della stessa;
    • tutti i trattamenti di dati personali effettuati da un titolare o responsabile del trattamento all’interno dell’Unione, indipendentemente dal fatto che esso sia effettuato o meno all’interno della stessa;
    • tutti i trattamenti di dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:
      a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
      b)il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.
    • tutti i trattamenti di dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.

In conclusione, per quanto riguarda i soggetti coinvolti, il GDPR è indirizzato a tutte le aziende e organizzazioni che si occupano della vendita di beni e servizi a persone dell’Unione europea, indipendentemente dalle dimensioni (siano esse grandi aziende o PMI) che trattano o processano dati personali dei cittadini dei paesi dell’UE, le quali devono rispettare gli obblighi del nuovo regolamento europeo per evitare sanzioni di grande entità.

3. GDPR E APPLICAZIONE MATERIALE, IL CASO CONCRETO

Nonostante siano trascorsi diversi anni dalla pubblicazione del regolamento europeo, sono ancora molteplici le aziende che non sono compliant al GDPR o lo sono parzialmente.

Nonostante questo le ultime stime dei costi di adeguamento al GDPR parlano di cifre attorno ai 200 milioni di euro per le aziende italiane, secondo Idc, anche se Confesercenti è arrivata a stimare 2 miliardi di euro.

Il Garante Privacy in Italia ha già sanzionato un’azienda pubblica per 11 milioni e 500 mila euro, una privata per telemarketing illegittimo per 27 milioni e 800 mila euro, rispettivamente a gennaio e febbraio 2020, e altre due a luglio per 17,8 milioni di euro.

Per le aspre sanzioni, conviene spesso affidarsi ad una consulenza specifica sui rischi privacy e di compliance al GDPR, che può analizzare lo stato di sicurezza dei dati in azienda e definire le giuste misure di protezione.

Le principali problematiche non riguardano la compliance in sé, ma il monitoraggio continuo e la modifica dei documenti vari a seconda di ciò che accade in azienda.

Il flusso di dati, la loro tipologia, le finalità e il tempo di conservazione dei dati ad esempio, sono alcuni dei punti focali che necessitano di continuo e costante controllo.

Per determinate categorie di dati e di entità/volume degli stessi, il GDPR ha previsto la figura del DPO, soggetto designato al controllo e alla compliance aziendale nel rispetto del GDPR.