GDPR, tutto ciò che c’è da sapere per essere in regola

Il GDPR (General Data Protection Regulation) è il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali. È divenuto pienamente applicabile in tutti gli Stati membri dell’Unione Europea dal 25 maggio 2018. Il regolamento nasce da precise esigenze di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’UE verso altre parti del mondo. Rappresenta una risposta necessaria e urgente alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini europei.

Il GDPR garantisce ai cittadini dodici diritti fondamentali per la tutela dei propri dati personali:

1. Diritto a un consenso libero, specifico e informato
2. Diritto alla trasparenza delle informazioni
3. Divieto di trattare alcune categorie di dati personali (dati sensibili)
4. Diritto di accesso ai propri dati
5. Diritto di ottenere informazioni sul trattamento
6. Possibilità di proporre reclamo/ricorso
7. Diritto di rettifica dei dati inesatti
8. Diritto di revoca del consenso
9. Diritto alla cancellazione dei dati (diritto all’oblio)
10. Diritto di limitazione del trattamento
11. Diritto alla portabilità dei dati
12. Diritto di opposizione al trattamento

Questi diritti permettono ai cittadini di mantenere il controllo sui propri dati personali anche dopo averli condivisi, garantendo trasparenza e possibilità di intervento durante tutto il ciclo di vita del trattamento.

Il regime sanzionatorio del GDPR prevede due gruppi di sanzioni amministrative pecuniarie:

1. Per violazioni di minore gravità: sanzioni fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente (se superiore). Queste riguardano violazioni degli obblighi del titolare, del responsabile del trattamento, dell’organismo di certificazione e dell’organismo di controllo.

2. Per violazioni più gravi: sanzioni fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente (se superiore). Queste riguardano violazioni dei principi base del trattamento, dei diritti degli interessati, dei trasferimenti di dati verso paesi terzi e delle disposizioni specifiche degli Stati membri.

Oltre alle sanzioni amministrative, il decreto legislativo italiano 101/2018 ha introdotto anche sanzioni penali per specifiche violazioni, come il trattamento illecito di dati, la comunicazione e diffusione illecita di dati personali, l’acquisizione fraudolenta di dati personali e le dichiarazioni mendaci al Garante.

Il Data Protection Officer (DPO) è una figura chiave introdotta dal GDPR, incaricata di sorvegliare l’osservanza delle disposizioni in materia di protezione dei dati personali nelle imprese e negli enti. Il DPO deve essere individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati.

I compiti principali del DPO includono:

– Informare e fornire consulenza al titolare del trattamento e ai dipendenti sugli obblighi del GDPR
– Sorvegliare l’osservanza del regolamento e delle politiche interne
– Fornire pareri sulla valutazione d’impatto sulla protezione dei dati
– Cooperare con l’autorità di controllo (Garante Privacy)
– Fungere da punto di contatto per l’autorità di controllo

Il DPO deve avere autonomia decisionale ed estraneità rispetto alla determinazione delle finalità e delle modalità del trattamento dei dati. Secondo recenti analisi, la figura del DPO si è ormai consolidata, diventando un vero punto di riferimento: interlocutore per le autorità, guida per le imprese e garanzia per i cittadini.

La gestione di un data breach secondo il GDPR richiede un approccio multidisciplinare ed integrato. Il titolare del trattamento deve comunicare eventuali violazioni dei dati personali al Garante che comportano impatti sui diritti e le libertà degli interessati entro 72 ore dalla scoperta dell’incidente.

L’EDPB (European Data Protection Board) ha adottato linee guida specifiche che forniscono esempi pratici di data breach e integrano le linee guida sulla notifica della violazione dei dati personali. Queste sono state aggiornate il 28 marzo 2023 con l’adozione formale delle linee guida 09/2022.

A livello nazionale, il Garante Privacy ha predisposto un “Servizio telematico” dedicato al data breach, fornendo anche un tool di autovalutazione per la notifica all’Autorità.

Secondo esperti del settore, la gestione dei data breach è uno degli aspetti in cui il GDPR ha lasciato un segno positivo. Oggi non è più pensabile ignorare o nascondere un incidente di sicurezza: le aziende hanno imparato a strutturarsi, definire procedure di notifica e reagire con maggiore rapidità. Si è affermata una vera cultura della risposta con piani di intervento, team dedicati e comunicazione tempestiva con autorità e utenti.

Il GDPR e il Data Act sono regolamenti complementari che affrontano aspetti diversi della gestione dei dati:

Il GDPR si concentra sulla protezione dei dati personali e sulla tutela della privacy degli individui, stabilendo regole per il trattamento, la conservazione e la condivisione di tali dati.

Il Data Act (Regolamento UE 2023/2854), entrato in vigore l’11 gennaio 2024 e applicabile dal 12 settembre 2025, si focalizza invece sull’accesso equo e la condivisione dei dati generati da dispositivi connessi, siano essi personali o non personali.

Mentre il GDPR ha introdotto il diritto alla portabilità dei dati personali (art. 20), il Data Act estende questo concetto anche ai dati non personali generati da dispositivi IoT, creando un quadro normativo per l’accesso e la condivisione di tali dati tra utenti, aziende e, in casi specifici, enti pubblici.

L’articolo 1, paragrafo 3 del Data Act chiarisce esplicitamente che le sue disposizioni non incidono sull’applicazione del GDPR, né limitano i poteri delle autorità di protezione dei dati. I due regolamenti devono essere letti in modo complementare, con il Data Act che estende e arricchisce alcuni diritti già presenti nel GDPR, come la portabilità dei dati.

Il GDPR ha portato due vantaggi principali per la sicurezza informatica:

1. Ha spinto le aziende a dotarsi di sistemi di monitoraggio delle intrusioni più avanzati, anche con tecniche di intelligenza artificiale. La necessità di rilevare e notificare i data breach ha richiesto una maggiore capacità di monitoraggio degli eventi di sicurezza all’interno dei sistemi informativi aziendali.

2. Ha aumentato la disponibilità di informazioni sui breach avvenuti. Il rischio di sanzioni in caso di mancata notifica ha portato alla luce un gran numero di incidenti che altrimenti sarebbero stati tenuti nascosti, fornendo dati preziosi per migliorare le metodologie di gestione della sicurezza basate sulla valutazione del rischio.

Secondo analisi recenti, il GDPR ha effettivamente migliorato la sicurezza informatica delle organizzazioni. Pur non essendo una legge nata per la cybersecurity, il regolamento ha reso la protezione dei dati una priorità. Infrastrutture più sicure, misure tecniche più robuste e investimenti dedicati sono diventati realtà per molte organizzazioni.

Le aziende più strutturate hanno introdotto procedure di risk assessment periodico, adottato standard internazionali come l’ISO/IEC 27001 e formato il personale sui comportamenti corretti da tenere in caso di attacchi informatici. Anche nelle PMI si nota un salto di qualità con firewall aggiornati, backup regolari, controlli sugli accessi e policy più chiare sull’uso degli strumenti digitali.

L’applicazione del GDPR nel marketing data-driven richiede un approccio strutturato che integri la protezione dei dati sin dalla progettazione delle strategie commerciali. Ecco i principali aspetti da considerare:

1. Identificazione dei dati trattati: Nel marketing digitale i dati non si esauriscono nei semplici contatti ma includono comportamenti di navigazione, interazioni con campagne, risposte alle comunicazioni e altre informazioni che consentono di profilare gli utenti.

2. Consenso specifico e informato: La raccolta dell’indirizzo email per l’invio di un contenuto non consente automaticamente l’invio di ulteriori comunicazioni commerciali. È necessario prevedere consensi separati e specifici per diverse finalità.

3. Profilazione e segmentazione: La suddivisione degli utenti in cluster richiede trasparenza nell’informativa, una base giuridica adeguata (generalmente il consenso) e la possibilità di intervento umano quando l’automazione produce effetti significativi.

4. Gestione dei cookie: È necessario distinguere tra cookie tecnici (installabili senza consenso) e cookie analitici/di marketing (che richiedono consenso specifico). Il banner cookie deve essere tecnicamente coerente con le scelte dell’utente.

5. Campagne sui social media: Strumenti come custom audience e lookalike audience richiedono una corretta qualificazione dei ruoli privacy e accordi adeguati con le piattaforme.

6. Conservazione dei dati: Definire politiche di retention per categorie omogenee di interessati, evitando l’accumulo indifferenziato di contatti inattivi.

L’approccio alla compliance nel marketing data-driven deve essere processuale e continuo, seguendo un ciclo operativo che include: mappatura dei dati, valutazione dei rischi, configurazione degli strumenti, documentazione delle scelte e monitoraggio costante.

L’articolo 22 del GDPR rappresenta uno snodo centrale nella protezione dei cittadini dalle decisioni automatizzate e dalla profilazione. Questa norma stabilisce che l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida significativamente sulla sua persona.

Il regolamento prevede alcune eccezioni a questo principio, consentendo decisioni automatizzate solo quando:
– Sono necessarie per la conclusione o l’esecuzione di un contratto
– Sono autorizzate dal diritto dell’Unione o dello Stato membro
– Si basano sul consenso esplicito dell’interessato

Anche in questi casi, devono essere implementate misure di salvaguardia adeguate, tra cui il diritto di ottenere l’intervento umano, di esprimere la propria opinione e di contestare la decisione.

La profilazione, definita come qualsiasi forma di trattamento automatizzato di dati personali per valutare aspetti personali relativi a una persona fisica, è soggetta a requisiti di trasparenza particolarmente stringenti. L’informativa deve chiarire quali dati vengono analizzati, secondo quali logiche e con quali effetti concreti, evitando formule generiche.

A sette anni dall’entrata in vigore del GDPR, emergono alcune criticità significative nella sua applicazione:

1. Minimizzazione dei dati: Molte aziende raccolgono ancora più informazioni del necessario, spesso senza una finalità chiara. La tentazione di raccogliere “più dati possibili” resta forte, specialmente in settori come il marketing digitale o l’e-commerce, dove profilazioni dettagliate, cookie non essenziali e tracciamenti incrociati vanno oltre ciò che l’utente si aspetta o comprende.

2. Portabilità dei dati: Questo diritto è ancora poco applicato a causa di ostacoli tecnici, scarsa interoperabilità e un livello di complessità che scoraggia l’utente finale. La mancanza di standard condivisi e la resistenza delle grandi piattaforme a rendere i dati facilmente trasferibili ne hanno limitato fortemente l’impatto.

3. Approccio basato sul rischio: Il principio che chiede alle organizzazioni di modulare misure e controlli in base ai rischi reali per i diritti e le libertà degli interessati viene spesso tradotto male. Alcune aziende si limitano a un approccio formale, fatto di adempimenti burocratici che danno l’illusione di essere conformi, mentre altre adottano un approccio troppo tecnico, trascurando la dimensione organizzativa e la formazione del personale.

4. Evoluzione tecnologica: L’intelligenza artificiale e i sistemi avanzati pongono nuove sfide all’applicazione del GDPR. Ad esempio, l’esercizio del diritto di accesso ai dati personali nei confronti dei sistemi di intelligenza artificiale generativa sta producendo risultati paradossali: conformità formale alla norma accompagnata dall’impossibilità pratica di comprendere, verificare o contestare il trattamento effettuato.

Il GDPR sta affrontando le sfide dell’intelligenza artificiale attraverso diverse iniziative e interpretazioni delle norme esistenti. L’EDPB (European Data Protection Board) ha recentemente diffuso due documenti formativi dedicati al tema dell’intelligenza artificiale e della tutela dei dati personali, con l’obiettivo di sviluppare competenze necessarie e favorire un linguaggio comune trasversale tra esperti di diversi settori.

Il primo documento, rivolto principalmente a figure con profilo giuridico, offre una panoramica delle varie fasi del ciclo di vita delle applicazioni AI, identificando criticità e potenziali risposte per implementare l’intelligenza artificiale in conformità con i requisiti di protezione dei dati. Il secondo documento è destinato a esperti con background tecnico-informatico, sviluppatori e operatori, per supportarli nella progettazione di sistemi basati sull’intelligenza artificiale che rispettino i principi etici e le norme sulla protezione dei dati.

Inoltre, l’articolo 22 del GDPR, che tutela i cittadini dalle decisioni automatizzate, sta assumendo un’importanza crescente nell’era dell’AI. La sua interpretazione risulta particolarmente delicata in un contesto dominato da sistemi decisionali automatizzati, algoritmi predittivi e intelligenza artificiale.

L’EDPB riconosce che esiste “una grave carenza di competenze in materia di intelligenza artificiale e protezione dei dati” e sta lavorando per sviluppare un approccio multidisciplinare che coinvolga sviluppatori, data scientist, esperti di sicurezza informatica, esperti legali e utenti finali per ottenere sistemi di IA legali e affidabili.

Il D.Lgs. 10 agosto 2018, n. 101, entrato in vigore il 19 settembre 2018, ha introdotto disposizioni per l’adeguamento della normativa nazionale italiana (D.Lgs. 196/2003) alle disposizioni del GDPR. Oltre a recepire le disposizioni del regolamento europeo, il decreto ha regolamentato alcuni aspetti rimessi alla potestà legislativa nazionale, tra cui:

1. L’introduzione di fattispecie di illeciti penali, accanto alle sanzioni pecuniarie già previste dal GDPR. Sono state definite nuove fattispecie penalmente rilevanti come il trattamento illecito di dati, la comunicazione e diffusione illecita di dati personali, l’acquisizione fraudolenta di dati personali e le dichiarazioni mendaci al Garante.

2. La definizione di regole specifiche per il trattamento di particolari categorie di dati, come quelli genetici, biometrici e relativi alla salute.

3. L’estensione dei poteri delle PA di determinare la base giuridica del trattamento, individuata non solo dalla legge e dal regolamento, ma anche dagli atti amministrativi generali (modifiche introdotte dal Decreto Capienze all’art. 2ter del Codice Privacy).

4. L’abrogazione dell’art. 2-quinquiesdecies Codice Privacy, che permetteva il parere preventivo del Garante Privacy in relazione ai trattamenti suscettibili di avere un rischio alto sui diritti e le libertà degli interessati, rendendo le Pubbliche Amministrazioni più accountable.

5. Disposizioni specifiche per settori particolari come la ricerca scientifica, il giornalismo, e il trattamento di dati relativi a condanne penali e reati.