La deadline è il 25 maggio e ad oggi soltanto Austria, Germania, Francia, Croazia, Olanda, Svezia e Slovacchia sono allineate con il regolamento europeo GDPR (General Data Protection Regulation). Se questi sono già pronti poi ce ne sono altri che certamente non lo saranno e sono: Belgio, Bulgaria, Cipro, Repubblica Ceca, Grecia, Ungheria, Lituania e Slovenia. Per l’Europa questo è piuttosto sconcertante essendo che c’erano due anni abbondanti per mettersi in regola a livello nazionale con la normativa. Nel mezzo ci siamo noi: Italia con Spagna, Portogallo, Romania e Lettonia, che entro maggio dovrebbero farcela o al massimo i primi di giugno. Poi per ciò che concerne il quando i garanti della privacy erogheranno le sanzioni ancora non vi è chiarezza.
In Italia queste potrebbero configurarsi secondo diverse modalità, il Garante della Privacy configura delle sanzioni amministrative, il tutto da applicarsi con un approccio per gradi insieme o alternativamente alle misure inibitorie e prescritte. Il Garante della Privacy infliggerà sanzioni pecuniarie in base alla natura, alla gravità e alla durata dell’illecito e dunque le multe saranno per ogni singolo caso di violazione “effettive, proporzionate e dissuasive” come previsto dall’art. 83 del GDPR e l’art.166 del Decreto di adeguamento della normativa nazionale. Queste dovrebbero essere equivalenti per lo stesso illecito in ogni paese membro. Oltre alle sanzioni amministrative il GDPR prevede anche sanzioni penali.
Le sanzioni (disciplinate dall’art.83) possono arrivare a 20 milioni per i singoli o fino al 4% del fatturato mondiale annuo per le aziende. A prescindere dalla sede che può essere anche fuori dall’Europa.
Una delle funzioni principali dalla parte del GDPR è la responsabilizzazione degli attori di mercato, certamente il GDPR è un forte incentivo alla responabilizzazione. Ha il pregio che finalmente abbiamo le stesse regole per tutta Europa, nessuno potrà pretendere di stabilirsi in un Paese della Ue sperando che il regolatore locale sia più morbido. Tutto ciò garantisce i cittadini europei in qualunque Paese dell’Unione.
Un passo avanti su tutti? Il GDPR garantisce la portabilità dei dati personali dei cittadini europei, ad esempio, citando Roberto Viola (Direttore Generale di DG Connect), "la cartella sanitaria elettronica è di proprietà del cittadino e non di qualcun altro": scusa se è poco.
