Giovanni Pio Gravina fa chiarezza sul GDPR
Sono già diversi anni, per la precisione dal 25 maggio 2018, che il GDPR (General Data Protection Regulation, Regolamento Generale sulla Protezione dei Dati) è entrato in vigore nell’Unione Europea. Si tratta di un regolamento nato per disciplinare il trattamento dei dati personali e della privacy.
L’obiettivo che la UE si è posta con il GDPR è quello di rafforzare la protezione dei dati dei cittadini e dei residenti nei territori dell’Unione rendendo omogenea la normativa della privacy in tutti i Paesi membri.
L’adozione di questo regolamento è da molti considerata una grande rivoluzione in materia di privacy ed è quindi interessante cercare di saperne di più su questo argomento che ha avuto un impatto non indifferente per aziende e privati cittadini. Abbiamo quindi chiesto l’opinione a uno dei massimi esperti del settore, Giovanni Pio Gravina, noto consulente MarTech.
Cosa stabilisce il GDPR?
Esaurire l’argomento GDPR in poche righe è un’impresa impossibile, spiega Gravina, proviamo quindi a sintetizzare i concetti più importanti.
Il GDPR ha sostituito la precedente Direttiva sulla Protezione dei Dati risalente al 1995 e ha introdotto norme decisamente più severe relativamente alla raccolta, all’elaborazione e alla conservazione dei dati personali. Vari sono i principi che ispirano il GDPR fra cui la liceità, la correttezza e la trasparenza. In sostanza le organizzazioni devono agire in modo tale che le attività di raccolta dei dati non infrangano alcuna legge e niente deve essere nascosto agli utenti (quest’ultimo punto si concretizza con l’informativa sulla privacy).
È importante che la raccolta dei dati personali abbia finalità ben precise che devono essere chiaramente riportate nell’informativa sopracitata. Quest dati (peraltro soltanto quelli strettamente necessari) inoltre andranno conservati soltanto per il tempo necessario a raggiungere lo scopo per il quale essi sono stati raccolti, dopodiché andranno eliminati.
Va da sé che i dati personali raccolti devono essere esatti, in caso contrario l’utente ha il diritto di chiederne la cancellazione o la rettifica.
Il GDPR stabilisce che i dati personali devono essere trattati in modo tale che ne sia garantita sicurezza e protezione attraverso misure idonee. In sostanza devono essere sia impediti trattamenti non autorizzati se non addirittura non leciti sia assicurate misure che proteggano i dati da qualsiasi danno o diffusione.
Il mancato rispetto del GDPR, ricorda Giovanni Pio Gravina, comporta sanzioni che possono essere particolarmente pesanti (fino al 4% del fatturato annuo globale oppure 20 milioni di euro a seconda di quella che è la cifra maggiore).
GDPR: quale impatto ha avuto sulle aziende?
Il GDPR ha avuto un impatto significativo sulle aziende. In primis molte di esse hanno dovuto effettuare investimenti significativi per adeguarsi alla normativa: revisione e modifiche delle politiche interne, formazione del personale, modifica dei sistemi informatici e, in alcuni casi, anche la nomina di un Responsabile della Protezione dei Dati.
Come già abbiamo accennato, le violazioni del GDPR possono portare a sanzioni particolarmente pesanti, aumentando notevolmente il rischio finanziario delle aziende.
Va anche considerato che, aldilà delle sanzioni, una violazione dei dati può danneggiare pesantemente la reputazione di un’azienda.
Si deve poi ricordare, puntualizza infine Gravina, che le aziende devono ora ottenere un consenso chiaro e inequivocabile per il trattamento dei dati e ciò ha sicuramente complicato le attività di raccolta dati e le campagne di marketing.