Il Regolamento generale sulla protezione dei dati (GDPR) è la nuova normativa europea che verrà applicata in tutti gli stati membri dell'Unione a partire dal 25 maggio di quest'anno. Le aziende e gli enti amministrativi in generale hanno avuto quasi due anni per potersi adeguare alla nuova normativa: in caso non dovessero adempiere, gli enti correrebbero un grosso rischio a causa delle sanzioni che ci sono in ballo, di cui parleremo tra poco.

Il GDPR coinvolge quindi tutta la comunità del Vecchio Continente, comprese quindi tutti le realtà locali e di conseguenza anche quella sudtirolese, che dovrà adeguarsi al regolamento. Ta le novità introdotte c'è il diritto all'oblio, ovvero la possibilità - su richiesta dell'interessato - di vedere cancellati tutti i dati riguardanti la sua persona dal web, compresi articoli di cronaca giudiziaria, per intendersi. Una questione controversa che l'Unione ha deciso di tutelare. Oltre a questo altre sono le specificità: dalla semplificazione e la maggiore chiarezza delle informative e dei consensi che l'utente dà quando decide di usare un servizio, al trattamento dei dati in generale per quanto riguarda gli enti che li detengono.

Non mancano, quindi, le sperimentazioni e i vantaggi che questo nuovo tipo di normativa consente di sviluppare; ad esempio tra i progetti che IDM porta avanti c'è anche il progetto Open Data Hub, una piattaforma informatica per l'accesso ai dati altoatesini, ovvero dati rilevanti per il settore dell’economia. La piattaforma offrirà a tutti la possibilità di utilizzare i dati offerti in tutti i canali della comunicazione digitale: intanto restiamo in attesa.

salto.bz: Carlo Piana, lei si occupa degli aspetti legali che riguardano questo nuovo regolamento: cosa c'è di nuovo?

Carlo Piana: C'è stato un lungo dibattito sul GDPR, che però ha una serie di vantaggi: quello di essere un regolamento e quindi applicabile immediatamente e a cui tutti dovranno fare riferimento. C'è stato molto tempo per adeguarsi ma credo che moltissimi enti in Italia non siano ancora pronti: tra pubblico e privato sarà un bel match. La novità sotto il profilo legale è che la sanzione sarà solo amministrativa e non più anche penale, perché la responsabilità del corretto trattamento dei dati sarà in capo all'ente. In caso di trasgressione, beh, ci potrebbero essere sanzioni che vanno dal 2 al 4 percento del fatturato dell'ente, fino a una pena massima di 10 milioni di euro. Poco mite.

Però in Italia sono già presenti varie norme, basti pensare solo al Codice della Privacy, come si risolverà la questione a livello generale?

Il parlamento aveva delegato al governo una decreto per risolvere questi problemi, anche se sta per scadere e forse ce ne sarà uno nuovo di governo, o forse no: staremo a vedere! Il fatto è che il Regolamento si affianca alle leggi che già ci sono, per questa materia, quindi è probabile che le nostre norme rimangano così come sono, anche per il fatto che i vari procedimenti sono estremamente lunghi e complessi. Adesso la palla passa agli enti, che dovranno fare delle autovalutazione e dovranno essere corrette. Ci sono le dovute figure professionali, interne e esterne, che se ne occuperanno.

Una delle cose più innovative dovrebbe essere quella della responsabilizzazione degli enti, giusto? E' una parola che sulla stampa è girata molto. In che senso “responsabilizzazione”?

Il termine è corretto. Infatti più un ente avrà una grande quantità di dati e anche "qualità" di dati importante, ovvero una serie di dati che se divulgati metterebbe a rischio degli interessi personali, più quell'ente dovrà accertarsi di aver eseguito le dovute procedure per la protezione dei suoi users. Questo è un cambio di paradigma fondamentale, insieme anche al fatto che gli utenti dovranno essere sempre a conoscenza di che fine fanno i dati che danno in uso, questo è molto importante.