AVVOCATI PER GDPR - General Data Protection Regulation
Studio Legale Internazionale Dimarco & Partners 
I nostri Avvocati a Milano hanno sviluppato una forte specializzazione in materia di GDPR, ovvero General Data Protection Regulation, già prima dell'intervento del legislatore europeo. Con il  regolamento europeo n. 679/2016  sulla protezione dei dati personali, la normativa sul GDPR è entrata in vigore il 24.05.2016 ed è applicabile in Italia dal 24.05.2018, con abrogazione della direttiva 95/46/CE. Operiamo in favore di imprese situate a Milano ed in tutta Italia.
Da un punto di vista pratico i nostri avvocati rammentano ormai da tempo ai Clienti l'importanza di adeguarsi a questo regolamento che modificherà il Codice della Privacy. Infatti esso, per sua stessa natura, è immediatamente ed automaticamente applicato negli stati membri (senza necessità di leggi di recepimento) ed inoltre, in caso di mancato adeguamento, le sanzioni saranno significative e fino al 4% del fatturato dell'azienda.
Molto spesso si crea una certa confusione nell'adeguamento a normative nuove e a tal fine è importante ricordare che non esiste alcun tipo di certificazione GDPR e che normalmente è consigliabile affidarsi ad uno studio legale per tali adempimenti, in quanto il lavoro da porre in essere è prettamente giuridico.
In che cosa si caratterizza il GDPR? Dal Maggio 2018 qualsiasi dato personale (cioè qualsiasi informazione riguardante una persona fisica identificata o identificabile) potrà essere oggetto di "trattamento" (ovvero utilizzo) solo se acquisito e trattato in modo conforme al GDPR.
Per dati personali si intendono tre categorie: dati comuni (ad esempio dati anagrifici, dati fiscali, dati di contatto e dati contabili), dati sensibili (ad esempio dati genetici, di salute, che rivelano l'adesione a un sindacato, le opinioni politiche...) ed infine dati giudiziari (ovvero quei dati relativi alla qualità di imputato, al casellario giudiziale o ai carichi pendenti).
E' assolutamente comune in qualunque tipo di attività B2C entrare in contatto con dati che devono essere "trattati" nelle maniere più varie possibili. Ma cosa si intende per trattamento? Per trattamento si intende ad esempio la raccolta di dati, la registrazione a siti web da parte di utenti, l'utilizzo, la cancellazione o la raccolta. I comportamenti attivi di colui che entra in contatto con tali dati sono ovviamente questi elencati o altri ancora.
La nuova normativa ha l'effetto di innovare totalmente la materia, apportando una disciplina nuova e non modificativa della precedente. In particolare si sottolinea quali siano i principali punti di novità:
  • onere della prova a carico di chi tratta i dati: in caso di controversia (o di controllo), dovrà dimostrare di aver trattato i dati nelle modalità previste dal Regolamento europeo.
  • registro dei trattamenti;
  • valutazione dei rischi;
  • misure tecniche e organizzative adeguate;
  • data breach;
  • certificazione dei trattamenti;
  • valutazione dell'impatto;
  • data protection officer (DPO);
  • responsabilità solidale di titolare e responsabile;
  • entità delle sanzioni;
Uno dei passaggi più innovativi della nuova normativa è il cambio di approccio, che diventa più tecnico e concreto. Se prima vi era necessità di un adeguamento "formale", ora l'adeguamento deve essere anche sostanziale, essendo necessari sia adeguamenti tecnologici che legali/contrattuali/organizzativi. 
In particolare l'azienda o libero professionista, per poter dimostrare di essersi adeguato al regolamento europeo n. 679/2016 - e quindi non essere sottoposto a sanzioni o a richieste di risarcimento da parte di terzi, deve:
  • aver recepito a livello tecnologico e legale/organizzativo le novità del GDPR;
  • dimostrare di aver adottato misure finalizzate ad assicurare l'applicazione del GDPR;
  • tener conto delle norme del GDPR prima di disegnare i processi interni aziendali;
  • rispettare il principio di minimizzazione: trattare solo i dati indispensabili (ovvero richiedere ad utenti solo le informazioni che si presentano strettamente necessari per la prestazione da erogare).
  • rispettare il principio di pseudonimizzazione: oscuramento (reversibile) dei dati identificativi del soggetto interessato.
  • dimostrare di aver predisposto e di utilizzare soluzioni informatiche hardware e software idonee a garantire un livello di sicurezza adeguato al rischio;
  • dimostrare di aver adottato corrette procedure di informativa e raccolta consenso;
  • dimostrare di aver predisposto e utilizzare la mappatura dei diversi trattamenti;
  • dimostrare di aver predisposto e utilizzare il Registro dei trattamenti ed il Registro del titolare dei trattamenti;
  • dimostrare di aver predisposto e utilizzare il PIA (Privacy Impact Assessment -censimento degli impatti privacy):
  • svolgere formazione del personale su come usare i dati personali;
  • aver predisposto contratti, modulistica, ordini e disciplinari adeguati al GDPR;
  • avere procedure operative in caso di perdita di dati.
Tutte queste attività sono necessarie in quanto, in caso di inosservanza al GDPR, potrebbero essere erogate importanti sanzioni civili/penali/amministrative, oltre al divieto di utilizzare dati personali con effetto anche sui contratti in essere. In particolare la sanzione pecuniaria applicata, in caso di violazione, arriva fino al 4% del fatturato annuale dell'impresa (ad esempio in caso di fatturato pari ad un milione, a prescindere da quale sia l'utile, la sanzione amministrativa ammonterà ad euro 40.000,00; in caso di fatturato pari a due milioni la sanzione sarà di 80.000,00 e così via). Il tutto senza considerare potenziali richieste di risarcimento da parte di consumatori che potranno allegare che i loro dati non sono stati trattati correttamente - si pensi ad una azienda che ha 1.000,00 consumatori come clienti e non essendosi adeguata al GDPR sarebbe sottoposta al rischio che ciascuno di essi potrebbe chiedere un risarcimento di qualche migliaia di euro per il trattamento improprio dei dati personali -.
Nel GDPR sono previste le seguenti figure:
  1. TITOLARE ("CONTROLLER"): il soggetto che singolarmente o unitamente ad altri determina le finalità ed i mezzi del trattamento dei dati personali.
  2. RESPONSABILE ("PROCESSOR"): il soggetto che tratta i dati personali per conto del titolare del trattamento;
  3. INCARICATI ("PERSONS IN CHARGE OF THE PROCESSING"): i soggetti autorizzati a compiere operazioni di trattamento dal titolare o dal responsabile.
  4. INTERESSATO: la persona i cui dati sono trattati.
Il nostro studio legale ha ormai una comprovata esperienza nell'istruzione delle aziende al GDPR effettuando i seguenti adempimenti:
  • questionari online con le figure di riferimento;
  • affiancamento ai referenti privacy in azienda;
  • censimento dei flussi dei dati e mappatura dei processi;
  • esame dell'organizzazione aziendale e delle deleghe in tema di privacy;
  • esame documenti e contratti in uso all'azienda;
  • due diligence legale;
  • definizione del piano di adeguamento.  
Di seguito trovate il link del sito del Garante della Privacy con il testo ed i considerando:

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6264597