ROMA, 23 MAGGIO - Sulla scia dello scandalo Facebook-Cambridge Analytica, entrerà in vigore il 25 maggio il nuovo regolamento europeo sulla protezione dei dati personali, il General data protection regulation (Gdpr). Il regolamento impone precisi obblighi alle imprese e coinvolge direttamente i cittadini nella gestione dei propri dati personali.

A maggiori obblighi corrisponderanno sanzioni più rigide. L'indirizzo è comune, su base europea, con linee guida identiche per tutti i Paesi coinvolti. Ma l'applicazione sarà su base statale, perché gestita dai singoli organismi nazionali (nel caso dell'Italia, dall'Autorità garante per la protezione dei dati personali). Il punto di partenza è l'articolo 83 del Gdpr, che contiene le “condizioni generali per infliggere sanzioni amministrative pecuniarie”: sanzioni che dovranno essere “effettive, proporzionali e dissuasive”, oltre che valutate “per ogni singolo caso”. Grande discrezionalità per il giudice, quindi, mentre alle autorità spetterà il compito di badare a una serie di elementi che inaspriranno o alleggeriranno le sanzioni.

Il giudice sarà chiamato a valutare “la natura, la gravità e la durata della violazione”. Per far ciò dovrà prendere in considerazione il numero degli utenti interessati, il danno subito e l'oggetto dell'infrazione. Un’aggravante è quella che inerisce “il carattere doloso o colposo della violazione”. Per le aziende vi sarà la possibilità di rendere la propria posizione meno problematica se dimostreranno di avere adottato “misure tecniche e organizzative” adeguate e di aver agito per “attenuare il danno subito dagli interessati”. Fungerà da attenuante l’eventuale cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e contenerne i possibili effetti negativi.

In ogni caso, le sanzioni per le aziende sono potenzialmente molto aspre: 10 milioni o 2% del fatturato totale in caso di violazioni lievi, 20 milioni o 4% del fatturato totale se le violazioni saranno particolarmente gravi. Quanto ai Garanti, invece, protagonisti attivi del nuovo panorama di protezione dei dati personali, il problema fondamentale sta nella mancanza di fondi adeguati a svolgere il compito cui sono chiamati. Antonello Soro, presidente dell'Autorità garante per la protezione dei dati personali in Italia, ha affermato di avere a disposizione per il 2018 un budget di 25 milioni di euro (la metà del necessario) e 122 persone (quando ne servirebbero 300).

