Il mondo è bello perché è vario sostengono in molti. C’è chi non sarà d’accordo, ma d’altronde i gusti son gusti e la libertà di opinione e parola rappresentano diritti sacrosanti da rispettare.
A proposito di diritti, la differenza e la varietà sono concetti sconosciuti quando si parla di giurisprudenza: “la legge è uguale per tutti” domina la scena nei tribunali e nei libri di diritto, oltre che guidare ogni tipo di regolamento.
Nonostante la globalizzazione stia abolendo differenze, colmando le distanze omologando usi, costumi, abitudini e quindi anche reati, le leggi variano da continente a continente, da stato a stato e a volte anche da città a città.
Il GDPR viene implementato con leggi di adeguamento differenti all’interno dell’Unione Europea
Il nuovo Regolamento sul trattamento dei Dati (GDPR, General Data Protection Regulation) è nato con lo scopo di definire e uniformare la protezione del trattamento dei dati personali degli utenti in tutti gli stati dell’Unione Europea.
Il GDPR è direttamente applicabile in tutti gli stati UE senza il bisogno di alcuna legge statale di recepimento.
Tuttavia ogni stato può disciplinare autonomamente determinati ambiti per armonizzare il passaggio dalle leggi nazionali precedenti all’avvento del GDPR.
Il nuovo regolamento consente a ogni stato di disciplinare a propria discrezione 4 principali ambiti:
Consenso ai minori
Secondo l’articolo 6 del GDPR , paragrafo 1 lettera “a” il trattamento dei dati minori è lecito per ragazzi e ragazze a partire da 16 anni di età.
Tra gli stati membri solamente Germania e Olanda rispettano e confermano l’età minima del minore a 16 anni di età.
Tutti gli altri stati dell’Unione Europea hanno abbassato la quota di età del minore per cui il trattamento risulti lecito.
Sono fermi a 15 anni Francia e Grecia, mentre l’Austria fissa l’età a 14. Tutti gli altri Stati hanno identificato l’età minima per trattare i dati in maniera lecita a 13 anni.
Categorie particolari di dati personali
L’articolo 9 del GDPR vieta il trattamento delle categorie particolari di dati personali, fatta eccezione per deroghe speciali.
Finlandia, Francia, Spagna e Olanda hanno introdotto ulteriori condizioni e limiti nel trattamento di queste categorie:
In Olanda hanno esteso il limite anche alle categorie di soggetti che possono trattare dati giudiziari, mentre in Francia viene accettato il trattamento dei dati biometrici solo se strettamente necessari per l’accesso al posto di lavoro.
In Finlandia le categorie assicurative possono avere accesso a questi dati per verificare le responsabilità.
La Spagna invece c’è il divieto assoluto di trattamento dei dati quando la finalità è l’identificazione di orientamento politico, sessuale o appartenenza etnica. Anche previo consenso dell’interessato.
DPO
Il paragrafo 4 dell’articolo 37 del GDPR individua i casi in cui è obbligatoria la nomina del DPO da parte del responsabile del trattamento o del titolare:
- Trattamenti svolti da organismo o autorità pubblica;
- Trattamenti che richiedono monitoraggio regolare e sistematico su larga scala;
- Trattamento su larga scala di categorie particolari di dati personali relativi a condanne e reati.
Il GDPR consente a ciascun stato membro di aumentare il numero dei casi in cui è necessaria la nomina del DPO.
In Germania ad esempio ogni impresa con almeno 10 dipendenti che trattano i dati personali con strumenti informatici è costretta a nominare il DPO.
In Spagna hanno stilato la lista di soggetti pubblici e privati che devono obbligatoriamente nominare il DPO. In questa lista compaiono le banche, le assicurazioni, le aziende fornitrici di luce e gas, le federazioni sportive e tanto altro ancora.
Sanzioni
Il paragrafo 3 dell’articolo 87 imposta le regole e i limiti delle sanzioni pecuniarie previste dal regolamento, mentre l’articolo seguente indica le sanzioni penali per la violazione degli obblighi imposti dal GDPR.
Entrambe le pene possono essere modificate da ogni Stato dell’Unione Europea.
In Austria ogni violazione del regolamento non soggetta alle sanzioni del GDPR è punita con 50.000€, a cui si aggiunge la reclusione se l’illecito di dati nasce con l’intento di trarre profitto o di danneggiare altri soggetti.
In Danimarca le sanzioni amministrative del GDPR non sono accettate. L’autorità danese infligge sanzioni amministrative solo se l’interessato si dichiara colpevole e accetta di pagare, in caso contrario si procede con sanzione penale.
In Germania è prevista la detenzione o la multa per il trasferimento di dati personali non accessibili a un pubblico vasto per fini commerciali.
In Repubblica Ceca le sanzioni pecuniarie arrivano fino a 5 milioni di corone ceche se l’illecito è commesso attraverso i mezzi di comunicazione.
In Spagna si infliggono solamente sanzioni amministrative o prescrizioni.