search
Il media che reinventa l'impresa
Registrare un software

GDPR: l'unione tra avvocati per la protezione dei dati e software per la protezione dei dati

GDPR: l'unione tra avvocati per la protezione dei dati e software per la protezione dei dati

Da Francesc Alcaraz Gallego

Il 3 maggio 2025

Il futuro della consulenza legale sta vivendo il suo primo importante banco di prova con l'arrivo del nuovo Regolamento sulla protezione dei dati personali.

L'arrivo del complesso regolamento ha portato alla nascita di una serie di software o strumenti informatici che, da un lato, facilitano la corretta gestione degli obblighi stabiliti dalla nuova legge, ma che, dall'altro, mirano a sostituire l'effettivo lavoro legale di consulenza sulla conformità normativa.

Quale sarà l'ambito di questa consulenza? Chi sarà il responsabile finale? I due fornitori di servizi lavoreranno insieme? Si estenderà ad altre aree del diritto?

Cosa comporta il GDPR?

Il 25 maggio 2016 è entrato in vigore il Regolamento UE 679/2016 sulla protezione dei dati personali ed è destinato a rimanere. Non si tratterà quindi di un mero adeguamento normativo, ma di un profondo cambiamento culturale che aggiungerà compiti ricorrenti ai vari soggetti obbligati, come fino ad ora:

  • la contabilità,
  • la compilazione delle imposte,
  • la registrazione dei libri contabili e dei bilanci annuali, ecc.

Dopo il panico vissuto nei mesi precedenti e, soprattutto, nei giorni precedenti l'entrata in vigore, è giunto il momento di educare ai cambiamenti fondamentali e di accogliere a braccia aperte un cambiamento culturale che è senza dubbio assolutamente necessario.

Quindi, cosa possiamo chiedere come cittadini e quali misure dovranno adottare le aziende e gli altri soggetti obbligati a rispettare il regolamento?

Estensione dei diritti dei cittadini

Nuovi diritti

Oltre ai già noti diritti ARCO (accesso, limitazione, rettifica e opposizione), sono stati creati il popolare Diritto all'oblio e il Diritto alla portabilità. Quest'ultimo obbliga il titolare del trattamento a fornire all'interessato una copia completa dei suoi dati in formato elettronico e in un formato compatibile. Il Diritto all'oblio, invece, obbliga il responsabile del trattamento a cancellare tutti i dati in possesso di un determinato interessato.

Il cittadino come titolare dei propri dati

Dal punto di vista del cittadino, il nuovo regolamento ci permette di riappropriarci realmente dei nostri dati. D'ora in poi, i database personali non saranno più di proprietà di una determinata azienda, ma dei proprietari dei dati.

Ciò significa che l'azienda li utilizzerà secondo i criteri di legittimazione stabiliti dal Regolamento, principalmente sulla base del consenso espresso dal titolare dei dati o da chi ne fa le veci; l'azienda sarà quindi considerata responsabile della corretta custodia e protezione dei dati, ma mai il titolare dei dati.

L'intera catena sarà responsabile

Dal punto di vista dell'azienda, del professionista o dell'ente pubblico, invece, come abbiamo già sottolineato, d'ora in poi responsabile del trattamento, essi non potranno più essere considerati titolari dei dati personali che trattano, ma piuttosto responsabili del loro trattamento.

Ciò significa che dovranno adottare un atteggiamento proattivo e responsabile ed essere coinvolti nella conformità adottando e adattandosi alla nuova cultura della protezione dei dati personali.

Infatti, non solo l'azienda deve proteggere i dati, ma deve anche assicurarsi che le terze parti coinvolte che per vari motivi hanno accesso ai dati in sua custodia rispettino le regole e agiscano in modo responsabile nel trattamento dei dati.

Più obblighi per le aziende

Nuovi registri e responsabilità

L'obbligo di registrare i file presso l' AEPD è stato abolito, ma è stato creato il Registro delle attività di trattamento come obbligo di legge per le aziende con più di 250 dipendenti o che trattano dati sensibili o che possono generare rischi significativi per gli interessati.

Allo stesso tempo, il Registro dei Responsabili del Trattamento nasce anche dal buon senso:

  • il Registro dei Responsabili del trattamento,

  • il Registro dei clienti che agiscono in qualità di responsabili del trattamento,

  • il Registro delle richieste dei titolari dei diritti sui dati personali,

  • il Registro dei trasferimenti di dati e il Registro degli incidenti.

D'altra parte, sarà anche obbligatorio:

  • l' analisi dei rischi di ciascuna operazione di trattamento,

  • le valutazioni d'impatto sulla privacy (PIA ) quando, per natura, ambito, contesto e finalità, vi è una probabilità ragionevolmente elevata di ledere i diritti e le libertà delle persone fisiche.

Entra in gioco un nuovo attore

Il Responsabile della protezione dei dati (RPD ) è la persona fisica, specializzata in diritto e con conoscenze pratiche in materia di protezione dei dati, che funge da mediatore tra l'azienda, gli interessati, i terzi coinvolti e l' Agenzia spagnola per la protezione dei dati (AEPD), oltre a valutare i sistemi di conformità, analizzare i rischi e coordinare i diversi team coinvolti nel processo di messa in conformità e mantenimento della conformità.

Per il momento, solo le amministrazioni pubbliche, ad eccezione dei tribunali, e le aziende che effettuano trattamenti che richiedono l'osservazione regolare e sistematica degli interessati su larga scala e/o trattamenti che coinvolgono categorie speciali di dati su larga scala, come i dati sanitari, saranno obbligate a nominare un RPD. Inoltre, anche quando richiesto dagli Stati membri dell'UE nei loro regolamenti interni.

In un futuro non troppo lontano, è chiaro che la gamma di aziende obbligate si allargherà man mano che i processi si semplificheranno e i costi si ridurranno, ad esempio grazie agli strumenti software.

In effetti, l' AEPD ha dichiarato in diverse occasioni che le aziende che non sono obbligate a farlo dovrebbero designare volontariamente il proprio DPO, in quanto ciò offre enormi vantaggi.

Le sanzioni richiedono la conformità

Alla luce di quanto sopra e dopo aver capito chi è il titolare del trattamento e chi è il responsabile, vale la pena di avvertire, senza l'obiettivo di spaventare, che le sanzioni oscilleranno tra il 2% e il 4% del fatturato globale annuo totale dell'esercizio precedente. 10 milioni di euro per le sanzioni gravi e 20 milioni per quelle molto gravi.

Quindi, a titolo di esempio, una PMI che ha guadagnato 800.000 euro nel 2017, che abbia o meno realizzato un profitto nel 2017, dovrà pagare tra i 16.000 e i 32.000 euro in caso di sanzione.

Ecco perché è importante prendere molto sul serio questo cambiamento culturale e prevenire il più possibile le sanzioni piuttosto che pianificare di sostenerne i costi, provvedere e aspettare. Una pratica molto diffusa in passato che oggi non ha più senso.

Software RGPD: strumenti indubbiamente necessari

Come abbiamo visto, la nuova normativa richiede un grande impegno, innanzitutto con la preparazione di densi studi giuridici e poi con un piano d'azione che specifichi ognuna delle misure da attuare per dimostrare a un'eventuale ispezione che la normativa è rispettata e/o che tutte le azioni ritenute necessarie per conformarsi alla normativa vengono svolte in modo proattivo.

Noi, come consulenti del settore, non possiamo ignorare l'esistenza di questi software e i loro consigli più che validi sul piano d'azione appropriato. Né possiamo continuare a proporre l'uso di fogli di calcolo Excel per effettuare le registrazioni di cui sopra. Il software è arrivato nella nostra professione e non solo non dobbiamo averne paura, ma dobbiamo adottarlo come un ulteriore strumento per migliorare e accrescere la qualità del nostro lavoro.

La tecnologia può sostituire il lavoro degli avvocati?

Alcune aziende potrebbero essere quasi da sole ma molto attente a seguire correttamente le "istruzioni" per evitare responsabilità, ma il futuro dice che avranno ancora bisogno di noi .

Prova ne è che alcuni software GDPR offrono già una piattaforma parallela per il consulente, che agisca o meno come DPO interno o esterno, per rivedere e approvare sia la preparazione del piano d'azione che la sua attuazione. Questo è forse il miglior criterio per valutare la qualità e l'utilità di tali software.

Per quanto riguarda la mia esperienza personale a questo proposito, una questione che si pone in qualsiasi materia o area del diritto, è essenziale che la comunicazione avvocato-cliente sia perfettamente registrata, ordinata e che sia possibile generare documenti che trascrivano queste conversazioni (ad esempio PDF) in caso di qualsiasi tipo di conflitto. La posta elettronica è quindi prossima a diventare un ricordo del passato.

Giuristi + tecnologia = trattamento sicuro

Questa combinazione sembra essere perfetta poiché, sebbene le ore di consulenza e quindi i costi si riducano notevolmente, sarà saggio per le aziende continuare a trasferire il rischio della consulenza finale in materia agli avvocati e quindi alle loro compagnie di assicurazione.

Per quanto riguarda l'eventuale estensione di questo fenomeno ad altri settori del diritto, il futuro è imprevedibile, ma tutto lascia pensare che lo farà senz'altro.

Articolo tradotto dallo spagnolo