La responsabilità civile per mancato rispetto del GDPR

Il 25 maggio 2018 è divenuto applicabile il c.d. GDPR, General Data Protection Regulation, Regolamento UE 679/2016, ossia il Regolamento con cui la UE disciplina la materia del trattamento dei dati personali abrogando la Direttiva 95/46/CE. La digitalizzazione della società e dell’economia sta producendo un impatto diversificato (anche) sull’impegno civico nel processo decisionale e sulle barriere alla partecipazione pubblica ai processi democratici. L’analisi dei Big Data e i sistemi di intelligenza artificiale hanno reso possibile la raccolta, la combinazione, l’analisi e l’archiviazione illimitata di volumi enormi di dati. Negli ultimi vent’anni è emerso un modello economico dominante per la maggior parte dei servizi basati sul web, fondato sul tracciamento online delle persone e sulla raccolta di dati sul carattere, la salute, le relazioni nonché i pensieri e le opinioni, con il fine di generare introiti mediante la pubblicità digitale. Tali mercati digitali si sono concentrati nelle mani di un numero esiguo di società, che esercitano una vera e propria funzione di controllo in Internet e hanno valori di capitalizzazione di mercato, adeguati all’inflazione, superiori a quelli di qualsiasi altra società che la storia ricordi. Questo ecosistema digitale, in cui oltre il 50 % della popolazione è presente su Internet, ha collegato persone di tutto il mondo, sebbene in modo molto difforme in termini di geografia, ricchezza e genere: Basterebbero queste considerazioni (svolte dal GARANTE EUROPEO DELLA PROTEZIONE DEI DATI) a far comprendere l'importanza del GDPR e la sua necessità. Sebbene sia un atto di natura europea, il Regolamento ha già influenzato le policies in materia di trattamento dati di aziende multinazionali il cui mercato non è circoscritto alla sola Unione Europea e con sede al di fuori di tale territorio, infatti la portata operativa del Regolamento è tale da poter essere indicato -nei fatti - come l'International Legal Standard per il trattamento dei dati personali. “Mass adoption of GDPR privacy standards by international companies have been cited as an example of the "Brussels effect", a phenomenon wherein European laws and regulations are used as a global baseline due to their gravitas” Lo scopo della normativa è allo stesso tempo armonizzare le regole tra gli Stati membri dell'UE, facilitare il libero flusso di dati personali -facilitando così gli scambi in un Digital Single Market (DSM) - e garantire i diritti fondamentali dei titolari dei dati. Innanzitutto, il GDPR stesso prevede che esso venga applicato anche “al trattamento dei dati personali di interessati che si trovano nell'Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell'Unione, quando le attività di trattamento riguardano… (segue)