Sei sulla pagina 1di 9

GDPR

General Data Protection Regulation


679/2016
entrato in vigore il 25-05-18

http://www.privacy-regulation.eu/it/index.htm

PERCHE' QUESTO REGOLAMENTO?

L'evoluzione tecnologica, in questo recente periodo, è stata velocissima. La diffusione di internet e dei dati di
tutti quelli che lo utilizzano finiscono in rete (la rete non dimentica). La rete è intesa come un grande
archivio di tutti i dati che vengono scambiati, condivisi, salvati "in internet" dove esiste solo il tempo
presente, dove le notizie non sono contestualizzate e sono sempre disponibili come se fossero sempre appena
accadute. Vorrei portarvi a pensare a cosa accadeva prima dell'avvento di internet. Da quando nacque la
scrittura....le "cose", le notizie, le storie, le conoscenze...iniziarono ad essere tramandate da generazione in
generazione tramite la scrittura ( inizialmente furono tramandate con la parola ); nacquero poi le biblioteche,
ossia archivi dove tutto era contestualizzato, dove c'erano regole di archiviazione, dove tutto era in ordine,
"protocollato", ogni volta che entrava o usciva un libro veniva scritto e il registro custodito; i giornali
pubblicavano le notizie di interesse pubblico e iniziarono i primi conflitti tra il diritto all'informazione e il
diritto alla privacy / oblio conseguentemente al fatto che le case produttrici dei quotidiani, iniziarono a
crearsi un archivio storico di tutti gli articoli pubblicati; ...........un giorno però.........arrivò una Bestia,
enorme, sconfinata, dai poteri immensi, senza apparenti padroni...il suo nome era INTERNET ! Internet è
entrato nelle case e nelle tasche di tutti, ha creato l'archivio più grande ed inimmaginabile di tutti i dati delle
persone che vi accedono e vi condividono le proprie informazioni, siano esse scritte, immagini, suoni, traccia
di navigazione etc. etc. Questo mostro fece galoppare anche tutti gli altri settori, nel senso che si sviluppò, ad
esempio, il commercio elettronico (che ci permette di pagare dopo aver inserito i nostri dati), l'informazione,
comunicazioni, social etc. etc. etc. etc.; comunque sia...internet...ha contribuito al "galoppare" tecnologico.
Questo "correre" della tecnologia ha lasciato dietro di sé un vuoto, un vuoto legale e normativo che non è
riuscito a stare al passo con tempi divenendo subito vecchio e non in grado di risolvere i problemi più
recenti. Questo fattaccio ha fatto si che ci sia una mole enorme di dati, in qualunque forma la si voglia
desiderare, che non si sa bene dove sia finita, che uso se ne stia facendo, chi controlla cosa etc etc. Giusto
perché noi siamo giovini e aggiornati, pensiamo al caso Facebook che ha "attirato" l'attenzione su quanto
succedeva da anni - praticamente si è scoperto che i dati personali venivano utilizzati per scopi
propagandistici ai fini politici.

E' molto importante, quindi, sapere come i nostri dati personali, oggi, vengono trattati da tutte quelle aziende
(pubbliche o private) che stanno sempre li a chiederti quel cazzo di autorizzazione dove bisogna spuntare il
quadratino, dove si prende nota di "aver letto" l'informativa... che parliamoci chiaro...non la leggiamo mai e
non abbiamo nemmeno la più pallida idea di cosa ci sia scritto (almeno per me eh ).

Ma cosa sono i dati personali?

qualunque informazione relativa a persona fisica, identificata od identificabile, anche indirettamente,


mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale".
Costituiscono sempre dati personali quelli che riguardano la famiglia e altre situazioni personali, il lavoro, le
attività economiche, commerciali, finanziarie ed assicurative, i beni, le proprietà e i possessi.
I dati personali si dividono in quattro categorie:

dati sensibili: quelli idonei a rivelare "l'origine razziale o etnica, le convinzioni religiose, filosofiche
o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a
carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di
salute e la vita sessuale" di una persona; i dati relativi alla salute e alla vita sessuale sono anche detti
"supersensibili" in quanto sono gli unici per i quali non sussiste alcuna esenzione che ne consente
l'uso in assenza di un consenso;

dati semi sensibili: categoria non ben definita, nella quale rientrano dati personali il cui trattamento
può arrecare danni al titolare, come i dati relativi alle liste di sospettati di frode, i nominativi inseriti
nelle centrali rischi, i dati relativi alla situazione finanziaria;

dati comuni: sono tutte quelle informazioni, come nome, cognome, partita I.V.A., codice fiscale,
indirizzo (compreso quello di posta elettronica), numeri di telefono, numero patente, che consentono
di individuare una persona fisica o giuridica, sia essa anche un ente od associazione;

dati giudiziari: sono quelle informazioni idonee a rivelare provvedimenti in materia di casellario
giudiziale, anagrafe delle sanzioni amministrative dipendenti da reati o carichi pendenti.

Elemento essenziale è la identificabilità del soggetto interessato, direttamente od indirettamente,


al fine di classificare un dato come personale.

Per i dati sensibili esistono doveri particolari in capo al titolare del trattamento, infatti occorre il
consenso scritto al trattamento, nonché la notificazione al Garante. I casi di notifica al Garante sono
stati ridotti notevolmente, ormai alle sole ipotesi nelle quali il trattamento sia suscettibile di arrecare
pregiudizio al titolare dei dati.

Più facilmente possiamo dire che nome, cognome, data di nascita, indirizzo, email, sesso.... sono dati facili
da definire mentre costituiscono "dato tecnico", ad esempio, la traccia che noi lasciamo quando navighiamo
su internet e ci spostiamo da un sito all'altro.

Possiamo solo immaginare quanto questi dati siano importanti e quanto tutti noi abbiamo il diritto di sapere
tutto a riguardo le informazioni che ci sono sul nostro conto e come queste informazioni vengo utilizzate,
come vengono trattate, come vengono custodite, chi le ha raccolte, come, chi ha autorizzato il trattamento dei
nostri dati, chi è il responsabile etc. etc.

Con il GDPR, tutte le nazioni che fanno parte dell'UE, in contemporanea ed all'unanimità, a partire dal 25
Maggio 2018 adotteranno il Nuovo Regolamento Per la Protezione dei Dati Personali (privacy).

Ma perché proprio ora? Perché si dice che sia il momento giusto per prendere consapevolezza di questa
realtà che la maggior parte di noi ignora per pura ignoranza o perché si reputi l'argomento di poco conto.

Non c'era una linea guida chiara e ben definita che spiegasse correttamente a tutti cosa andrebbe fatto per
tutelare la protezione dei dati. Il perché si è giunti a questo Regolamento interessa anche i motivi che
spingono determinate aziende a chiedere il permesso al trattamento dei nostri dati, che utilizzo ne vogliono
fare, come intendono custodirli, a chi vorrebbero "girarli", per quanto tempo intendono tenerseli. Tutte
queste informative devo essere ovviamente chiare, trasparenti, esplicite, coese.

Facciamo un esempio:

Decidiamo di andare a mangiare in ristorante con la famiglia allora telefoniamo e prenotiamo il tavolo
"Buongiorno, sono Mura, vorrei prenotare un tavolo per 2 adulti e 1 bambino, contiamo di arrivare intorno
alle 21, possiamo preferibilmente avere un tavolino vicino ai giochi per bambini?". in questo caso abbiamo
fornito al ristorante dei dati, abbastanza contestualizzati che verranno trattenuti fino a fine serata perché
abbastanza contestualizzati alla sola cena. Ad oggi, però, alcuni ristoranti (giusto per rimanere in tema)
offrono anche la possibilità di prenotare tramite internet dove si può scegliere il menù, dire se si è allergici a
qualche cosa, se si è vegani etc. etc., In questo caso dovrebbe essere somministrata, al cliente, l'informativa
dove viene scritto il perché vengono chiesti questi dati, come verranno archiviati, con quale format di
sicurezza, a chi verranno dati, per quanto tempo etc. etc.

Per chi è questo regolamento? a chi si rivolge?

Beh, si rivolge a tutti i cittadini dell'UE, siano essi consumatori, lavoratori, responsabili, titolari di aziende,
enti pubblici, organizzazioni, società ovvero tutti colori che entrano in contatto con i dati personali di altre
persone.

Ovviamente questo è un regolamento traccia delle linee guida al trattamento dei dati quindi è rivolto
essenzialmente alle aziende e a tutti quelli che all'interno di esse trattano i dati altrui ma è anche rivolto a
tutti i cittadini per stimolarne, appunto, l'attenzione che dovrebbe essere posta su tale argomento.

Andando un poco nello specifico, all'interno dei un'azienda, pubblica o privata, che tratta i dati personali,
esistono ovviamente vari "livelli":

TITOLARE : (del trattamento dei dati) che è l'azienda in senso lato dei suoi rappresentanti

RESPONSABILE (del trattamento dei dati) che è nominato dal titolare e ha la co-responsabilità,
insieme al titolare. Il responsabile a sua volta può avere e nominare dei collaboratori

DPO: (Data Protection Officer, oppure in italiano RPD - Responsabile Protezione Dati ).

In base al nuovo regolamento, dal punto di vista dell'azienda, dobbiamo rendere noto al
cliente/consumatore/cittadino di ciò che gli stiamo chiedendo, con quale scopo, per quanto tempo, in che
modo, a chi... insomma… dobbiamo fornirgli tutte quelle informazioni per fargli fare una scelta consapevole
sul fatto di fornire o meno il consenso al trattamento dei dati personali.

Andiamo a vedere quali sono i temi fondamentali del nuovo Regolamento e quali sono le linee guida

CONSENSO : il consenso deve essere esplicito, libero, chiaro, informato, inequivocabile e non è ammesso
quello tacito. Non deve essere necessariamente essere scritto anche se questa forma è la più
idonea a configurare l'inequivocabilità del consenso. Il consenso dei minori è valido a partire
dai 16 anni [prima è necessario il consenso dei genitori]. Le caselle pre-spuntate non sono
contemplate e, il consenso, deve essere manifestato attraverso "dichiarazione o azione
inequivocabile".
Con il Regolamento viene introdotto il principio di responsabilizzazione del titolare del trattamento.

In altre parole, prima dell'entrata in vigore di codesto regolamento (25-5-18), veniva detto alle aziende "fai
questo!" ed erano apposto per quanto riguarda il trattamento dei dati. Ora, invece, succede che il regolamento
ti dice quali sono i diritti che bisogna rispettare e le aziende devono adottare tutte le misure necessarie per
tutelare questi diritti; in caso di controllo del Garante, è l'azienda che deve dimostrare di essere in linea con il
regolamento e spetta al Garantire stesso stabilirlo.

INFORMATIVA : i contenuti dell'informativa sono elencati in modo tassativo nel regolamento in


particolare il titolare deve sempre specificare i dati di contratto del DPO che è una
figura nuova introdotta con questa normativa, una sorta di responsabile alla sicurezza ai
lavoratori, ma per il trattamento dei dati. Il DPO è obbligatorio solo per le aziende che
trattano i dati su larga scala. L'informativa deve:

• specificare il suo interesse verso i dati richiesti


• specificare se verranno trasferiti o meno in paese terzi e con quali strumenti
• specificare il periodo di conservazione dei dati
• deve essere fornita entro un termine ragionevole che non può superare 1 mese

MODALITA' DELL'INFORMATIVA

L'informativa deve essere chiara, trasparente, coincisa, facilmente accessibile dall'interessato e con un
linguaggio chiaro e semplice.

Deve essere, in linea di principio, per iscritto e preferibilmente in formato elettronico.

L'informativa deve essere fornita all'interessato prima della raccolta dei dati.

Dal 25-5-18, per noi cittadini, cambia molto in tema di privacy perché verrà applicato il GDPR il quale ha
cambiato l'approccio alla materia, prendendo atto del fatto che la riservatezza dei dati è un obbiettivo molto
importante, seppur quasi utopistico perché con le nuove tecnologie è molto difficile proteggere i dati.
L'importanza di queste linee guida passa anche attraverso il riconoscimento di nuovi diritti e di quelli
riconosciuti le direttive precedenti. Fondamentale sapere che i tempi di risposta del titolare del trattamento,
verso richiesta dell'interessato dei dati, deve avvenire entro 1 mese per tutti i diritti, che sono estendibili a 3
mesi in caso di particolari complessità, il riscontro deve avvenire in forma scritta, chiara, trasparente,
semplice. L'esercizio dei diritti è, in linea di principio, gratuita per l'interessato.

Vediamo adesso alcuni diritti fondamentali:

DIRITTO DI ACCESSO (art. 15) → L'interessato ha il diritto di ottenere dal titolare del trattamento la
conforma che sia o meno in corso un trattamento dei dati personali che lo
riguardano e in tal caso, di ottenere l'accesso ai personali alle seguenti
informazioni:

• finalità del trattamento


• categorie dei dati personali in questione
• i destinatari a cui i dati personali sono stati o saranno comunicati
• periodo di conservazione dei dati personali previsto
• l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la
rettifica o la cancellazione dei dati personali o la limitazione del trattamento
• diritto di proporre reclamo all'autorità di controllo
• fornire una copia dei dati al diretto interessato entro 1 mese dalla richiesta

DIRITTO DI CANCELLAZIONE (art 17 / diritto all'oblio) → L'interessato ha il diritto di ottenere dal


titolare del trattamento la cancellazione dei dati personali che lo riguardano
senza ingiustificato ritardo e il titolare del trattamento ha l'obbligo di cancellarli.
Inoltre, se il titolare del trattamento ha reso pubblici i dati personali, egli è
obbligato a cancellarli in qualsiasi altro link, copia o riproduzione essi possano
comparire.

DIRITTO DI LIMITAZIONE DEL TRATTAMENTO ( art 18 ) → L'interessato ha diritto di ottenere dal


titolare del trattamento la limitazione del trattamento quando ricorre una delle
seguenti ipotesi :

• l'interessato contesta l'esattezza dei dati personali


• il trattamento è illecito
• l'interessato si è opposto al trattamento dei dati.

DIRITTO ALLA PORTABILITA' DEI DATI ( art. 20 ) → L'interessato ha il diritto di ricevere in un


formato strutturato, di uso comune e leggibile da dispositivo automatico i dati
personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di
trasmettere tali dati a un altro titolare del trattamento senza impedimenti da
parte del trattamento cui li ha forniti. Questo nuovo diritto non si applica ad
archivi o registri cartacei ma solo ai dati trattati con il consenso dell'interessato
o sulla base di un contratto stipulato.
Continuando a leggere gli articoli del GDPR, che sappiamo essere composto da 99 articoli divisi in "capi"
(sezioni) che trattano argomenti diversi tipo:

disposizioni generali
principi
diritti dell'interessato (ne abbiamo appena visti qualche d'uno)
titolare del trattamento e responsabile del trattamento
trasferimenti di dati personali
autorità di controllo indipendenti
cooperazione e coerenza
etc etc

http://www.privacy-regulation.eu/it/index.htm

.... troviamo gli articoli che riguardano il titolare del trattamento ed il responsabile e più precisamente, l'art.
26 introduce una grande novità, ossia la contitolarità del trattamento :

Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento,
essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le
rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal presente regolamento, con
particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle
informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano
determinate dal diritto dell'Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale
accordo può designare un punto di contatto per gli interessati.

Quanto detto si può esprimere in altre parole:

il Titolare del trattamento dei dati (ossia l'azienda pubblica o privata che tratta i dati di un determinato
"soggetto") designa un Responsabile del trattamento attribuendogli specifici compiti definendoli sotto il
punto di vista della "natura", durata, finalità del trattamento, misure e tecniche organizzative adeguate a
consentire il rispetto delle istruzioni impartite dal titolare dei dati e delle disposizioni contenute nel
regolamento. A sua volta il Responsabile può nominare dei sub- responsabili/collaboratori per eseguire
specifiche richieste / compiti sempre nel rispetto del contratto.

I Responsabili sono tenuti ad adottare il Registro dei Trattamenti Svolti disciplinato dall'art. 30

http://www.privacy-regulation.eu/it/30.htm
Il registro è quindi obbligatorio per tutte quelle aziende pubbliche o private che hanno più di 250 dipendenti
e per tutte quelle aziende che effettuano trattamenti a rischio. E' uno strumento fondamentale sia ai fini della
supervisione del Garante e sia per avere un quadro aggiornato dei trattamenti in essere all'interno di
un'azienda o di un soggetto pubblico; deve avere la forma scritta, anche elettronica ed essere esibito, su
richiesta, al Garante.

Tornando un attimo al discorso accennato prima sulla responsabilizzazione, continuiamo dicendo che il
Regolamento pone con forza l'accento su questo punto; si è voluto che il titolare ed il responsabile adottino
comportamenti tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del
regolamento.

Osservazione personale: prima del regolamento il Garante diceva "fai cosi" e se le aziende facevano cosi...
qualsiasi cosa succedesse ai dati in loro possesso...potevano comunque dispensarsi perché gli erano stati dati
degli ordini. Adesso che non vengono impartiti dei comportamenti ma degli obbiettivi, le aziende sono
responsabili al 100x100 su quello che succede perché evidentemente non hanno preso le "misure" giuste atte
a rimanere in linea con il regolamento e salvaguardare i diritti.

Infatti, viene affidato al titolare il compito di decidere autonomamente le modalità, le garanzie e i limiti del
trattamento dei dati personali nel rispetto delle disposizioni normative.

Il criterio molto importante è sintetizzato nell'art.25:

Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che
siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità
del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del
trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono
che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di
persone fisiche senza l'intervento della persona fisica.

Un altro aspetto di fondamentale importanza è quello relativo alla sicurezza, art.32:

Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e
delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà
delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure
tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che
comprendono, tra le altre, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei


sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di


incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e
organizzative al fine di garantire la sicurezza del trattamento.

2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal
trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non
autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque
trattati.

Un ulteriore aspetto di assoluta importanza è quella che riguarda il Trasferimenti di dati verso Paesi terzi e
organismi internazionali, art.45:

Il trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale è ammesso se la


Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all'interno del paese
terzo, o l'organizzazione internazionale in questione garantiscono un livello di protezione adeguato. In tal
caso il trasferimento non necessita di autorizzazioni specifiche.

Autorità di controllo

Il GDPR disciplina dagli artt. 51 al 54 l’indipendenza dell’autorità di controllo, mentre dagli artt. 55 al 59 la
competenza, i compiti ed i poteri di tale autorità.
In merito all’indipendenza dell’autorità di controllo si può dire che il GPDR impone ad ogni singolo stato
membro dell’UE di dotarsi di un’Autorità pubblica indipendente preposta ad esercitare un controllo sulle
attività disciplinate dal regolamento e a darne applicazione. L’indipendenza di tale Autorità è disciplinata
dall’art. 52 del GDPR, le cui attività svolte devono essere esercitate sempre nel rispetto del regolamento e
non devono essere soggette a pressioni sia interne che esterne all’Autorità. L’indipendenza sancita dal
predetto articolo si estende altresì ad una sorta di autonomia sia sotto il profilo di risorse umane che di
carattere finanziario ed è dovere di ogni Stato membro provvedere in tal senso a fornire personale,
infrastrutture, e risorse finanziarie per consentire l’indipendente esercizio delle funzioni attribuite dal
regolamento.
In merito alla competenza dell’Autorità di Controllo disciplinata dall’art. 55 del GDPR, va sottolineato che
l’esercizio della funzione di controllo va esercitata solo nell’ambito della competenza territoriale dello Stato
membro.

In relazione ai compiti dell’Autorità di Controllo disciplinati dall’art. 57 del GDPR, essi sono elencati nel
comma 1 del predetto articolo e si possono sintetizzare nell’attività di sorveglianza e di assicurazione
dell’applicazione del regolamento, trattazione dei reclami proposti dagli interessati, collaborazione e scambio
di informazioni tra Autorità paritetiche degli altri Stati membri ecc. ecc.
I poteri attribuiti all’Autorità di Controllo sono disciplinati dall’art. 58 del GDPR e si possono sintetizzare in
poteri di indagine e poteri correttivi e poteri autorizzativi.

Attività di cooperazione e coerenza

L’attività di cooperazione è uno dei principi cardine su cui opera l’intero apparato di controllo. Le attività di
cooperazione sono intese in senso verticale ovvero dalle Autorità di Controllo interessate verso l’Autorità di
Controllo Capofila e viceversa. L’attività di cooperazione si concretizza nello scambio di informazioni e si
basa sul principio di reciproca assistenza. La richiesta di assistenza prevista dall’art. 61 del GDPR è una
procedura che più di ogni altra evidenza il principio di cooperazione tra le Autorità. Tale procedura tuttavia
può avere dei veti laddove sia manifesta la non competenza a trattamento dei dati o laddove l’accoglimento
della richiesta di assistenza violi le norme del regolamento.
Il principio di cooperazione si concretizza anche attraverso la conduzione di operazioni congiunte tra le varie
Autorità di Controllo che si concretizzano nello svolgimento di indagini e l’applicazione di misure di
contrasto.
In tema di coerenza il GDPR richiama appunto il principio di cooperazione stabilito negli articoli precedenti
inserendo nell’ambito della cooperazione la figura della Commissione la quale partecipa alle attività
congiunte delle varie Autorità di Controllo di ogni Stato membro. Ciò posto al fine di dare una coerente
applicazione del regolamento.

Comitato Europeo per la Protezione dei dati

Attraverso il GDPR viene istituito un nuovo organismo in seno all’Unione Europea il Comitato Europeo per
la Protezione dei dati previsto dall’art. 68, rappresentato da un Presidente e composto da un rappresentante di
ogni Autorità di Controllo di ogni Stato membro. Il Comitato è un organismo indipendente ed ha tra i suoi
vari compiti quello di sorvegliare e garantire la corretta applicazione del regolamento, è di supporto alla
Commissione attraverso attività di consulenza, pubblica linee guida relative alla corretta applicazione del
regolamento ecc. ecc.. Uno dei Compiti del Comitato è quello di redigere una relazione periodica da
pubblicare e da trasmettere alla Commissione, al Consiglio e al Parlamento Europeo.

Ricorsi e sanzioni

Il GDPR prevede nel suo testo dei rimedi messi a disposizione ai cittadini per adire alle Autorità poste a
tutela dei propri dati laddove questi ritengano siano state violate le disposizioni del regolamento GDPR.
Il primo rimedio che il GDPR disciplina è il diritto di reclamo all’Autorità di controllo dello stato membro
ove si ritiene siano stati violati i precetti del regolamento. Art. 77 GDPR.
Il regolamento disciplina poi il diritto di proporre ricorso giurisdizionale rispettivamente negli artt. 78 e 79
GDPR. La differenza sostanziale va trovata nel destinatario del ricorso che per quanto riguarda il primo caso
è diretto all’Autorità di Controllo, nel secondo caso al titolare o al responsabile del trattamento dei dati. In
entrambi i casi disciplinati dagli artt. 78 e 79 GDPR, il ricorso va proposto alle autorità giurisdizionali dello
Stato membro ove ha luogo l’autorità di Controllo o il titolare o responsabile del trattamento dei dati.
In tema di sanzioni il GDPR assegna ad ogni singolo stato membro di decidere in autonomia quali sanzioni
siano ritenute più idonee in seno alla violazione del regolamento.