Nel 2019 ci sono state quasi 800 violazioni della GDPR ma pochissime sono arrivate alla determinazione della sanzione. Una delle più famose riguarda la Piattaforma Rousseau dei Cinque Stelle multata per 50.000 euro.
Come è facile comprendere la mancanza di dati e di casi è un limite anche per i legali, poiché non essendoci un minimo ma solo un massimo non fa percepire appieno la gravità della situazione.
Un altro aspetto interessante è capire se i dati che le piattaforme Saas che spesso usiamo per inviare mail, o comunque gestire dati degli utenti, sono 100% compliant.
Laddove c’è un dato personale, anche solo il nome, dobbiamo applicare la GDPR, quindi diventa necessario dichiararlo nella privacy policy e nel registro del titolare.
Laddove la piattaforma è esterna e ha i server negli Stati Uniti deve quindi essere nominata responsabile dei dati personali. Fintanto che siamo negli Stati Uniti tutto bene c’è il Privacy Shield: “un meccanismo di autocertificazione per le società stabilite negli USA che intendano ricevere dati personali dall’Unione europea.”
Il problema nasce quando la piattaforma è in India o in paesi dove non ci sono privacy shield e quindi vanno valutate nel dettaglio.
In ogni caso mantenere tutto all’interno dello stesso server in Europa ci porta ad avere tanti meno problemi.