loader

Il General Data Protection Regulation è un regolamento europeo che disciplina il modo in cui le aziende e le altre organizzazioni trattano i dati personali.

È il provvedimento più significativo degli ultimi 20 anni in materia di protezione dei dati. Presenta implicazioni importanti per qualsiasi organizzazione al mondo che si rivolga ai cittadini dell’Unione Europea.

Cosa prevede il GDPR?

La legislazione punta a dare ad ogni individuo il controllo sull’utilizzo dei propri dati, tutelando “i diritti e le libertà fondamentali delle persone fisiche”.  Con questa finalità, stabilisce requisiti precisi e rigorosi per il trattamento dei dati, la trasparenza, la documentazione da produrre e conservare ed il consenso degli utenti.

In quanto titolare del trattamento, ogni organizzazione deve:

  • registrare e monitorare le attività di trattamento dei dati personali. Ciò include i dati personali trattati non soltanto all’interno dell’organizzazione, ma anche da terzi – i cosiddetti responsabili del trattamento.
  • documentare e monitorare le attività di trattamento dei dati personali.

Tra i responsabili del trattamento vi sono figure di diversa natura, come i fornitori di Software-as-a-Service, i servizi incorporati appartenenti a terzi parte, i quali tracciano e profilano i visitatori del sito web dell’organizzazione.

Sia i titolari che i responsabili del trattamento devono essere in grado di rendere conto delle tipologie di dati trattati, dello scopo della loro elaborazione, così come dei Paesi e delle terze parti a cui i dati vengono trasmessi.

Se i dati personali vengono inviati ad organizzazioni o giurisdizioni che non rientrano nel campo di applicazione del GDPR o che non vengono considerati “adeguati” dal GDPR stesso, è necessario che l’utente sia informato in modo specifico su questo aspetto e sui relativi rischi.   

Tutti i consensi devono essere registrati come prova del fatto che il consenso è stato prestato.

Il consenso valido deve essere un’indicazione libera, specifica, informata ed inequivocabile delle intenzioni dell’utente. Una vera e propria azione chiara ed affermativa da parte di quest’ultimo.

Ogni individuo ha  il “diritto alla portabilità dei dati”, il “diritto ad un migliore accesso ai propri dati”, insieme al “diritto all’oblio” e può revocare il proprio consenso in qualsiasi momento. In tal caso, il titolare del trattamento deve cancellare i dati personali dell’interessato se non sono più necessari allo scopo per il quale sono stati raccolti.

In caso di violazione dei dati, l’azienda deve essere in grado di informare le autorità di protezione dei dati e le persone interessate entro 72 ore.

Cosa succede se si viola il Regolamento?

Se si viola il Regolamento scattano delle sanzioni. A seconda della gravità dell’infrazione, le multe sono divise in due scaglioni:

  • fino ad un massimo di 10 milioni di euro o, per le imprese, il 2% del fatturato (se superiore);
  • fino ad un massimo di 20 milioni o il 4% del turnover, sempre per le aziende

La multa più “leggera” (10 milioni o 2% turnover) viene inflitta per la trasgressione di principi come la privacy by design (mancata protezione dei dati fin dalla progettazione) o la carenza di misure adatte a garantire un buon standard di sicurezza.

Quella più pesante (20 milioni o 4% del turnover) arriva in caso di violazione dei princìpi fondamentali, come la negazione del diritto all’oblio o l’opacità nella richiesta di consenso dei dati.

Il Garante alla privacy, a quanto è emerso, dovrebbe allinearsi alla posizione già intrapresa dal suo omologo francese (Commission nationale de l’informatique et des libertés) e consentire una specie di stand-by di sei mesi, dove le aziende ritardatarie possono evitare sanzioni. L’impresa deve comunque mostrare di avere avviato un piano di adeguamento ed essere consapevole delle priorità per rientrare nel perimetro del regolamento.

Lascia un commento

Your email address will not be published. Required fields are marked *

top