Cos’è il GDPR?
GDPR è l’acronimo per General Data Protection Regulation e si riferisce al Regolamento dell’Unione Europea per la protezione dei dati, approvato nel 2016 ed entrato in vigore il 24 maggio 2018, applicabile già dal giorno successivo, in tutti gli stati membri dell’Unione. Il GDPR è uno strumento utilizzato dalla Commissione Europea nell’ambito delle politiche per lo sviluppo dell’economia digitale; è una materia piuttosto complessa, che interessa diversi punti strategici di un’azienda.
GDPR Cos’è
Il GDPR, quindi, è l’insieme delle norme che regola, in tutta l’Europa, la raccolta, la protezione e il trattamento dei dati personali dei cittadini ovvero delle persone fisiche. Quando si parla di dati personali, ci si riferisce sia a nomi, cognomi, date di nascita, ma anche, ad esempio, a numeri di carte di credito, notizie di carattere sanitario, informazioni sulla posizione o sul reddito. Il regolamento attuale, che tiene conto dei rapidi mutamenti del mondo digitale, è volto a fornire ai cittadini europei il completo controllo sui propri dati personali; nello stesso tempo, ha lo scopo di semplificare l’insieme delle norme da rispettare, per le aziende o le società che offrono beni e servizi e si occupano del trattamento o della gestione dei dati, indipendentemente dal Paese in cui stabiliscono la propria sede legale e da quello in cui i dati sono elaborati. Nel ridisegnare il concetto di privacy, il GDPR ha introdotto delle norme specifiche sui diritti dei soggetti coinvolti, le modalità di trattamento e di comunicazione in caso di violazione dei dati, l’identificazione dei soggetti direttamente responsabili dei dati stessi, le sanzioni da applicare a chi infrange il regolamento.
Informativa privacy GDPR
La richiesta del consenso alla raccolta e al trattamento dei dati personali, quando i cittadini li debbano fornire per accedere ad un qualsiasi servizio, va loro sottoposta spiegando i termini e le condizioni che lo regolano, con un linguaggio che sia chiaro e comprensibile per tutti; gli stessi criteri valgono per gli strumenti con cui gli utenti esprimono il proprio consenso. Inoltre, deve essere data l’indicazione della finalità per cui vengono raccolti i dati, della durata di tempo in cui vengono conservati, dell’eventualità che altri soggetti vi abbiano accesso, del nominativo di colui che è titolare del loro trattamento. Il consenso alla raccolta e al trattamento dei dati, che deve essere esplicito, può essere revocato in ogni momento. L’utente che abbia fornito i propri dati e acconsentito al loro trattamento, deve potervi accedere e scaricarli; qualora decida di revocare il consenso al trattamento dei propri dati, ha il diritto di chiedere che i dati inseriti nel sistema siano cancellati in modo definitivo; ha anche il diritto di ricevere i propri dati personali, così come sono stati raccolti, in formato digitale, per poterli trasferire ad un’altra azienda.
Adempimenti GDPR
Le aziende, per essere in linea con i principi dettati dal GDPR, devono, all’occorrenza, modificare la procedura con cui vengono raccolti ed elaborati i dati dei soggetti interessati, affinché sia conforme al nuovo regolamento; devono richiedere, ai propri visitatori o clienti, un consenso esplicito alla raccolta dei dati; garantire il potenziamento del livello di protezione dei dati; consentire agli utenti di scaricare i propri dati personali inseriti; verificare che eventuali partner o fornitori rispettino i principi dettati dal GDPR; nominare un Responsabile per la Protezione dei Dati. Il titolare del trattamento dei dati, o Data Protection Officer, ha il compito di comunicare all’Autorità Garante per la Privacy, entro 72 ore dal momento in cui ne prende atto, eventuali violazioni che possano essere lesive dei diritti e delle libertà individuali; inoltre, egli deve mettere in atto delle procedure per reagire ai data breach che hanno reso possibili le violazioni stesse e comunicare agli utenti, in un modo chiaro e comprensibile, le informazioni sulla strategia adottata per tutelarli. In caso di mancato adeguamento alle regole dettate dal GDPR, le aziende rischiano una sanzione fino a 20 milioni di euro, oppure per una cifra corrispondente al 4% del fatturato annuo.
