Cos'è il GDPR (Regolamento generale sulla protezione dei dati)?

Il Regolamento generale sulla protezione dei dati, comunemente noto come GDPR, è un quadro giuridico che stabilisce le linee guida per la raccolta e il trattamento dei dati personali degli individui che vivono nell'Unione europea (UE). Istituito dal Parlamento europeo e dal Consiglio nell'aprile 2016, ha sostituito la Direttiva sulla protezione dei dati 95/46/ce come legge principale che regola le modalità di protezione dei dati personali dei cittadini dell'UE da parte delle aziende. Il GDPR è entrato in vigore il 25 maggio 2018.

Il GDPR è una normativa importante che ha effetti di vasta portata sul modo in cui le aziende trattano e gestiscono i dati. Il suo obiettivo è quello di armonizzare le leggi sulla protezione dei dati in tutta l'UE e di proteggere i diritti dei cittadini dell'UE in merito ai loro dati personali. Il regolamento si applica a tutte le aziende che trattano i dati personali di persone residenti nell'UE, indipendentemente dalla sede dell'azienda.

Principi chiave del GDPR

Il GDPR si basa su sette principi chiave che costituiscono la base delle norme e dei regolamenti. Tali principi sono la liceità, l'equità e la trasparenza, la limitazione delle finalità, la minimizzazione dei dati, l'accuratezza, la limitazione della conservazione, l'integrità e la riservatezza e la responsabilità. Questi principi non sono regole in sé, ma forniscono piuttosto il contesto in cui le leggi sulla protezione dei dati devono essere applicate e comprese.

Ciascun principio comporta una serie di regole e linee guida, volte a garantire che le aziende e le organizzazioni trattino i dati personali nel rispetto dei diritti e delle libertà individuali. La violazione di questi principi può comportare multe e sanzioni significative.

Legalità, equità e trasparenza

Il principio di liceità, correttezza e trasparenza sottolinea che i dati personali devono essere trattati in modo lecito, equo e trasparente nei confronti dell'interessato. Ciò significa che le aziende devono essere aperte sulle loro attività di trattamento dei dati e non devono utilizzare i dati in modi che potrebbero avere effetti ingiusti o pregiudizievoli sulle persone interessate.

La trasparenza richiede che tutte le informazioni e le comunicazioni relative al trattamento dei dati personali siano facilmente accessibili e comprensibili e che venga utilizzato un linguaggio chiaro e semplice. Ciò è particolarmente importante nelle situazioni in cui viene richiesto il consenso dell'interessato o in cui i dati vengono raccolti direttamente dall'interessato.

Limitazione dello scopo

Il principio della limitazione delle finalità stabilisce che i dati personali devono essere raccolti per finalità specifiche, esplicite e legittime e non devono essere trattati in modo incompatibile con tali finalità. Ciò significa che le aziende devono essere chiare sul motivo per cui raccolgono i dati personali e su cosa intendono fare con essi. Devono inoltre assicurarsi che, se desiderano utilizzare i dati per altri scopi, questi siano compatibili con la finalità originaria o abbiano il consenso esplicito dell'interessato.

Questo principio è strettamente legato ai principi di minimizzazione dei dati e di limitazione della conservazione, che richiedono che le aziende raccolgano solo i dati di cui hanno bisogno per lo scopo specificato e che li conservino solo per il tempo necessario.

Diritti individuali ai sensi del GDPR

Uno degli aspetti chiave del GDPR è il rafforzamento dei diritti che conferisce alle persone, o "interessati", in relazione ai loro dati personali. Questi diritti sono stati concepiti per dare agli individui un maggiore controllo sui loro dati personali e per garantire che le aziende siano trasparenti su come utilizzano tali dati.

Tali diritti comprendono il diritto di essere informati, il diritto di accesso, il diritto di rettifica, il diritto alla cancellazione (noto anche come "diritto all'oblio"), il diritto alla limitazione del trattamento, il diritto alla portabilità dei dati, il diritto di opposizione e i diritti in relazione al processo decisionale automatizzato e alla profilazione.

Il diritto di essere informati

Il diritto di essere informati riguarda il diritto di un individuo di essere informato sulla raccolta e sull'utilizzo dei propri dati personali. Si tratta di un requisito fondamentale di trasparenza ai sensi del GDPR. Quando i dati personali vengono raccolti, direttamente dall'individuo o da una terza parte, l'individuo ha il diritto di essere informato su come verranno utilizzati, con chi verranno condivisi, per quanto tempo verranno conservati e se verranno trasferiti a un paese terzo o a un'organizzazione internazionale.

In pratica, ciò significa che le aziende devono fornire alle persone un'informativa sulla privacy nel momento in cui raccolgono i loro dati personali. L'informativa sulla privacy deve essere concisa, trasparente, comprensibile e facilmente accessibile, scritta in un linguaggio chiaro e semplice e gratuita.

Il diritto di accesso

Il diritto di accesso, noto anche come diritto di accesso, consente alle persone di ottenere una copia dei propri dati personali e altre informazioni supplementari. Aiuta le persone a capire come e perché i loro dati vengono utilizzati e a verificare se l'uso dei loro dati è legittimo.

Le persone possono presentare una richiesta di accesso ai dati personali verbalmente o per iscritto e l'azienda deve rispondere entro un mese. Se la richiesta è complessa o numerosa, l'azienda può prolungare il tempo di risposta di altri due mesi. Se l'azienda rifiuta una richiesta, deve spiegarne il motivo e informare l'individuo del suo diritto a presentare un reclamo all'autorità di vigilanza e a un ricorso giudiziario.

Conformità al GDPR

La conformità al GDPR non è solo una questione di spuntare alcune caselle; il regolamento richiede che siate in grado di dimostrare la conformità ai principi e ai diritti di protezione dei dati stabiliti dal GDPR. Ciò include la dimostrazione di come avete implementato la protezione dei dati nelle vostre operazioni, ad esempio attraverso politiche di protezione dei dati, valutazioni d'impatto sulla protezione dei dati, consenso degli interessati, procedure di notifica delle violazioni e altro ancora.

La mancata conformità al GDPR può comportare multe e sanzioni salate. In base al GDPR, le organizzazioni possono essere multate fino al 4% del fatturato globale annuo o a 20 milioni di euro (a seconda di quale sia il maggiore dei due) per violazione del GDPR. Questa è l'ammenda massima che può essere comminata per le violazioni più gravi.

Valutazioni d'impatto sulla protezione dei dati (DPIA)

La valutazione d'impatto sulla protezione dei dati (DPIA) è un processo progettato per aiutare le organizzazioni ad analizzare, identificare e minimizzare sistematicamente i rischi di protezione dei dati di un progetto o di un piano. È una parte fondamentale dell'attenzione del GDPR alla responsabilità ed è richiesta in determinate situazioni in cui il trattamento dei dati può comportare un rischio elevato per gli interessi delle persone.

Le DPIA sono particolarmente importanti quando viene introdotta una nuova tecnologia di trattamento dei dati o quando un'operazione di profilazione può avere un impatto significativo sulle persone. Se una DPIA indica che il trattamento dei dati è ad alto rischio e non è possibile affrontare in modo sufficiente tali rischi, sarà necessario consultare l'autorità di controllo prima di iniziare il trattamento.

Consenso dell'interessato

Il consenso è una delle basi legali per il trattamento dei dati personali ai sensi del GDPR. Consenso significa offrire alle persone una scelta e un controllo reali. Un consenso autentico dovrebbe mettere le persone al comando, creare fiducia e coinvolgimento e migliorare la vostra reputazione.

Secondo il GDPR, il consenso deve essere dato liberamente, specifico, informato e inequivocabile. Il consenso deve essere positivo e non può essere dedotto dal silenzio, da caselle pre-selezionate o dall'inattività. Deve inoltre essere separato da altri termini e condizioni, e si dovranno prevedere modalità semplici per la revoca del consenso. Il consenso deve essere verificabile e, in genere, le persone hanno più diritti quando ci si basa sul consenso per il trattamento dei loro dati.

GDPR e sicurezza informatica

Il GDPR ha un impatto significativo sulle pratiche di cybersecurity. Il regolamento richiede alle organizzazioni di implementare misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio, tra cui la pseudonimizzazione e la crittografia dei dati personali, la capacità di garantire la riservatezza, l'integrità, la disponibilità e la resilienza continue dei sistemi e dei servizi di trattamento, la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati personali in caso di incidente fisico o tecnico e un processo per testare, valutare e valutare regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento.

Inoltre, il GDPR introduce l'obbligo per tutte le organizzazioni di segnalare alcuni tipi di violazione dei dati personali all'autorità di vigilanza competente. Esse devono farlo entro 72 ore dal momento in cui sono venute a conoscenza della violazione, ove possibile. Se è probabile che la violazione comporti un rischio elevato di ledere i diritti e le libertà delle persone, le organizzazioni devono anche informare tali persone senza ritardi ingiustificati.

Misure tecniche e organizzative

Le misure tecniche e organizzative sono le misure di sicurezza che un'organizzazione mette in atto per proteggere i dati personali in suo possesso da compromissioni accidentali o intenzionali. Sono essenzialmente le misure che aiutano un'organizzazione a raggiungere il livello di sicurezza adeguato al rischio di trattamento.

Tali misure potrebbero includere, ad esempio, la pseudonimizzazione e la crittografia dei dati personali, la garanzia della costante riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di elaborazione, la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati personali in caso di incidenti fisici o tecnici e un processo per testare, valutare e valutare regolarmente l'efficacia di tali misure.

Notifica di violazione dei dati

Ai sensi del GDPR, una violazione dei dati personali è una violazione della sicurezza che comporta la distruzione accidentale o illegale, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai dati personali. Ciò include le violazioni che sono il risultato di cause sia accidentali che intenzionali. Ciò significa anche che una violazione non riguarda solo la perdita di dati personali.

Quando si verifica una violazione di dati personali, è necessario stabilire la probabilità e la gravità del rischio risultante per i diritti e le libertà delle persone. Se è probabile che ci sia un rischio, dovete informare l'autorità di vigilanza competente; se è probabile che ci sia un rischio elevato, dovete informare anche le persone interessate.

Conclusione

Il GDPR è una legge completa sulla protezione dei dati che ha ridisegnato il modo in cui le organizzazioni di tutta la regione affrontano la privacy dei dati. Ha stabilito un nuovo standard per i diritti dei consumatori in merito ai loro dati, ma le aziende dovranno affrontare la sfida di mettere in atto sistemi e processi per conformarsi.

La comprensione del GDPR e delle sue implicazioni è fondamentale per qualsiasi organizzazione che tratti dati di cittadini dell'UE, indipendentemente dalla sua sede. La mancata conformità può comportare multe salate e danni alla reputazione aziendale. Pertanto, è essenziale che le organizzazioni comprendano e implementino le procedure e i controlli necessari per garantire la conformità al GDPR.