Legge sulla Privacy: GDPR

Che cos’è
Il GDPR, sigla di General Data Protection Regulation, è il regolamento europeo su privacy e dati entrato in vigore il 25 maggio 2018 ed è relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.
Gli obbiettivi del GDPR sono: Cittadini più garantiti ovvero tenere al sicuro i dati personali degli utenti processati dalle aziende, Sviluppo mercato digitale, che si basa sul unificare la normativa per tutti gli stati membri dell’UE e l’Adeguamento che si implica ad adeguare la normativa agli sviluppi tecnologici e ai nuovi modelli di crescita economica considerando l’elevato rischio legato alla rete informatica e alla circolazione dei dati che questa ha innescato.

Le norme
In breve il documento impone che:
1. Le informazioni di informative e le richieste di consenso siano più chiare
2. Vengano erette le fondamenta di nuovi diritti per i cittadini
3. Siano stabiliti i limiti del trattamento automatizzato dei dati personali e siano definiti i parametri per il trasferimento dei dati fuori dall’Europa
4. Vengano imposte regole rigide relativamente ai casi di violazione dei dati

Queste norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le nuove regole. Imprese ed enti avranno più responsabilità e caso di inosservanza delle regole rischiano pesanti sanzioni.

Cosa prevede
La nuova normativa punta a rendere più semplici e moderni alcuni aspetti della gestione dei dati personali, provocando notevoli cambiamenti per utenti e addetti ai lavori. Proprio chi fornisce servizi su internet sarà tenuto ad allinearsi al nuovo regolamento, chiedendo il consenso esplicito dei clienti per l’utilizzo dei dati.

Principi introdotti dal GDPR
Il GDPR sostituirà quindi a tutti gli effetti l’attuale Decreto Legislativo del 30 giugno 2003 n. 196 «Codice in materia di protezione dei dati personali» e imporrà alle Organizzazioni destinatarie una serie di adeguamenti che dovranno essere pianificati per tempo con particolare riferimento ai seguenti aspetti:
1. Raccogliere e proteggere i dati personali nel modo corretto
2. Privacy by Design
3. Breach notification
4. Nomina di un Data Protection Officer (DPO)
5. Anonimizzazione e pseudonimizzazione
6. Obbligo di formazione

Obblighi principali
Da tenere in considerazione l’istituzione di un registro delle attività, la notifica delle violazioni entro 72 ore e la designazione di un «responsabile protezione dati» (articolo 37). Per quanto riguarda il consenso, l’azienda deve chiedere il via libera «in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro (al contrario delle vecchie e chilometriche informative, ndr)».
Sul fronte del registro di trattamento, si obbligano i titolari a dotarsi di un registro delle attività dove si elencano le finalità dell’elaborazione dei dati, i destinatari, l’eventuale scadenza per la loro cancellazione.

Approfondisci meglio l’argomento qui.