Il GDPR è un insieme di regole volte a regolare la protezione e il trattamento dei dati a livello europeo.
IL GDPR è un regolamento con il quale il Parlamento Europeo, il Consiglio dell’Unione Europea e la Commissione Europea intendono rafforzare e unificare la protezione dei dati per tutti gli individui all’interno dell’Unione Europea (UE). Si occupa anche dell’esportazione di dati personali al di fuori dell’UE. L’obiettivo principale del GDPR è fornire ai cittadini e ai residenti il controllo sui propri dati personali e semplificare l’ambiente normativo per gli affari internazionali unificando la regolamentazione all’interno dell’UE. Quando il GDPR entrerà in vigore, sostituirà la Direttiva sulla protezione dei dati (ufficialmente Direttiva 95/46/CE) del 1995. Il Regolamento è stato adottato il 27 aprile 2016. Diventa esecutivo dal 25 maggio 2018 dopo un periodo di transizione di due anni e, a differenza di una direttiva, non obbliga i governi nazionali ad approvare alcuna legislazione abilitante, rendendola direttamente vincolante ed esecutiva.
Perché è stato scritto il GDPR?
Le ragioni alla base del GDPR sono due. In primo luogo, l’UE vuole dare alle persone un maggiore controllo su come vengono utilizzati i loro dati personali , tenendo presente che molte aziende come Facebook e Google scambiano l’accesso ai dati delle persone per l’utilizzo dei loro servizi. L’attuale legislazione è stata emanata prima che Internet e la tecnologia cloud creassero nuovi modi per sfruttare i dati e il GDPR cerca di affrontarlo. Rafforzando la legislazione sulla protezione dei dati e introducendo misure di attuazione più rigorose, l’UE spera di aumentare la fiducia nell’economia digitale emergente.
In secondo luogo, l’UE vuole offrire alle imprese un contesto giuridico più semplice e chiaro per operare, rendendo identica la legge sulla protezione dei dati in tutto il mercato unico (l’UE ritiene che ciò farà risparmiare alle imprese 2.300 milioni di euro all’anno).
Quindi, a chi si applica il GDPR?
I “titolari” e i “responsabili del trattamento” dei dati devono attenersi al GDPR. Un titolare del trattamento indica come e perché i dati personali vengono trattati, mentre un responsabile del trattamento è il soggetto che effettua l’effettivo trattamento dei dati. Pertanto, il controllore potrebbe essere qualsiasi organizzazione, da una società a scopo di lucro a un ente di beneficenza o governo. Un responsabile del trattamento potrebbe essere un’azienda IT che esegue l’effettiva elaborazione dei dati.
Anche se i titolari e gli incaricati del trattamento sono al di fuori dell’UE, il GDPR si applicherà comunque a loro purché si tratti di dati appartenenti a residenti nell’UE.
È responsabilità del responsabile del trattamento garantire che il suo responsabile del trattamento rispetti la legge sulla protezione dei dati e gli incaricati del trattamento devono rispettare le regole per la conservazione dei registri delle loro attività di trattamento. Se i responsabili del trattamento sono coinvolti in una violazione dei dati, sono molto più responsabili ai sensi del GDPR di quanto non lo fossero ai sensi della legge sulla protezione dei dati.
Cosa sono i dati personali ai sensi del GDPR?
L’UE ha ampliato notevolmente la definizione di dati personali ai sensi del GDPR. Per riflettere i tipi di dati che le organizzazioni attualmente raccolgono sulle persone, gli identificatori online come gli indirizzi IP sono ora considerati dati personali. Anche altri dati, come informazioni finanziarie, culturali o sulla salute mentale, sono considerati informazioni d’identificazione personale.
I dati personali pseudonimi possono anche essere soggetti alle regole del GDPR, a seconda di quanto sia facile o difficile identificare quali siano i dati.
Tutto ciò che è stato considerato dati personali ai sensi della legge sulla protezione dei dati si qualifica come dati personali anche ai sensi del GDPR.
Quali sono le novità del GDPR?
In seguito all’applicazione delle regole del GDPR (quindi a partire dal 25 maggio 2018), in tutti i Paesi dell’Unione Europea le regole sul trattamento dei dati saranno uniformi, e questo significa che non ci saranno più differenza nazionali ma ci saranno gli stessi diritti per chi acquista e gli stessi doveri per chi vende.
Per tutte le procedure in cui vengono raccolti i dati personali deve essere dato esplicito consenso al trattamento dei dati personali (che può essere revocato in qualsiasi momento) e il fornitore del servizio deve specificare quali tipi di dati personali vengono raccolti e a che scopo vengono usati.
Queste informazioni devono essere inserite nella normativa sulla privacy e il contratto sul trattamento dei dati.
Secondo le nuove regole del GDPR è necessario che:
- Le aziende specifichino che tipo di dati vengono raccolti, perché e come vengono usati
- I visitatori o clienti del sito acconsentano alla raccolta e il trattamento dei dati (avendo sempre l’opzione di poter cambiare idea e revocare il consenso)
- Il cliente o utente deve poter essere in grado di scaricare tutti i dati inseriti nel sistema
- Il cliente o utente può richiedere che i dati inseriti siano cancellati definitivamente secondo il diritto di oblio
Checklist GDPR sui requisiti legali per i siti web
In questa lista, passiamo in rassegna ciò che devi avere sul tuo sito internet per essere conforme al GDPR per quanto riguarda i cookie e il tracciamento:
- Un banner conforme per il consenso ai cookie,
- Una dichiarazione dei cookie aggiornata e dettagliata,
- Memorizzazione sicura di tutti i consensi prestati,
- Possibilità di ritirare il consenso.
Non sei sicuro che il tuo sito web sia conforme al GDPR? Scrivici e noi ti ricontatteremo al prima possibile per darti una consulenza gratuita.
Checklist GDPR su come trattare i dati personali
In questa checklist per il GDPR, andiamo ad analizzare i requisiti per il trattamento dei dati personali.
I dati devono essere:
- elaborati in modo lecito, corretto e trasparente nei confronti dell’interessato,
- raccolti per scopi specifici, espliciti e legittimi e non ulteriormente trattati in modo incompatibile con tali scopi,
- adeguati, pertinenti e limitati a quanto necessario in relazione alle finalità per le quali sono trattati (si parla anche di minimizzazione dei dati),
- precisi e, se necessario, mantenuti aggiornati,
- conservati in una forma che permetta l’identificazione degli interessati per un periodo non superiore a quanto necessario per le finalità per le quali i dati personali vengono raccolti,
- trattati in maniera tale da garantire un’adeguata sicurezza dei dati personali.
Se vuoi approfondire le modalità di trattamento dei dati personali, consulta l’Articolo 5 del GDPR.
Che succede se non ti adegui al GDPR?
Nel caso in cui non ti allinei alle nuove regole rischi una sanzione che, a seconda della gravità della violazione, può arrivare fino a 20 milioni di euro o il 4% del tuo fatturato annuale.
Le multe più elevate che sono state inflitte dal maggio 2018, data di entrata in vigore del GDPR, sono del valore di 50.000.000 € contro Google in Francia, 35.258.708 € contro H&M in Germania, 27.800.000 € contro TIM in Italia e 22.046.000 € contro British Airways nel Regno Unito.
Inscriviti alla nostra newslettter su mloiacono.it per avere più informazione come questa |