GDPR: cos’è? Scopri nella nostra guida cosa il Regolamento generale sulla protezione dei dati significa per te e il tuo sito web.
Cos’è il GDPR
Qual è il significato di GDPR? Il Regolamento Generale sulla Protezione dei Dati, o GDPR (General Data Protection Regulation), è una normativa entrata in vigore il 25 maggio del 2018. Questa normativa è stata introdotta per proteggere i dati personali di tutti i cittadini dell’Unione europea, e sostituisce la Direttiva sulla protezione dei dati del 1995. Questo regolamento si applica a tutte le organizzazioni e a tutti i tipi di società che trattano dati personali all’interno dell’Unione Europea, indipendentemente dalla loro forma giuridica, come una società di capitali, o una società cooperativa. Inoltre, il GDPR viene applicato anche a tutte le compagnie internazionali, che devono confromarsi al GDPR se raccolgono, gestiscono, o trattano i dati personali dei residenti dell’Unione Europea. Così facendo, vengono garantite la protezione e la sicurezza di questi dati secondo gli standard europei.
GDPR significato: Principi fondamentali
Quali sono i principi fondamentali del GDPR? Vediamoli insieme:
Liceità
La liceità richiede la presenza di una base giuridica per ogni trattamento, per assicurare che i dati e il loro trattamento siano conformi alla legge.
Correttezza
La correttezza richiede di essere in grado di eseguire il trattamento dei dati personali in modo non pregiudizievole o discriminatorio , in modo da rispettare i diritti e le libertà degli individui.
Trasparenza
La trasparenza richiede che le informazioni siano sempre comprensibili, utilizzando un linguaggio chiaro e semplice da capire .
Limitazione delle finalità
La limitazione delle finalità richiede che i dati personali degli individui debbano essere utilizzati solo ed esclusivamente per lo scopo per cui sono stati richiesti, senza essere utilizzati per altre finalità.
Accuratezza
Il principio di accuratezza richiede che tutti i dati siano esatti e aggiornati quando necessario. Inoltre, devono essere adottate misure che garantiscano la cancellazione di tutti i dati errati.
Limitazione della conservazione
Il principio di limitazione della conservazione richiede la preservazione dei dati per un arco di tempo non superiore al necessario, come da default, in modo da evitare eventuali problemi, come il rischio di violazioni della privacy.
Sicurezza dei dati
Il principio di sicurezza dei dati richiede che i dati personali degli individui vengano protetti da ogni tipo di minaccia, come la perdita, la distruzione, o un danno accidentale. Questo principio viene garantito utilizzando sistemi di protezione come la crittografia o il controllo degli accessi.
Ottenere e gestire i consensi relativi al GDPR
Se si vuole rispettare la privacy degli individui e rispettare le conformità legali in modo da evitare sanzioni, ottenere i consensi relativi al GDPR è fondamentale. Ma come si fa? Vediamolo insieme:
Informazione chiara
Fornire sempre informazioni su quali dati verranno raccolti, perché verranno raccolti, e come saranno utilizzati è fondamentale. Inoltre, è molto importante farlo utilizzando un linguaggio chiaro e semplice da capire.
Consenso esplicito
Il consenso deve sempre essere fornito in modo esplicito e mai implicito. Ad esempio, il consenso può essere dato spuntando una casella.
Facilità di ritiro
Le persone devono essere in grado di ritirare in qualsiasi momento il proprio consenso, e devono ricevere istruzioni precise su come farlo.
GDPR significato: Diritti degli interessati
Ci sono vari diritti da conoscere per quanto riguarda il GDPR. Vediamoli insieme:
Diritto di accesso
Il diritto di accesso, previsto dal GDPR, consente a tutte le persone di sapere esattamente se i loro dati personali vengono trattati e di ottenere informazioni specifiche a riguardo. Le informazioni sono le finalità del trattamento dei dati, le categorie dei dati, i destinatari, e il periodo di conservazione dei cosiddetti dati. Il diritto di accesso offre inoltre diversi diritti, che sono:
Diritto di rettifica
Il diritto di rettifica permette agli individui di ottenere la correzione dei loro dati personali in caso di errore, garantendo che ciò avvenga entro 72 ore dalla richiesta.
Diritto alla cancellazione
Il diritto alla cancellazione, chiamato anche diritto all’oblio, permette agli individui di veder cancellati i propri dati personali. Questo diritto serve in situazioni in cui i dati non sono più necessari, oppure quando l’individuo revoca il consenso di utilizzare i propri dati.
Diritto alla limitazione del trattamento
Il diritto alla limitazione del trattamento rende possibile agli individui di ottenere la limitazione del trattamento dei dati personali, ma solo durante situazioni specifiche. Per esempio, questo diritto può essere esercitato quando l’individuo si accorge di un errore nei dati personali, o quando vuole semplicemente limitare l’utilizzo di ogni suo dato personale.
Diritto alla portabilità dei dati
Il diritto alla portabilità dei dati consente agli individui di ricevere i dati personali attraverso un formato di uso comune e ben leggibile. Con questo diritto, inoltre, gli individui possono trasmettere i propri dati a un altro titolare del trattamento che deve poterli ricevere senza alcun tipo di impedimento da parte del titolare dei dati precedente.
Diritto di opposizione
Infine, il diritto di opposizione permette agli individui di opporsi al trattamento dei propri dati, qualunque sia il motivo. In questo caso, i titolari del trattamento dovranno smettere immediatamente di trattare i dati dell’individuo, a meno che non dimostrino di avere una motivazione legittima per continuare ad utilizzare questi dati.
Cos’è il GDPR e come garantire la conformità
Le aziende devono soddisfare dei requisiti per garantire la conformità al GDPR. L’elenco dei requisiti che le aziende devono soddisfare per essere conformi al GDPR sono:
- Trasparenza dei dati. Gli interessati vanno informati sull’utilizzo che verrà fatto dei loro dati.
- Consenso esplicito. È obbligatorio chiedere il consenso per il trattamento dei dati agli utenti.
- Diritto di accesso. Si deve garantire agli interessati l’accesso ai dati e, se richiesta, bisogna fornirne loro una copia.
- Diritto di rettifica e di cancellazione. Consente la correzione dei dati errati e anche la cancellazione dei dati non più necessari.
- Protezione dei dati fin dalla progettazione. Va integrata la sicurezza dei dati personali nei processi aziendali sin dalla fase di sviluppo (privacy by design).
- Notifica delle violazioni. In caso di violazione dei dati, bisogna informare le autorità di controllo e gli utenti entro 72 ore.
- Limitazione del trattamento. Bisogna assicurarsi che i dati vengano trattati solo per i motivi specifici e legittimi per cui sono stati raccolti.
- Sicurezza dei dati. Vanno implementate misure tecniche e organizzative adeguate affinché avvenga la protezione dei dati personali.
- Valutazione d’impatto sulla protezione dei dati. È essenziale condurre delle valutazioni per identificare e mitigare i rischi legati al trattamento dei dati.
- Designazione del responsabile della protezione dei dati. Se richiesto, si deve nominare un responsabile della protezione dei dati per garantire la conformità normativa.
Valutazione dei dati personali trattati
Le aziende devono identificare e documentare tutti i dati che vengono raccolti, per poi classificarli in base alla loro sensibilità e alle finalità del trattamento.
Nomina di un Responsabile della Protezione dei Dati
Le aziende, se necessario, devono nominare una persona con le giuste competenze per farla diventare Responsabile della Protezione dei Dati (RPD), che può anche essere chiamata Data Protection Officer (DPO). Questa persona avrà queste responsabilità:
Informare i dipendenti
Dovrà informare i dipendenti dei loro obblighi per quanto riguarda la loro parte nella protezione dei dati personali.
Offrire consulenze
Dovrà fornire consulenze legate alla protezione dei dati e monitorare l’esecuzione.
Monitorare l’azienda
Dovrà controllare che l’azienda sia conforme a tutti gli obblighi richiesti dal GDPR.
Essere un punto di contatto
Dovrà svolgere il ruolo di punto di contatto tra le autorità di controllo dei dati e i diretti interessati.
Valutazione d’Impatto sulla Protezione dei Dati
Le aziende devono condurre una valutazione d’Impatto sulla Protezione dei Dati, o DPIA (Data protection Impact Assessment), per valutare un qualsiasi rischio che può essere legato al trattamento dei dati personali degli individui. La DPIA è necessaria per avere una valutazione degli aspetti personali di una persona, per il trattamento dei dati sensibili, e per il monitoraggio degli spazi pubblici. La DPIA deve includere:
Una descrizione
Nella DPIA deve essere presente una descrizione dei trattamenti previsti.
Una valutazione delle necessità
Deve includere una valutazione delle necessità dei trattamenti.
Una valutazione dei rischi
Deve presentare una valutazione dei rischi per la libertà e i diritti degli individui.
Le giuste misure
Infine, la DPIA deve contenere le misure previste per affrontare determinati rischi, come i “data breach”, le fughe di dati.
Data Processing Agreement (DPA)
Il Data Processing Agreement, o contratto di nomina a responsabile del trattamento, è un contratto in cui il titolare del trattamento nomina una persona responsabile della gestione delle attività e della raccolta e del trattamento dei dati personali. per esempio, questo documento potrebbe essere necessario per incaricare una terza persona della gestione dei pagamenti, o per effettuare spedizioni.
Guida passo-passo su come rispettare le misure di sicurezza legate al GDPR
Ci sono delle misure di sicurezza che vanno rispettate quando si tratta del GDPR. Vediamo quali sono:
Misure di sicurezza legate al GDPR che le aziende devono adottare
Per garantire la sicurezza di tutti i dati personali, le aziende devono seguire delle determinate misure di sicurezza. Vediamo insieme con una guida passo-passo quali sono:
- Valutazione dei rischi
- Passo uno. Devono essere identificati i rischi associati al trattamento dei dati, come delle possibili violazioni dei dati.
- Passo due. Devono essere valutati i possibili impatti di questi rischi.
- Implementazione delle misure di sicurezza
- Passo uno. Devono essere utilizzate misure di sicurezza come la crittografia per la protezione dei dati.
- Passo due. Devono essere implementate misure come le politiche di accesso ai dati degli individui.
- Passo tre. Bisogna assicurarsi che le misure di sicurezza siano adottate in modo adeguato.
- Monitoraggio e aggiornamento
- Passo uno: Le misure di sicurezza devono essere costantemente monitorate per assicurarsi che stiano funzionando in modo corretto .
- Passo due: Le misure di sicurezza devono essere aggiornate quando necessario, per fare in modo che siano pronte a fronteggiare nuove minacce riguardanti i dati.
Sanzioni e conseguenze previste per la non conformità al GDPR
Per le aziende che non rispettano le normative legate al GDPR sono previste diverse sanzioni, che possono essere di natura amministrativa o penale. Queste sanzioni sono:
Sanzioni amministrative
Le sanzioni amministrative possono variare, e possono arrivare a un massimo di 10 milioni €, o al 2% del fatturato annuo dell’azienda per le violazioni meno gravi. Invece, per le violazioni più gravi, le sanzioni possono arrivare a un massimo di 20 milioni di euro, o al 4% del fatturato annuo. Le aziende possono anche essere obbligate a risarcire i danni causati, e possono subire un divieto temporaneo al trattamento dei dati.
È obbligatorio notificare un eventuale violazione dei dati personali entro 72 ore per evitare ulteriori sanzioni.
Sanzioni penali
Le sanzioni penali legate alla non conformità del GDPR possono variare, perchè sono specifiche in base al Paese dell’Unione europea. In Italia, per esempio, le violazioni possono essere punite con pene che arrivano fino a sei anni di carcere .
Esempio di violazione delle normative del GDPR con rispettive conseguenze
Un ottimo esempio da fornire è quello legato al caso dell’Associazione Rousseau, sanzionata per non aver tracciato nel modo corretto gli accessi al proprio database. Queste sono state le conseguenze:
- Sanzione amministrativa. L’Associazione Rousseau ha ricevuto una multa di 50.000 €
- Obbligo di adeguamento. L’Associazione Rousseau è stata inoltre obbligata a rispettare le misure necessarie per essere conforme al GDPR.
Domande frequenti
Cos’è il GDPR?
Il GDPR è un regolamento europeo operativo dal 25 maggio del 2018, utilizzato per rafforzare la protezione dei dati personali all’interno dell’Unione europea.
Cosa si intende nel GDPR per consenso inequivocabile?
Il consenso inequivocabile è una manifestazione di volontà libera dell’individuo, che afferma di dare il suo consenso al trattamento dei propri dati personali.
Cosa si intende per trattamento dei dati personali nel GDPR?
Il trattamento dei dati personali si riferisce a qualunque operazione che viene eseguita utilizzando i dati personali. Queste operazioni includono la raccolta dei dati, l’utilizzo dei dati per inviare e-mail di marketing, e la cancellazione dei dati quando questi non servono più.
Leggi gli altri articoli:
- Ordine di acquisto e fattura: quali sono le differenze fra questi documenti fiscali?
- Nome azienda: come creare un nome migliore
- Generatori di nomi: 13 ottimi servizi per trovare nomi creativi per un'azienda o una start-up
- Numero fattura: cos’è e perché è importante
- F24 semplificato o ordinario: differenze, modalità di compilazione e pagamento dei due moduli
Ultimi articoli
Carta di debito: cos'è, come funziona e come farne richiesta
Aprire un bar: costi, requisiti e modalità
Fattura elettronica per forfettari: obblighi, sanzioni e vantaggi
Inviare la fattura elettronica: Guida completa 2025
Autofattura: cos’è e come si emette
Rimessa diretta: significato e come funziona
Aprire Partita IVA in regime forfettario: come funziona e costi
Condividi post
