Cos'è GDPR?

. Regolamento generale sulla protezione dei dati (GDPR) è una legge completa sulla protezione dei dati emanata dall'Unione Europea (UE) il 25 maggio 2018, per salvaguardare la privacy e i dati personali dei cittadini dell'UE e dello SEE. Impone rigide normative su come le organizzazioni raccolgono, elaborano, archiviano e trasferiscono i dati personali, offrendo agli individui un maggiore controllo sulle proprie informazioni personali e migliorando la privacy e la sicurezza dei dati.

Panoramica del GDPR

  • Legge: regolamento generale sulla protezione dei dati
  • destinazione: Area Economica Europea
  • Firmato: 14-04-2016
  • Data effettiva: 25-05-2018
  • Industria: Le aziende offrono prodotti o servizi ai cittadini dell'UE

Dati personali ai sensi del GDPR

Il GDPR definisce i dati personali come qualsiasi informazione che identifichi una persona direttamente (nome, ID) o indirettamente (dati sulla posizione, identificatori online). Anche i dati apparentemente anonimi possono essere personali se possono essere reidentificati con altre informazioni.

Identificatori diretti: Nome, indirizzo, numero di telefono, indirizzo e-mail, numero di identificazione (ad esempio, numero di previdenza sociale, numero di passaporto).
Identificatori indiretti: Dati sulla posizione (indirizzo IP, coordinate GPS), identificatori online (nomi utente, cookie), dati sanitari, dati genetici, dati biometrici (impronte digitali, riconoscimento facciale), informazioni sull'identità economica, culturale o sociale, ecc.

. Regolamento generale sulla protezione dei dati (GDPR) comprende diversi componenti chiave che costituiscono il fondamento del suo quadro completo di protezione dei dati. Questi componenti includono:

  • Base legale per l'elaborazione
  • Diritti sull'oggetto dei dati
  • Responsabilità e governance
  • Principi di protezione dei dati
  • Misure di sicurezza dei dati
  • Notifica di violazione dei dati
  • Trasferimenti di dati transfrontalieri
  • Valutazioni di impatto sulla protezione dei dati (DPIA)
  • Autorità di vigilanza e di esecuzione

Principio di protezione dei dati

Questi principi costituiscono il fondamento del GDPR e delineano come devono essere gestiti i dati personali:

  • Legalità, correttezza e trasparenza: Il trattamento dei dati deve avvenire nel rispetto della legalità, correttezza e trasparenza nei confronti degli individui.
  • Limitazione dello scopo: Le informazioni devono essere raccolte per scopi distinti, chiari e leciti.
  • Minimizzazione dei dati: Possono essere raccolti solo i dati personali minimi necessari per lo scopo previsto.
  • Precisione: L'accuratezza dei dati è fondamentale e, ove possibile, è essenziale che i dati vengano aggiornati regolarmente.
  • Limitazione dell'archiviazione: I dati devono essere conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore a quello necessario agli scopi del trattamento.
  • Integrità e riservatezza: Devono essere implementate misure tecniche e organizzative adeguate per proteggere i dati da trattamenti non autorizzati o illeciti e da perdite, distruzioni o danni accidentali.
  • Responsabilità: L'organizzazione garantisce il rispetto di tutti i principi del GDPR.

Diritti ai sensi del GDPR

Il Regolamento generale sulla protezione dei dati (GDPR) garantisce agli individui diversi diritti sulla privacy per consentire loro un maggiore controllo sui propri dati. Questi diritti includono:

  • Diritto di accesso: Gli individui possono ottenere conferma dalle organizzazioni se i loro dati sono in fase di elaborazione e, in tal caso, accedere a tali dati insieme alle informazioni rilevanti sul loro trattamento.
  • Diritto di rettifica: Gli individui possono richiedere la correzione di dati personali inesatti o incompleti detenuti dalle organizzazioni, garantendo che le loro informazioni rimangano aggiornate e accurate.
  • Diritto alla cancellazione (Diritto all’oblio): Gli interessati possono richiedere la cancellazione dei dati in determinate circostanze, ad esempio quando i dati non sono più necessari per lo scopo originale o quando revocano il consenso.
  • Diritto alla portabilità dei dati: Gli individui possono richiedere il trasferimento dei propri dati da un'organizzazione all'altra in un formato strutturato, di uso comune e leggibile da una macchina, consentendo uno spostamento più agevole tra i fornitori di servizi.
  • Diritto alla limitazione del trattamento: Gli interessati hanno il diritto di limitare il trattamento dei propri dati in determinate circostanze, ad esempio contestando l'accuratezza dei dati o opponendosi al loro trattamento.
  • Diritto di opposizione: Gli individui possono opporsi al trattamento dei dati per finalità specifiche, quali marketing diretto o elaborazione basata su interessi legittimi, a meno che l'organizzazione non possa dimostrare motivi impellenti che prevalgono sui loro interessi o diritti.
  • Diritti al processo decisionale automatizzato e alla profilazione: Gli individui hanno il diritto di evitare decisioni basate esclusivamente su elaborazione automatizzata o profilazione. Esistono eccezioni quando tali decisioni sono necessarie per obblighi contrattuali o con consenso esplicito.

Chi è tenuto a conformarsi al GDPR?

Sebbene il Regolamento generale sulla protezione dei dati (GDPR) si applichi a un'ampia gamma di organizzazioni che elaborano dati personali, indipendentemente dalle loro dimensioni, posizione o settore, non si applica a tutti. I casi d'uso della sua implementazione abbracciano vari settori e industrie, tra cui sanità, finanza e banche, commercio al dettaglio ed e-commerce, tecnologia e relativi servizi, telecomunicazioni, marketing e pubblicità, istruzione, governo e settore pubblico, produzione e industria, trasporti e logistica, ecc. In genere si applica a:

  • Organizzazioni stabilite nell'UE/SEE
  • Organizzazioni extra UE che elaborano dati UE/SEE.

Eccezioni

Esistono alcune eccezioni all'applicabilità del GDPR, come l'elaborazione di dati personali per attività personali o domestiche. Tuttavia, queste eccezioni sono definite in modo restrittivo ed è meglio consultare un consulente legale per situazioni specifiche.

Rischi normativi

Il GDPR prevede due livelli di sanzioni in base alla gravità della violazione:

Livello 1: fino a 10 milioni di euro, o il 2% del fatturato annuo globale dell'anno finanziario precedente (a seconda di quale sia l'importo più alto), per violazioni come

  • Mancata tenuta di registri adeguati delle attività di elaborazione.
  • Mancata attuazione di misure tecniche e organizzative adeguate per garantire la sicurezza dei dati.
  • Non nominare un responsabile della protezione dei dati quando necessario.
  • Mancata esecuzione delle valutazioni d'impatto sulla protezione dei dati (ove richiesto).
  • Mancata comunicazione alle autorità di controllo o agli interessati di una violazione dei dati.

Livello 2: fino a 20 milioni di euro, o il 4% del fatturato annuo globale dell'esercizio finanziario precedente (a seconda di quale sia l'importo più alto), per violazioni più gravi, tra cui:

  • Le violazioni dei principi fondamentali del trattamento dei dati includono la mancanza di una base giuridica per il trattamento, il mancato ottenimento del consenso o il trattamento dei dati oltre lo scopo specificato.
  • Trattamento di dati personali sensibili senza adeguate garanzie o consenso.
  • Mancato rispetto delle richieste dei diritti dell'interessato, quali accesso, rettifica, cancellazione o portabilità dei dati.
  • Trasferire dati personali a un paese terzo o a un'organizzazione internazionale senza adeguate garanzie o basi giuridiche.
  • Violazione delle condizioni per ottenere un consenso valido al trattamento dei dati.
  • Ignorare gli ordini o le sanzioni imposte dalle autorità di vigilanza.

Autorità di conformità per il GDPR:

L'autorità di conformità per il Regolamento generale sulla protezione dei dati (GDPR) è principalmente affidata alle autorità di vigilanza di ogni stato membro dell'Unione Europea (UE) o dello Spazio economico europeo (SEE). Esempi di autorità di vigilanza includono:

  • Information Commissioner's Office (ICO) – Regno Unito
  • Autorità francese per la protezione dei dati (CNIL)
  • Commissione per la protezione dei dati (DPC) in Irlanda
  • Autoriteit Persoonsgegevens (AP) nei Paesi Bassi
  • Commissario federale tedesco per la protezione dei dati e la libertà di informazione (BfDI)

Inoltre, l'European Data Protection Board (EDPB) garantisce un'applicazione coerente della legge in tutta l'UE/SEE. L'EDPB fornisce linee guida, emette pareri e raccomandazioni e risolve le controversie tra le autorità di controllo.

Come evitare le sanzioni GDPR?

Le organizzazioni possono ridurre al minimo il rischio di pesanti sanzioni adottando misure proattive per la conformità al GDPR, come ad esempio

  • Condurre la mappatura dei dati e l'analisi dei gap
  • Implementare misure tecniche e di sicurezza appropriate come il mascheramento dei dati
  • Ottenere il consenso esplicito al trattamento dei dati
  • Rispondere alle richieste degli interessati in modo rapido ed efficiente
  • Segnalazione delle violazioni dei dati entro i tempi stabiliti
  • Cercare un consulente legale per una guida sulla normativa sulla privacy dei dati

In conclusione, l'autorità di conformità per il Regolamento generale sulla protezione dei dati (GDPR) risiede nelle autorità di vigilanza di ogni stato membro dell'Unione Europea (UE) o dello Spazio economico europeo (SEE). Queste autorità svolgono un ruolo cruciale nel monitoraggio e nell'applicazione della conformità al GDPR all'interno delle loro giurisdizioni, garantendo la protezione dei dati degli individui. Mentre le autorità di vigilanza hanno la responsabilità primaria dell'applicazione, le organizzazioni devono anche dare priorità agli sforzi di conformità interna per rispettare gli standard di protezione dei dati, evitare multe e mantenere la fiducia degli stakeholder.

FAQ

Cos'è il GDPR?

L'Unione Europea (UE) ha promulgato il Regolamento generale sulla protezione dei dati (GDPR) completo nel 2018. Il suo scopo è rafforzare i diritti degli individui in merito ai propri dati e armonizzare le normative sulla protezione dei dati negli stati membri dell'UE.

Quali sono le conseguenze della non conformità al GDPR?

Le sanzioni possono ammontare fino a un massimo di 20 milioni di euro o al 4% del fatturato annuo mondiale della società.

Cosa si intende per dati personali ai sensi del GDPR?

Sì, i dati originali possono essere recuperati utilizzando il processo inverso.

Cosa puoi fare con Solix

Richiedi una demo
Registrati per una prova gratuita e vinci una carta regalo Amex

Partecipa per vincere una carta regalo Amex da 100 $

Risorse

Accedi alle nostre altre risorse correlate

  • Rafforzare l'intelligenza artificiale aziendale: un percorso verso un'intelligenza artificiale affidabile, sicura e conforme
    Webinars su richiesta

    Rafforzare l'intelligenza artificiale aziendale: un percorso verso un'intelligenza artificiale affidabile, sicura e conforme

    Scarica i webinar on-demand
  • Considerare le opzioni di servizi gestiti in un'economia difficile
    Webinars su richiesta

    Considerare le opzioni di servizi gestiti in un'economia difficile

    Scarica i webinar on-demand
  • Rapporto di aggiornamento del mercato della governance dei dati Bloor
    White Papers

    Rapporto di aggiornamento del mercato della governance dei dati Bloor

    Scarica i White Paper
  • Consentire a un colosso assicurativo di affrontare le sfide della gestione dei dati
    Casi di studio

    Consentire a un colosso assicurativo di affrontare le sfide della gestione dei dati

    Scarica case study