Il GDPR (General Data Protection regulation) è un regolamento europeo per la tutela della privacy e la protezione dei dati personali.
Si tratta dei dati inerenti a età, sesso, credo, orientamento politico, “dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art.4) che possono essere manipolati da terzi per fini politici, economici o personali, senza richiedere un consenso di utilizzo all’utente stesso. L’obiettivo del GDPR è di trovare un giusto equilibrio tra la protezione della privacy dei consumatori e le innovative attività delle imprese.
Per questo motivo risulta doveroso che si abbia un maggiore controllo ed è a partire da questa esigenza che entra in campo il GDPR.

Quando il GDPR entrerà in vigore?

Il regolamento doveva entrare in vigore a partire dal 25 maggio 2018. In Italia però, la data è stata posticipata al 21 agosto 2018. Questo perché entro il 21 maggio, il Governo avrebbe dovuto adottare il decreto legislativo con l’adeguamento della normativa italiana, ma senza i pareri delle Commissioni Speciali, non ha potuto compiere questo adattamento tra regolamento europeo e ordinamento italiano.

A chi è rivolto il GDPR?

A tutti coloro che trattengono e gestiscono dei dati personali, dalle informazioni sui dipendenti fino ad arrivare alla profilazione degli utenti online.

Cosa fare per adeguarsi al GDPR?

  1. Rendere sicure le informazioni personali: ogni dipendente di un’azienda, ogni singolo utente online deve essere consapevole dei rischi che possono incorrere sul web, ponendo grande attenzione anche alle procedure di sicurezza. E’ necessario cambiare spesso le password e non lasciare accessibile ad altri l’utilizzo del proprio computer.
  2. Consapevoleza delle nuove informative sulla privacy e sul consenso: è utile sapere come vengono utilizzati i dati, per quanto tempo vengono conservati e secondo quali criteri.
    Inoltre, l’utente deve avere la possibilità di scegliere quali condizioni accettare, quindi non si possono utilizzare moduli pre-compilati o inserire consensi obbligatori.
  3. Trasparenza (rapporto cliente-azienda): le aziende dovrebbero richiedere solo le informazioni personali davvero utili ai fini aziendali, garantendo quindi i diritti delle persone di poter eliminare, modificare o non inserire le informazioni personali online.
  4. DPO: è necessario nominare un DPO (Data protection officer), ossia un Responsabile della protezione dei dati. La designazione del DPO, ai sensi dell’art. 37, primo paragrafo, del GDPR, è obbligatoria in tre ipotesi: se il trattamento di dati personali è effettuato da un’autorità pubblica o da un organismo pubblico; quando le attività principali dell’organizzazione consistono in trattamenti che, richiedono il “monitoraggio regolare e sistematico” degli interessati “su larga scala”; quando le attività principali dell’organizzazione consistono nel trattamento “su larga scala” di dati “sensibili” o “giudiziari”.


Quali sono gli obblighi?

Molti sono gli obblighi da tener presente, come richiedere il consenso in un modo chiaro e trasparente (art.7), avere un registro dei trattamenti (art.30) e la presenza in azienda di un DPO, un Data protection officer (art. 37).
Ricordiamo, che le aziende con meno di 250 dipendenti sono esonerate dall’obbligo di un registro dei trattamenti, a meno che “il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10”.
Coloro che sono obbligati a tenere un registro dei trattamenti sono vincolati ad elencare lo scopo del rilevamento e dell’elaborazione dei dati, chi li riceve e la possibilità di poterli eliminare indicando la rispettiva tempistica.

Cosa comporta violare il regolamento?
Infrangere il regolamento comporta una sanzione, che varia in base alla gravità della violazione: la multa può raggiungere un massimo di 20 milioni o il 4% del fatturato dell’azienda. Questo massimo si può raggiungere per aver violato i principi base del GDPR, come il diritto all’oblio o la trasparenza nel consenso dei dati.