GDPR: cos’è e come prepararsi

Le novità e l’impatto sulle aziende del nuovo Regolamento Generale sulla Protezione dei Dati (GDPR), che entrerà in vigore il 25 maggio 2018 in tutti gli Stati dell’Unione Europea

gdprIl Regolamento Generale sulla Protezione dei Dati (GDPR) entrerà in vigore il 25 maggio 2018 in tutti gli Stati membri dell’Unione Europea. Frutto di diversi anni di lavoro da parte della Commissione Europea, il regolamento è costituito da norme sulla protezione dei dati personali che puntano a due obiettivi principali: dare ai cittadini europei un controllo completo sui propri dati personali e semplificare il quadro normativo per le imprese che gestiscono tali dati. Il GDPR è inteso come uno strumento abilitante del mercato digitale e si inserisce nelle politiche della Commissione Europea per lo sviluppo dell’economia digitale.

Il GDPR sostituisce l’attuale Direttiva 95/46/EC sulla Protezione dei Dati, che risale al 1995. I principi fondamentali in tema di privacy e protezione dei dati sono rimasti invariati, ma il nuovo regolamento tiene conto dei cambiamenti avvenuti negli ultimi anni nel mondo digitale e si applica in tutti gli stati della UE.

Gli aspetti più innovativi del GDPR rispetto alla precedente normativa sono tre: l’extraterritorialità, le sanzioni e il consenso.

Sfoglia il nostro speciale o scarica il Pdf con 46 pagine sul GDPR

GDPR ed extraterritorialità

Le norme del GDPR proteggono i dati dei cittadini europei e si applicano a tutte le società che trattano o gestiscono tali dati, a prescindere dal Paese in cui hanno la sede legale o in cui i dati vengono elaborati. Sono soggette al GDPR le aziende che offrono beni o servizi (a pagamento o meno) o che monitorano il comportamento di individui residenti nella UE.

Le sanzioni nel GDPR

Il GDPR introduce multe economiche per le aziende che non rispettano il regolamento, che possono ammontare fino al 4 per cento del fatturato annuale globale o a 20 milioni di euro. Un’azienda è passibile di sanzione se, per esempio, non ha policy adeguate per il consenso al trattamento dei dati personali o se viola i principi alla base del concetto di “Privacy by Design” (vedi sotto).

Leggi anche: GDPR: il testo ufficiale in italiano, anche in formato .doc e PDF

Nuove norme sul consenso al trattamento dei dati

Le società che raccolgono o trattano dati personali devono spiegare in modo chiaro agli utenti tutte le condizioni che regolano raccolta e trattamento dei dati. È responsabilità di chi raccoglie/gestisce i dati redigere termini e condizioni in un linguaggio semplice, comprensibile a tutti i cittadini, senza possibilità di equivoco. Gli stessi criteri si applicano per gli strumenti attraverso cui l’utente esprime il proprio consenso. È inoltre obbligatorio dichiarare come verranno elaborati i dati richiesti all’utente.

Per approfondire: GDPR: focus sulle norme sul consenso

GDPR: cosa devono sapere le aziende

Il GDPR ridisegna il concetto di privacy introducendo norme specifiche su modalità di trattamento dei dati, diritti dei soggetti interessati, chi è responsabile dei dati, modalità di comunicazione di eventuali violazioni subite, sanzioni per l’infrazione del regolamento.

Per essere conformi al GDPR le aziende devono prepararsi in anticipo, rivendo le proprie policy e, se necessario, adeguandole alle richieste del regolamento. Nel seguito sono illustrati i punti chiave del GDPR, che hanno un impatto operativo sulle società che raccolgono o trattano dati di cittadini europei.

GDPR e notifica delle violazioni

Le aziende hanno l’obbligo di notificare alle autorità competenti e ai soggetti interessati le violazioni di dati che possono mettere a rischio “i diritti e le libertà degli individui”. La notifica deve avvenire entro 72 ore dalla presa d’atto della violazione.

Per approfondire, leggi anche l’articolo GDPR: compliance, rischi e conseguenze in caso di violazione o scarica il white paper Implicazioni dell’obbligo di notifica di violazione dei dati nel GDPR

Il diritto all’accesso ai dati nel GDPR

Le aziende devono garantire agli utenti il diritto di sapere se i loro dati vengono elaborati, dove e a quale scopo. Inoltre, se richiesti, devono fornire i dati personali al soggetto interessato, in modo gratuito e in formato elettronico.

Il diritto all’oblio

Gli utenti hanno diritto alla cancellazione dei propri dati personali. Il diritto si applica quando l’utente non vuole mantenere il consenso al trattamento dei suoi dati e non ci sono ragioni legittime per conservarli.

Per approfondire: Il GDPR tra visibilità, controllo e consenso al trattamento dei dati

Portabilità dei dati

Gli utenti hanno diritto di ricevere i propri dati personali e trasmetterli a un altro ente. Per agevolare il trasferimento, i dati devono essere resi disponibili in un “formato leggibile da una macchina”.

Leggi anche: GDPR: come garantire la conformità per i dati in cloud

Privacy by Design

Il GDPR trasforma in legge un concetto già diffuso, ma considerato solo una best practice. La protezione dei dati deve essere incorporata in prodotti e servizi a partire dalla fase di progettazione degli stessi, e non essere considerata in fasi successive come un elemento aggiuntivo.

Cifratura e pseudonimizzazione

Alle aziende è richiesto di mettere in atto tecniche che garantiscono e tutelano la privacy dei soggetti interessati. Tra queste ci sono la cifratura dei dati, in modo che possano essere letti solo da chi è autorizzato, e la pseudonimizzazione, che consiste nel sostituire campi identificativi in un set di dati con uno o più identificatori artificiali.

Per approfondire: GDPR: le aziende europee sono pronte per la pseudonimizzazione?

Data Protection Officer (Responsabile della protezione dei dati)

Gli enti pubblici e le aziende le cui principali attività implicano “un monitoraggio regolare e sistematico di dati su larga scala” dovranno nominare un Data Protection Officer, che avrà il compito di garantire la conformità dell’azienda al GDPR.

Leggi anche: 5 motivi per cui le aziende hanno bisogno di un Chief Privacy Officer
Il Garante privacy EU bacchetta la Commissione: trattamento illecito attraverso Microsoft 365

Il Garante privacy EU bacchetta la Commissione: trattamento illecito attraverso Microsoft 365

La Commissione europea non ha fornito garanzie adeguate per assicurare che i dati personali trasferiti al di fuori dell'UE/SEE godano di un livello di protezione sostanzialmente equivalente a quello garantito nell'UE/SEE.  »

Francesco Destri // 12.03.2024
Privacy nella Sanità italiana, come snellire la gestione nell’era digitale

Privacy nella Sanità italiana, come snellire la gestione nell’era digitale

Un convegno a Roma evidenzia la necessità di modifiche alle norme e alla loro interpretazione. Il decalogo proposto dalla Società di leadership e management in medicina (Simm)  »

Luigi Ferro // 26.02.2024
Per Awaretrain, la formazione sulla cybersecurity è un gioco

Per Awaretrain, la formazione sulla cybersecurity è un gioco

La società olandese sbarca in Italia e propone Security Awareness Training Platform, training aziendale interattivo basato su video, giochi e test di conoscenza per aumentare la consapevolezza sui rischi di security e su come evitarli  »

Fabrizio Pincelli // 02.02.2024
Ancora una contestazione del Garante Privacy su ChatGPT: verso un nuovo blocco in Italia?

Ancora una contestazione del Garante Privacy su ChatGPT: verso un nuovo blocco in Italia?

Il Garante per la privacy ha contestato a OpenAI non meglio specificate violazioni in materia di protezione dei dati personali. C’è il rischio che si ripeta il blocco di ChatGPT come lo scorso anno?  »

Francesco Destri // 30.01.2024
I media spagnoli fanno causa a Meta: chiesto risarcimento da 550 milioni di euro

I media spagnoli fanno causa a Meta: chiesto risarcimento da 550 milioni di euro

Un gruppo che rappresenta alcuni dei maggiori media spagnoli ha fatto causa a Meta chiedendo 550 milioni di euro come risarcimento per l'inosservanza del GDPR da parte del colosso guidato da Mark Zuckerberg.  »

Francesco Destri // 05.12.2023
Libero Mail come i quotidiani: se non accetti la profilazione, devi pagare

Libero Mail come i quotidiani: se non accetti la profilazione, devi pagare

Rivoluzione per Libero Mail. Se si vorrà continuare ad accedere al servizio gratuitamente, si dovrà per forza dare il proprio consenso ai cookie di profilazione per ricevere pubblicità personalizzata. In caso contrario si dovrà pagare.  »

Francesco Destri // 10.10.2023
Facebook e Instagram verso l’abbonamento: la privacy costerà 13 euro al mese?

Facebook e Instagram verso l’abbonamento: la privacy costerà 13 euro al mese?

Si chiama "Subscription no ads" il progetto che sta sviluppando Meta per far pagare agli utenti UE 13 euro al mese così da usare i social senza pubblicità. Ma la privacy può avere un prezzo?  »

Patrizia Godi // 04.10.2023
Google spegne Universal Analytics: è il momento di cercare alternative?

Google spegne Universal Analytics: è il momento di cercare alternative?

La piattaforma più utilizzata al mondo per le analytics di web e app è stata spenta, sostituita da Google Analytics 4, miglioramento tecnico che però non risolve alla radice i problemi di conformità generati dagli accordi sul trasferimento di dati tra EU e USA, aspetto fondamentale per attività strategiche...  »

Andrea Grassi // 04.07.2023
La modalità incognito di ChatGPT non soddisferà le richieste del Garante

La modalità incognito di ChatGPT non soddisferà le richieste del Garante

Da oggi è possibile disabilitare la cronologia delle chat, evitando così che vengano usate per addestrare le prossime versioni del modello. Una mossa necessaria per attrarre le aziende, ma che non basterà a soddisfare le richieste del Garante italiano, il cui "ultimatum" scade tra due giorni.  »

Andrea Grassi // 27.04.2023
Il Garante Privacy “sospende” ChatGPT: poca chiarezza sull’uso dei dati personali

Il Garante Privacy “sospende” ChatGPT: poca chiarezza sull’uso dei dati personali

Informativa non conforme, mancanza di motivazione giuridica del trattamento, diffusione di dati errati nelle conversazioni e nessun controllo sui minori: OpenAi, che nel frattempo ha bloocato l'accesso agli italiani, ha 20 giorni di tempo per chiarire come intende ottemperare alle disposizioni  »

Andrea Grassi // 31.03.2023
GDPR quattro anni dopo: la parola alle aziende

GDPR quattro anni dopo: la parola alle aziende

Un nuovo report indaga sulle opportunità e gli ostacoli creati dal GDPR, la familiarità delle aziende europee con la legge e le reali azioni intraprese in termini di compliance.  »

Francesco Destri // 30.09.2022
Qualche progresso per il FSE

Qualche progresso per il FSE

La Corte dei conti racconta il back office della Sanità pubblica. La situazione attuale del Fascicolo Sanitario Elettronico  »

Luigi Ferro // 06.07.2022
Gli USA “giustiziano” un algoritmo illegale: va cancellato

Gli USA “giustiziano” un algoritmo illegale: va cancellato

La Federal Trade Commision americana ordina a Weight Watchers di distruggere un algoritmo addestrato con dati di minorenni raccolti illegalmente.   »

Andrea Grassi // 16.03.2022
Le regole dell’UE su rider e “gig economy”: come si governa l’algoritmo?

Le regole dell’UE su rider e “gig economy”: come si governa l’algoritmo?

I sostenitori della proposta di legge della Commissione Europea discutono su come tutti i lavoratori dovrebbero essere protetti dai sistemi di gestione automatizzati e chiedono alle aziende più trasparenza.  »

App per la salute, forte il rischio privacy

App per la salute, forte il rischio privacy

Tutte le app, ma specialmente quelle legate alla salute, devono garantire la massima privacy, ma sembra che molte applicazioni abbiano parecchie lacune da questo punto di vista  »

Luigi Ferro // 06.07.2021
Tre anni dopo… esiste davvero una conformità al GDPR?

Tre anni dopo… esiste davvero una conformità al GDPR?

Il GDPR ha radicalmente trasformato il modo in cui le aziende gestiscono i dati personali in tutto il mondo, ma l'implementazione di un regolamento così importante e complesso comporta ancora oggi delle sfide da superare.  »

Tavola rotonda VMware: i motivi che frenano l’adozione del cloud

Tavola rotonda VMware: i motivi che frenano l’adozione del cloud

In Europa solo un’azienda su tre utilizza il cloud. Durante la tavola rotonda organizzata da VMware sono stati discussi i motivi che portano a questa frizione.   »

Maria Russo // 22.04.2021
I dati tossici che possono danneggiare brand ed editori

I dati tossici che possono danneggiare brand ed editori

Intervista a Francesca Lerario, Managing Director di Ogury per l'Italia, sui rischi legati all'utilizzo di dati dall'origine incerta e i vantaggi di un marketing basato sul reale consenso degli utenti   »

Andrea Grassi // 08.10.2020
Pagina 1 di 6
Condividi