Il GDPR (General Data Protection Regulation), ovvero Regolamento UE n. 679/2016 sulla protezione dei dati personali (o Regolamento sulla privacy), è il più importante cambiamento in materia di privacy sui dati degli ultimi 20 anni. Il testo, pubblicato su Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, inizierà ad avere efficacia il 25 maggio 2018.
L’obiettivo di questo regolamento è di rafforzare e rendere più omogenea la protezione dei dati personali all’interno dei confini dell’Unione europea (UE), rafforzando i diritti e controlli che ogni individuo ha sui propri dati personali.

Le novità del nuovo regolamento

  • Se l’azienda non ha sede in Europa, sarà comunque necessario rispettare il regolamento se tratta dati di soggetti europei
  • La definizione dei dati personali è più ampia. La privacy dei dati comprende altri fattori che potrebbero essere utilizzati per identificare un individuo, come la loro identità genetica, mentale, economica, culturale o sociale. Le aziende dovrebbero adottare misure per ridurre la quantità di informazioni personali che memorizzano e garantire che non memorizzino informazioni per più di quanto necessario.
  • Il consenso dei genitori è necessario per il trattamento dei dati personali dei minori di 16 anni. Gli Stati membri dell’UE possono abbassare l’età che richiede l’autorizzazione dei genitori a 13.
  • Le regole per ottenere il consenso valido sono state modificate
    Il documento di consenso dovrebbe essere redatto in termini semplici. Il silenzio o l’inattività non costituiscono consenso; Deve essere fornito un consenso chiaro e affermativo al trattamento di dati privati.
  • Il GDPR prevede una figura particolare e molto importante, che si aggiunge a quelle “classiche privatistiche” quali titolare e responsabile del trattamento: quella del Data Protection Officer (DPO)
  • Sono state introdotte le valutazioni d’impatto sulla protezione dei dati.
    È necessario adottare un approccio basato sui rischi prima di intraprendere un’attività di elaborazione dei dati a più alto rischio. I controllori dei dati saranno tenuti a condurre valutazioni di impatto sulla privacy in cui i rischi di violazione della privacy sono elevati per analizzare e minimizzare i rischi per i soggetti interessati.
  • Ci sono nuovi requisiti per le notifiche di violazione dei dati.
    I controllori dei dati saranno tenuti a denunciare le violazioni dei dati alla propria autorità di protezione dei dati, a meno che non sia improbabile che rappresenti un rischio per i diritti e le libertà dei soggetti interessati. L’avviso deve essere effettuato entro 72 ore dal momento che i controllori dei dati lo conoscono, a meno che non ci siano circostanze eccezionali, che dovranno essere giustificate.
  • I soggetti interessati hanno il “diritto di essere dimenticati”. Il regolamento fornisce linee guida chiare sulle circostanze in cui il diritto può essere esercitato.
  • Ci sono nuove restrizioni sui trasferimenti di dati internazionali.
    Dal momento che il regolamento si applica anche ai processori dei dati, le organizzazioni dovrebbero essere consapevoli del rischio di trasferire dati a paesi non membri dell’UE. I controllori extracomunitari potrebbero aver bisogno di nominare rappresentanti nell’UE.
  • I processori di dati condividono la responsabilità della protezione dei dati personali.
    I processori di dati avranno obblighi e responsabilità di giuridici diretti, il che significa che i processori possono essere ritenuti responsabili per le violazioni dei dati. Le disposizioni contrattuali dovranno essere aggiornate e stipulare le responsabilità e le responsabilità tra il controllore e il processore saranno un requisito imperativo nei futuri accordi. Le parti dovranno documentare ancora più chiaramente le loro responsabilità in materia di dati e gli aumenti dei livelli di rischio possono avere un impatto sui costi del servizio.
  • Ci sono nuovi requisiti per la portabilità dei dati.
    La portabilità dei dati permetterà a un utente di richiedere una copia dei dati personali in un formato utilizzabile da loro e trasmissibile elettronicamente ad un altro sistema di elaborazione.
  • I processi devono essere costruiti sul principio della “privacy by design”.
    Il GDPR contiene requisiti che i sistemi dei processi devono considerare la conformità ai principi della protezione dei dati. L’essenza della “privacy by design” è che la privacy di un servizio o di un prodotto viene presa in considerazione non solo al punto di consegna, ma dall’ideazione del concetto di prodotto.
    C’è anche un obbligo che i controllori debbano raccogliere solo i dati necessari per adempiere a scopi specifici, scartandola quando non è più richiesta, per proteggere i diritti dei soggetti dati.
  • Saranno previste pesanti sanzioni in caso di Data Breach: fino al 4% del fatturato globale annuo o massimo 20 milioni di euro

Fonti e bibliografia

 GDPR infografica

 

Infografica riprese dal sito GDPR Infographic