Il Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation) è una normativa comunitaria che controlla in che modo le società e altre organizzazioni gestiscono i dati personali. Si tratta dell’iniziativa più significativa in materia di protezione dei dati degli ultimi 20 anni, con notevoli implicazioni per qualsiasi organizzazione nel mondo che si rivolge a soggetti dell’Unione europea.

Per fornire ai soggetti il controllo di come vengono utilizzati i dati e per “tutelare i diritti e le libertà fondamentali delle persone fisiche”, la legislazione stabilisce requisiti rigorosi per quanto riguarda le procedure di gestione dei dati, la trasparenza, la documentazione e il consenso dell’utente.

Ogni organizzazione deve custodire un registro e monitorare le attività di elaborazione dei dati personali

In qualità di titolare del trattamento dei dati, ogni organizzazione deve custodire un registro e monitorare le attività di elaborazione dei dati personali. In questa categoria rientrano i dati personali gestiti all’interno dell’organizzazione, ma anche da terze parti, ovvero i cosiddetti responsabili del trattamento.

I responsabili del trattamento dei dati possono includere fornitori di servizi a livello di software (SaaS) fino a servizi di terzi integrati di tracciamento e profilatura dei visitatori sul sito dell’organizzazione. Sia i titolari che i responsabili del trattamento dei dati devono essere in grado di dimostrare quali dati vengono elaborati, lo scopo dell’elaborazione e a quali paesi e terze parti i dati vengono trasmessi. I dati possono essere trasferiti solamente ad altre organizzazioni conformi alla normativa GDPR, o all’interno di giurisdizioni ritenute adeguate”.

Tutti i consensi devono essere registrati come prova che il consenso è stato prestato

L’elaborazione dei dati personali non è consentita senza un consenso preventivo. Questo significa che il consenso deve essere prestato prima che avvenga qualsivoglia elaborazione, sulla base di informazioni chiare e specifiche in merito al tipo di dati e agli scopi per i quali sono stati raccolti. Per i dati personali sensibili, il consenso deve essere esplicito, il che sottolinea l’importanza del consenso durante l’elaborazione di dati personali sensibili.

Le persone fisiche hanno ora il “diritto alla portabilità dei dati” e il “diritto di accedere ai dati”, oltre al “diritto all’oblio”, e possono revocare il proprio consenso in qualsiasi momento. In tal caso, il titolare del trattamento deve eliminare i dati personali della persona fisica se non sono più necessari allo scopo per il quale sono stati raccolti.

In caso di una violazione dei dati, la società deve essere in grado di notificare le autorità di protezione dei dati e le persone fisiche interessate entro 72 ore.

Inoltre, il GDPR impone l’obbligo alle autorità pubbliche o alle aziende che elaborano dati personali sensibili su larga scala di impiegare o formare un responsabile della protezione dei dati. Il responsabile della protezione dei dati deve adottare misure finalizzate ad assicurare la conformità con il GDPR da parte dell’organizzazione.

In relazione alla Brexit, il governo britannico prevede di implementare una normativa equivalente che seguirà, a grandi linee, il GDPR.

свернуть