Cos' è il GDPR?

La Commissione europea, con l’entrata in vigore del GDPR, intende unificare sotto un’unica legge le varie interpretazioni locali delle leggi sulla protezione dei dati personali entro i confini dell’Unione europea.

Il General Data Protection Regulation (regolamento generale per la protezione dei dati)

Molto semplicemente è una legge che uniforma in tutta Europa il sistema di controllo e di raccolta dei dati sensibili da parte di aziende, enti, shop on line, blog ecc.

Con l’ingresso in vigore del General Data Protection Regulation vengono introdotti alcuni punti comuni a tutti i Paesi membri:

  1. regole chiare e univoche sull’informativa e il consenso
  2. regolamentati i limiti al trattamento automatizzato dei dati personali
  3. nuovi diritti per gli utenti
  4. criteri rigorosi per il trasferimento degli stessi al di fuori della Ue
  5. norme rigorose per i casi di violazione dei dati (data breach).

 

Consenso e Informativa

Consenso

Il consenso della persona interessata deve essere fornita in modo esplicito.
In esempio non basta solo avvertire l’utente che i dati verranno trattati secondo la normativa sulla privacy in vigore presso l’azienda, il sito, l’ente ecc, ma questo consenso deve essere esplicitato con l’apposita casella da spuntare (in un modulo on line) oppure con una seconda firma se il modulo o il contratto è cartaceo.

Informativa privacy

L’informativa sulla privacy deve essere un testo semplice, conciso, facile da leggere in cui ci sia scritto dove come e da chi i dati vengono trattati, per quanto tempo, con che finalità e se possono essere ceduti o meno.
Per esempio se i dati servono, secondo l’informativa della privacy, per le sole comunicazioni tra il cliente e l’azienda questi non possono essere ceduti a terzi e devono essere nella quantità minore possibile per permettere una corretta comunicazione.

Data breach (Violazione dei dati)

Tutti i titolari dei dati dovranno notificare all’Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza. Entro 72 ore dalla sua scoperta.

La comunicazione va fatta solo se il responsabile del trattamento dei dati ritiene possibile che la violazione dei dati comprometta i diritti dell’interessato
La notifica all’Autorità della violazione non è obbligatoria, ma deve essere valutata dal titolare del trattamento dei dati.

Oblio e Consultazione

Diritto alla consultazione e il diritto alla cancellazione dei propri dati, sia dal database o dall’elenco del detentore, sia da eventuali terze parti. 

Responsabilità e sanzioni

Il Responsabile della protezione dei dati è colui che si occupa della gestione, della sorveglianza e delle strategia da attuare per mettere in sicurezza i dati, ed evitarne il furto o lo smarrimento e la cancellazione. Deve essere in grado di gestire, con la sua competenza, i dati sensibili e valutare l’impatto di un eventuale furto.

Sanzioni

Sanzioni amministrative: i titolari e responsabili possono essere multati fino a 20mln € o fino al 4% del fatturato mondiale totale annuo.