Cos’è il GDPR? Cosa è cambiato per le aziende e i cittadini?

Cos’è il GDPR e cosa cambia per le aziende e gli utenti della rete? Il 25 maggio 2018 è entrato in vigore il Regolamento Europeo della Privacy n. 2016/679, meglio noto come GDPR. 

In questo articolo cercheremo di informarti di più sul GDPR, il regolamento europeo divenuto immediatamente vincolante anche in Italia: cos’è, a cosa la tua azienda dovrà fare attenzione e quali sanzioni sono previste.

 

Cos’è il GDPR?

Il GDPR (General Data Protection Regulation) è il nuovo regolamento UE 2016/679 per la Protezione dei Dati, con cui la Commissione Europea intende rafforzare e unificare la protezione dei dati personali entro i confini dell’Unione Europea. Il regolamento si applica anche a organizzazioni con sede esterna all’UE qualora abbiano in gestione i dati di utenti residenti nell’Unione Europea e agisce in combinazione con la direttiva ePrivacy del 2002 (e successive modifiche), nota come Cookie Law.

Il GDPR inoltre fornisce agli utenti del web la possibilità di verificare come i loro dati vengono raccolti e utilizzati e sarà applicabile a tutti i proprietari di siti web, compresi quelli che monitorano il comportamento degli utenti che vivono negli stati dell’Unione Europea.

Perché questo nuovo regolamento? L’applicazione del GDPR ha l’intento di rafforzare la tutela dei dati personali dei cittadini dell’Unione Europea e far fronte ai possibili rischi di un mondo sempre più digitalizzato.

Un esempio di possibili rischi del digitale, e quindi della necessità di una regolamentazione a livello europeo in materia di protezione dei dati personali, è il caso occorso pochi mesi prima dell’approvazione del GDPR che ha coinvolto il social network Facebook, di cui abbiamo scritto nell’articolo Facebook, Trump e Cambridge Analytica. Dobbiamo temere la violazione dei nostri dati?.

 

Cosa cambia per le aziende e per gli utenti?

Il decreto legislativo n. 196/2003, noto Codice del trattamento dei dati personali, è l’attuale direttiva italiana in materia di protezione dei dati e privacy degli individui. Il decreto vigente non è stato abrogato, ma viene modificato o integrato alla luce delle disposizioni del GDPR, il cui scopo è fornire a tutti gli Stati membri dell’Unione Europea regole comuni in merito al trattamento dei dati personali.

Quali sono le novità introdotte dal GDPR? Il nuovo regolamento mantiene molti degli elementi sulla protezione dei dati personali già in vigore in Italia, e introduce nuovi principi quali:

• Accountability: è responsabilità dell’organizzazione garantire il rispetto degli obblighi regolamentati dal GDPR, nominare un funzionario responsabile della protezione dei dati, con il ruolo specifico di DPO (Data Protection Officer), applicare una privacy by design/default policy (lo sviluppo di nuove tecnologie dovrà adeguarsi ai principi del GDPR).
• Trasparenza: maggiore trasparenza tra le organizzazioni che raccolgono dati e gli individui possessori dei dati, comunicare con chiarezza agli utenti quali dati sono utilizzati e a quale scopo.
• Sicurezza: l’organizzazione deve garantire la protezione e la sicurezza dei dati da eventuali accessi non autorizzati, perdita accidentale, alterazione o divulgazione dei dati stessi.
• Data breach: le organizzazioni dovranno dotarsi di una procedura per informare gli utenti di eventuali violazioni dei dati e dare una tempestiva segnalazione del breach.
• Diritto all’oblio: l’utente ha il diritto di ottenere la cancellazione dei propri dati personali, anche quelli ceduti a terzi. Si tratta della possibilità di essere dimenticati, infatti l’azienda dovrà cancellare completamente i dati in suo possesso.
• Diritto alla portabilità dei dati: l’utente ha il diritto di di ricevere i dati precedentemente forniti ad un titolare del trattamento e di ottenere che questi vengano trasmessi ad un altro titolare.

Queste sono le novità principali del GDPR: è possibile scaricare il regolamento completo con le linee guida da adottare in materia di protezione, circolazione e trattamento dei dati delle persone fisiche.

 

Sanzioni per le aziende

Le sanzioni pecuniarie imposte dal GDPR sono molto più alte rispetto alla direttiva italiana precedente. Esse ammontano a un massimo di 20 milioni di euro se si tratta di un’azienda singola; se invece l’azienda fa parte di un gruppo, ad esempio una multinazionale, o il fatturato è superiore all’importo massimo, la sanzione ammonta al 4% del fatturato mondiale.

È rimasta invariata, invece, la sezione della legislazione penale, che prevede sanzioni per le seguenti fattispecie:

• Trattamento illecito dei dati;
• Comunicazione e diffusione illecita di dati personali trattati su larga scala;
• Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala;
• Dichiarazioni false e interruzione dell’attività del Garante della privacy;
• Reato di inosservanza dei provvedimenti del Garante;
• Reato di violazione della privacy sul posto di lavoro, nel caso in cui il datore violi la riservatezza dei dipendenti.

 

SocialCities e il GDPR: cosa possiamo fare per te?

Il nuovo regolamento europeo alza il livello di sicurezza per tutti, organizzazioni e utenti, migliorando la trasparenza e la responsabilità sull’utilizzo dei dati da parte delle istituzioni e aziende allo scopo di aumentare la fiducia degli utenti nei confronti delle organizzazioni.

 

In SocialCities ci occupiamo di tutte le pratiche relative alla corretta gestione del GDPR e della Privacy Policy insieme a Iubenda, di cui siamo partner certificati. Affidati a un partner esperto nella creazione di siti web a norma di legge!