Cos’è il GDPR? Guida completa per aziende e utenti

Il Regolamento Generale sulla Protezione dei Dati, noto con l’acronimo GDPR (General Data Protection Regulation), è una legge dell’Unione Europea che ha rivoluzionato il modo in cui le aziende e i cittadini gestiscono i dati personali. 

Il GDPR n. 2016/679 è entrato in vigore il 25 maggio 2018, sostituendo la Direttiva sulla protezione dei dati del 1995 e portando importanti cambiamenti nella gestione e nella protezione delle informazioni personali.

In questo articolo cercheremo di informarti di più sul GDPR, il regolamento europeo divenuto immediatamente vincolante anche in Italia: cos’è, a cosa la tua azienda dovrà fare attenzione e quali sanzioni sono previste.

Cos’è il GDPR?

Il GDPR è il nuovo regolamento UE per la Protezione dei Dati, con cui si rafforzare e si unifica la protezione dei dati personali nei confini dell’UE.

Essenzialmente, stabilisce regole chiare su come le aziende devono raccogliere, elaborare e gestire i dati personali. Questi dati personali includono informazioni come nomi, indirizzi, numeri di telefono, dati finanziari e molto altro.

Il regolamento si applica anche a organizzazioni con sede esterna all’UE qualora abbiano in gestione i dati di utenti residenti nell’Unione Europea. Esso agisce in combinazione con la direttiva ePrivacy del 2002, nota come Cookie Law.

Il GDPR inoltre fornisce agli utenti del web la possibilità di verificare come i loro dati vengono raccolti e utilizzati ed si applica a tutti i siti web.

Perché questo nuovo regolamento? Applicando il GDPR si rafforza la tutela dei dati personali dei cittadini dell’Unione Europea a fronte dei possibili rischi di un mondo sempre più digitalizzato.

Cosa cambia per le aziende e per gli utenti?

Il decreto legislativo n. 196/2003, noto Codice del trattamento dei dati personali, è l’attuale direttiva italiana in materia di protezione dei dati e privacy degli individui.

Il decreto vigente non è stato abrogato, ma viene modificato o integrato alla luce delle disposizioni del GDPR, per fornire a tutti gli Stati dell’UE regole comuni in merito al trattamento dei dati personali.

Quali sono le novità introdotte dal GDPR? Il nuovo regolamento mantiene molti degli elementi sulla protezione dei dati personali già in vigore in Italia, e introduce nuovi principi quali:

• Accountability: è responsabilità dell’organizzazione garantire il rispetto degli obblighi regolamentati dal GDPR, nominare un funzionario responsabile della protezione dei dati, con il ruolo specifico di DPO (Data Protection Officer), applicare una privacy by design/default policy (lo sviluppo di nuove tecnologie dovrà adeguarsi ai principi del GDPR).
• Trasparenza: maggiore trasparenza tra le organizzazioni che raccolgono dati e i soggetti interessati. Gli utenti devono sapere quali dati verranno trattati e a quale scopo.
• Sicurezza: l’organizzazione deve garantire la protezione e la sicurezza dei dati da eventuali accessi non autorizzati, perdita accidentale, alterazione o divulgazione dei dati stessi.
• Data breach: le organizzazioni dovranno dotarsi di una procedura per informare gli utenti di eventuali violazioni dei dati e dare una tempestiva segnalazione del breach.
• Diritto all’oblio: l’utente ha il diritto di ottenere la cancellazione dei propri dati personali, anche quelli ceduti a terzi. Si tratta della possibilità di essere dimenticati, infatti l’azienda dovrà cancellare completamente i dati in suo possesso.
• Diritto alla portabilità dei dati: l’utente ha il diritto di di ricevere i dati precedentemente forniti e di poterli trasferire ad un altro titolare.

Queste sono le novità principali del GDPR: è possibile scaricare il regolamento completo con le linee guida da adottare in materia di protezione, circolazione e trattamento dei dati delle persone fisiche.

Sanzioni per le aziende

Le sanzioni pecuniarie imposte dal GDPR sono molto più alte rispetto alla direttiva italiana precedente.

Esse ammontano a un massimo di 20 milioni di euro se si tratta di un’azienda singola. Se invece l’azienda fa parte di un gruppo, come una multinazionale, o il fatturato è superiore all’importo massimo, la sanzione ammonta al 4% del fatturato mondiale.

È rimasta invariata, invece, la sezione della legislazione penale, che prevede sanzioni per le seguenti fattispecie:

• Trattamento illecito dei dati;
• Comunicazione e diffusione illecita di dati personali trattati su larga scala;
• Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala;
• Dichiarazioni false e interruzione dell’attività del Garante della privacy;
• Reato di inosservanza dei provvedimenti del Garante;
• Reato di violazione della privacy sul posto di lavoro, nel caso in cui il datore violi la riservatezza dei dipendenti.

Per darvi un esempio di sanzioni GDPR in Italia vi raccontiamo come nel 2022 il Garante Privacy abbia sanzionato Uber con due sanzioni da più di 2 milioni l’una. 

Le sanzioni arrivarono in seguito alla notifica di informativa inidonea e trattamento di dati senza consenso e senza notificarlo alle Autorità. 

Uber, inoltre, senza aver acquisito un valido consenso, trattava i dati di circa 1.379.00 passeggeri profilandoli sulla base del cosiddetto “rischio frode”, assegnando loro un giudizio qualitativo (ad es., low) e un parametro numerico (da 1 a 100).

SocialCities e il GDPR: cosa possiamo fare per te?

Il nuovo regolamento europeo alza il livello di sicurezza per organizzazioni e utenti, migliorando la trasparenza e la responsabilità sull’utilizzo dei dati da parte di istituzioni e aziende. Lo scopo è di aumentare la fiducia degli utenti nei confronti delle organizzazioni.

Le aziende devono essere più attente nella gestione dei dati, e i cittadini hanno maggiori diritti e controllo sulle proprie informazioni personali. 

La non conformità al GDPR comporta multe significative. Dunque è fondamentale che le aziende si adeguino a questa normativa per evitare conseguenze legali e proteggere la privacy dei cittadini.

In SocialCities ci occupiamo di tutte le pratiche relative alla corretta gestione del GDPR e della Privacy Policy insieme a Iubenda, di cui siamo partner certificati. Affidati a un partner esperto nella creazione di siti web a norma di legge!