Che cos’è il GDPR?
Per GDPR (General Data Protection Regulation) si intende il Regolamento UE 2016/729 entrato in vigore il 25 maggio 2018 in tutti gli Stati membri dell’Unione Europea. Il suo obiettivo? Regolare il trattamento e la circolazione dei dati personali.
Con il GDPR, la Commissione Europea intende rafforzare la protezione dei dati personali dei cittadini e dei residenti dell’Unione europea semplificando anche il quadro normativo per le imprese che gestiscono i dati.
Tutte le norme previste dal Regolamento si applicano non solo alle società presenti su territori facenti parti dell’UE ma anche a quelle situate al di fuori. In caso di inosservanza delle regole sono previste pesanti sanzioni.
Che cosa prevede il GDPR
Il GDPR cambia completamente il concetto di privacy introducendo una regolamentazione specifica riguardante non solo il trattamento dei dati e i diritti degli utenti ma anche il concetto di responsabilità, le modalità di comunicazione per eventuali violazioni subite o le sanzioni dovute ad irregolarità.
Per questo motivo le aziende, per essere conformi, devono illustrare agli utenti, in maniera chiara e senza possibilità di equivoci, tutte le condizioni che regolano la raccolta e il trattamento dei dati personali.
Per garantire la tutela e il controllo sull’utilizzo dei dati personali il Regolamento prevede infatti norme rigorose sulla gestione dei dati, la trasparenza, documentazione e ovviamente il consenso da parte dell’utente.
Vediamo quali sono i punti chiave:
- Gli utenti hanno il diritto di sapere se i loro dati vengono elaborati, dove e a quale scopo.(Diritto all’accesso ai dati)
- Le aziende devono garantire agli utenti il diritto alla cancellazione dei propri dati personali. (Diritto al’oblio). Questo si applica quando l’utente ritiene opportuno interrompere il consenso al trattamento dei suoi dati e non ci sono ragioni legittime per conservarli.
- Gli utenti hanno inoltre il diritto di ricevere i propri dati personali e trasmetterli ad un altro ente. (Portabilità dei dati)
- La protezione dei dati deve essere inserita in fase di progettazione di prodotti e servizi e non successivamente.
- Le aziende per tutelare la privacy degli utenti devono utilizzare pratiche quali la cifratura dei dati (questi verranno letti solo da chi è autorizzato) e la pseudonimizzazione(al posto dei campi identificativi viene utilizzato un set di dati con identificatori artificiali).
Cosa si intende per dati personali?
Secondo il GDPR, i dati personali sono tutte le informazioni riguardante una persona fisica identificata o identificabile (cioè che può essere identificata direttamente o indirettamente grazie a identificativi come nome, ubicazione ed elementi caratteristici della sua identità fisica, genetica, economica, culturale o sociale).
Anche gli IP, cioè gli identificativi online, vengono ora considerati dati personali a meno che non vengano resi anonimi.
Come evitare di incorrere in sanzioni
L’obiettivo del GDPR è quindi quello di tutelare i dati personali, di rafforzare la privacy delle persone fisiche nell’era digitale.
Le aziende non possono farsi trovare impreparate ma devono preparsi per tempo formando il proprio personale, assicurandosi di sapere dove sono custoditi i dati, chi vi ha accesso e identificando dove vengono elaborati.
È assolutamente necessario aggiornare l’informativa sulla privacy, avere metodi finalizzati all’ottenimento del consenso del trattamento dei dati ma che presentino opzioni di revoca o modifica.
È inoltre importante che i partner di servizi siano anch’essi conformi al GDPR.