GDPR: il nuovo regolamento europeo sulla privacy, cos’è e cosa cambia?

nuovo regolamento europeo sulla privacy

Cosa significa la sigla GDPR?

Il termine GDPR, acronimo di General Data Protection Regulation, definisce il nuovo regolamento sul trattamento e la gestione dei dati degli utenti.

Stilato dalla Commissione Europea, il regolamento è stato pubblicato sulla “Gazzetta Ufficiale” della UE il 4 maggio del 2016.

La data scelta per l’entrata in vigore è il 25 maggio 2018.

La protezione dei dati personali, e la gestione della privacy, sono messe a repentaglio dalle minacce perpetrate da un numero sempre più elevato di hacker. Per conoscere più da vicino obiettivi e funzionamento del GDPR leggi le prossime righe.

Quali sono gli obiettivi del nuovo regolamento sul trattamento e la gestione dei dati?

L’obiettivo del GDPR è quello di rafforzare e, allo stesso tempo, unificare, la normativa vigente entro i confini UE.

Questo significa oltrepassare i limiti fino a oggi imputati ai regolamenti locali. Inoltre, il nuovo regolamento ha il fine di regolare l’esportazione dei dati personali al di fuori del territorio europeo.

A indurre la Commissione Europea ad adottarlo è stata soprattutto la volontà di:

  • Obbligare le aziende a operare con maggiore trasparenza in tema di raccolta e utilizzo dei dati.
  • Rendere più efficiente la protezione dei dati stessi prevenendone eventuali violazioni.
  • Potenziare i controlli esistenti e agire in modo preventivo nei confronti della fuga di dati.

Il GDPR si prefigge anche l’obiettivo di rafforzare i diritti degli individui, che potranno così ottenere informazioni sulla gestione dei propri dati.

Inoltre, sarà possibile esigere la cancellazione dei dati in ogni momento. Si parla, in questo caso, di “diritto all’oblio”.

Quali sono i dati personali oggetto del regolamento?

Se ti stai domandando quali siano i “dati personali” presi in esame dal GDPR, tieni presente che ne entrano a far parte tutte le informazioni in merito a ciascun individuo, siano esse riferite alla vita privata, professionale o pubblica. Non si tratta solamente di nomi e indirizzi email, ma anche di foto e dettagli bancari.

Per tale motivo, la normativa non è esclusivo interesse delle aziende la cui attività principale è il trattamento dei dati riservati (in particolar modo quelle operanti nel settore finanziario). Riguarda, in pratica, qualsiasi realtà si trovi a che fare con i dati personali degli individui.

Al regolamento si affianca un secondo strumento legislativo, ossia la Direttiva sulla protezione dei dati inerenti giustizia penale e polizia. Quest’ultima mira a garantire, durante lo svolgimento delle indagini (o nell’esecuzione di una pena) la protezione delle informazioni inerenti indagati, testimoni e persone offese.

Come devono comportarsi le aziende

Innanzitutto, ogni azienda sarà chiamata ad aggiornare i sistemi di gestione dei dati, adottando interventi appositi per prevenirne la perdita e per definirne la condivisione.

Il GDPR impone alle stesse di identificare e nominare una figura che possa assumere il ruolo di Data Protection Officer (in breve DPO).

Ovviamente, nel caso di aziende dotate di più sedi, sarà necessario nominare un DPO per ciascuna di esse.

L’obbligo di nominare il DPO è previsto solo nei casi indicati dall’art. 37 del Regolamento 2016/679.

Questo articolo prevede quanto segue:

1. Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:

– Il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali.
– Le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
– Le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali (dati sensibili) o di dati relativi a condanne penali e a reati (dati giudiziari).

2. Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento.

3. Qualora il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione.

Sanzioni previste e Autorità di Vigilanza

Il mancato rispetto del regolamento porterà all’applicazione di sanzioni molto elevate, che potranno toccare i 20 milioni di euro o, in alternativa, raggiungere il 4% del volume d’affari.

Le aziende che subiranno un attacco informatico saranno tenute a segnalare l’impossibilità di aderire al regolamento entro un massimo di 72 ore.

A vigilare sul rispetto del regolamento saranno i singoli Garanti nazionali.

In Italia saranno il Garante per la protezione dei dati personali e i giudici competenti.


Leggi Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali.


Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>