GDPR: ecco cosa cambia
GDPR è l’acronimo di General Data Protection Regulation, ed è la sigla che designa il Regolamento (UE) 2016/679 emanato il 27 aprile 2016, ed entrato in vigore il 25 maggio 2018, che stabilisce le regole valide in tutti i paesi dell’Unione Europea in materia di protezione di dati personali.
Perché una nuova regolamentazione?
Prendendo atto dell’aumento esponenziale dell’uso dei dati personali in un’economia sempre più digitale, l’Unione europea ha deciso di adottare una nuova e più protettiva regolamentazione dei diritti delle persone i cui dati sono raccolti.
Cosa cambia realmente con l’introduzione del GDPR?
Il GDPR differisce dalle precedenti regolamentazioni di privacy dell’Unione Europea per questi quattro fattori principali:
- L’Ambito territoriale
- L’Ottenimento del consenso
- L’Introduzione del DPO (Data Protection Officer)
- Le sanzioni
Nei precedenti regolamenti, il tema dell’ambito territoriale era un campo un po’ ambiguo e variava da nazione a nazione mentre ora, con l’introduzione del GDPR, tutte le società che trattano dati di cittadini residenti nell’Unione Europea, a prescindere dal paese di provenienza, devono adeguarsi alla nuova normativa europea.
L’ottenimento del consenso al trattamento dei dati deve essere esplicito e non è più ammesso il consenso tacito o presunto; con “esplicito” non ci si limita solamente alla forma scritta, anche se quest’ultima rimane sempre quella più sicura. Nella stessa misura del consenso al trattamento, anche la revoca di tale consenso al trattamento dei dati deve essere sempre accessibile ed immediata.
La nuova informativa sulla privacy, che generalmente deve essere redatta in forma scritta ed in formato elettronico, deve per forza aver le seguenti caratteristiche essendo:
- Concisa: redatta in modo sintetico, ma completa ed efficace
- Trasparente
- Intelligibile per l’interessato
- Facilmente accessibile a chiunque
- Scritta con un linguaggio chiaro e semplice
Nell’informativa, inoltre, si “devono sempre specificare i dati di contatto del DPO (Data Protection Officer), ovvero il Responsabile della protezione dei dati. Il DPO è il riferimento all’interno dell’azienda per quanto riguarda la protezione dei dati ed ha una triplice missione:
- Informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo.
- Verificare l’attuazione e l’applicazione del Regolamento e fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati.
- Fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti.
Le violazioni, infine, sono punite con vari gradi di sanzioni, toccando cifre molto importanti. Le sanzioni per infrazioni gravi del GDPR, come la mancata acquisizione del consenso, possono arrivare addirittura al 4% del fatturato annuo o a 20 milioni di euro.