GDPR - General Data Protection Regulation

Il GDPR (General Data Protection Regulation) è il Regolamento Ue 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali. Questo regolamento che produrrà un effetto trasformativo sul modo in cui le aziende gestiscono e proteggono i dati personali, nasce da precise esigenze, come indicato dalla stessa Commissione Ue, di certezza giuridica, di armonizzazione e di maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo.

Il GDPR entrerà in vigore il 25 maggio 2018 e rappresenta il più grande cambiamento della legge sulla protezione dei dati europea in più di venti anni, specialmente in relazione al consenso degli utenti (per la raccolta di dati), alla privacy dei dati e alla sicurezza delle informazioni. Gli aspetti più innovativi del GDPR rispetto alla precedente normativa sono tre: l’extraterritorialità, le sanzioni e il consenso.

GDPR ed extraterritorialità

Le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le nuove regole.

Le sanzioni nel GDPR

Il GDPR introduce multe economiche per le aziende che non rispettano il regolamento, che possono ammontare fino al 4 per cento del fatturato annuale globale o a 20 milioni di euro. Un’azienda è passibile di sanzione se, per esempio, non ha policy adeguate per il consenso al trattamento dei dati personali o se viola i principi alla base del concetto di “Privacy by Design” (vedi sotto).

Nuove norme sul consenso al trattamento dei dati

Le società che raccolgono o trattano dati personali devono spiegare in modo chiaro agli utenti tutte le condizioni che regolano raccolta e trattamento dei dati. È responsabilità di chi raccoglie/gestisce i dati redigere termini e condizioni in un linguaggio semplice, comprensibile a tutti i cittadini, senza possibilità di equivoco. Gli stessi criteri si applicano per gli strumenti attraverso cui l’utente esprime il proprio consenso. È inoltre obbligatorio dichiarare come verranno elaborati i dati richiesti all’utente. Nel Regolamento viene introdotto il diritto alla “portabilità” dei propri dati personali per trasferirli da un titolare del trattamento a un altro. La norma fa eccezione nei casi in cui si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafi. In questo caso il diritto non potrà essere esercitato, così come è vietato il trasferimento di dati personali verso Paesi extra Ue o organizzazioni internazionali che non rispondono agli standard di sicurezza in materia di tutela. Il titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali al Garante. Rispondere in modo efficace a un data breach richiede un approccio multidisciplinare e integrato e una maggiore cooperazione a livello Ue primo adempimento da porre in essere per le imprese italiane è senz’altro l’adozione del Registro dei trattamenti di dati personali. Nel regolamento è stata prevista la figura del Responsabile della protezione dei dati (Data Protection Officer), incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti e individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati.

Chi ha bisogno di un DPO (Data Protection Officer)?

Gli enti pubblici comprendono quelli che si occupano di sanità, istruzione, servizi di emergenza e organizzazioni non governative; tutte queste entità sono tenute a nominare un DPO dedicato, con specifiche competenze e funzioni definite dal nuovo regolamento. Ciò è probabile che varrà anche per società private che svolgono funzioni pubbliche o che offrono servizi pubblici quali fornitura d'acqua, trasporti pubblici, energia e alloggi. Nel caso delle imprese private la cui attività primaria consiste nell'esecuzione sistematica su vasta scala del monitoraggio o dell'elaborazione dei dati, questo obbligo potrebbe sussistere nel caso in cui si occupino di pubblicità comportamentale, tracking online, CCTV e addirittura gestione di programmi di fidelizzazione.

Rimani aggiornato con STR

Novità di mercato, di prodotto, eventi e tutte le iniziative di STR dedicate al mondo delle costruzioni.

ISCRIVITI ALLA NEWSLETTER