Che cos'è il GDPR? Sintesi del Regolamento generale sulla protezione dei dati

Il Regolamento generale sulla protezione dei datiGDPR) è entrato in vigore in Europa nel 2018 e ha cambiato quasi immediatamente il modo in cui le aziende raccolgono ed elaborano i dati personali in tutto il mondo - molto probabilmente ha un impatto anche sulla vostra.

Il suo obiettivo è quello di proteggere i diritti alla privacy delle persone nell'Unione Europea (UE) e nello Spazio Economico Europeo (SEE), dando loro il controllo su come i loro dati personali vengono utilizzati online.

Il documento delinea una serie di regole e principi che le aziende devono rispettare, pena il rischio di incorrere in multe salate.

Per aiutare le aziende a comprendere il regolamento, ho creato questo riepilogoGDPR in cui spiego la sua portata legale, chi protegge, cosa è necessario fare per conformarsi e i costi potenziali della violazione della legge sulla privacy dei dati più severa al mondo.

Indice dei contenuti

1. Che cos'è il GDPR?
2. Chi deve rispettare il GDPR?
3. Definizioni chiave nel GDPR
4. Sanzioni in caso di non conformità
5. Il GDPR ha un impatto su...
6. Requisiti GDPR per le aziende
7. In che modo le regole GDPR influenzano gli utenti e i consumatori?
8. l'effetto mondiale del GDPR
9. In che modo le aziende statunitensi sono interessate dal GDPR dell'UE?
10. Cosa significa il GDPR per il futuro?
11. Domande frequenti GDPR
12. Riassunto

Che cos'è il GDPR?

Mi piace descrivere il GDPR in due modi.

Si tratta di un regolamento europeo sulla privacy dei dati che garantisce ai cittadini dell'UE/SEE diritti e controllo sulle loro informazioni personali. Ma stabilisce anche regole e principi specifici che le aziende di tutto il mondo devono seguire per trattare legalmente quei preziosi dati.

Il GDPR ha creato un quadro giuridico consolidato per la protezione dei dati in tutti gli Stati membri dell'UE, oltre a Islanda, Lichtenstein e Norvegia, che fanno parte del mercato unico SEE.

La legge dà priorità ai diritti individuali delle persone interessate e ritiene le aziende responsabili di fughe e violazioni di dati.

l'interessante storia del GDPR

Il GDPR ha una storia interessante, forse anche tumultuosa, che tratterò brevemente prima di discutere i suoi requisiti legali specifici.

l'attuazione del GDPR ha segnato un punto di svolta per la protezione della privacy nell'attuale, in qualche modo nuova, era digitale dei big data.

Sebbene i leader europei abbiano inizialmente approvato il GDPR nel 2016, esso è diventato applicabile il 25 maggio 2018, concedendo agli Stati membri dell'UE e alle aziende di tutto il mondo due anni per prepararsi.

Due anni sembrano un sacco di tempo per prepararsi. Tuttavia, molte organizzazioni non avevano ancora ben chiaro quali fossero i requisiti del GDPR e se e quando dovessero seguirli.

Questa incertezza - e la mancanza di preparazione - li espone al rischio di multe significative per non conformità (parlerò dei rischi finanziari della violazione del GDPR più avanti in questa guida).

Il regolamento ha sostituito la direttiva sulla protezione dei dati dell'UE (DPD) del 1995.

Naturalmente, l'ambiente dei dati era molto diverso a metà degli anni ›90 rispetto al 2016. Il World Wide Web era ancora giovane e gli smartphone non vivevano nelle tasche dei consumatori.

Il DPD è stato attuato separatamente dagli Stati membri dell'UE e del SEE e variava significativamente da una giurisdizione all'altra. Il testo del GDPR , invece, era direttamente applicabile e riguardava tutti gli Stati membri dell'UE, e il suo linguaggio riflette meglio il moderno trattamento dei dati.

In realtà, il GDPR è stato utilizzato anche nel tentativo di regolamentare la tecnologia dell'intelligenza artificiale (AI) in Paesi come l'italia: nel 2022, l'autorità di vigilanza italiana ha inflitto a Clearview AI una multa di 20 milioni di euro per aver memorizzato dati biometrici e di geolocalizzazione senza avere una base giuridica adeguata per farlo ai sensi del GDPR (IAPP).

Il regolamento continua a ispirare altre regioni del mondo ad adottare leggi con principi simili in materia di privacy dei dati, dimostrando che avrà senza dubbio un impatto duraturo sulla vita di tutti noi.

Chi deve rispettare il GDPR?

Trovo che la maggior parte degli imprenditori sia sorpresa di apprendere quanto sia ampio il campo di applicazione del GDPR .

Il GDPR si applica a enti e aziende di tutto il mondo che trattano dati personali e si rivolgono a soggetti dell'UE/SEE - direttamente o indirettamente - in uno dei seguenti modi:

• Offrire beni o servizi disponibili a persone nell'UE/SEE, anche se non avviene alcuna transazione monetaria.
• Monitoraggio dei comportamenti online delle persone nell'UE/SEE

Questa applicazione significa che le aziende che operano al di fuori dell'Europa possono ricadere sotto la sua soglia legale sia come responsabili del trattamento dei dati che come incaricati del trattamento dei dati, una distinzione di cui parlerò tra poco.

Lo trovo interessante anche per quanto riguarda l'inclusività dei soggetti interessati. Il GDPR protegge le persone che si trovano nell'UE o nel SEE, a prescindere dalla nazionalità o dallo stato di cittadinanza, e si riferisce a loro come soggetti interessati, come spiegato nel Capitolo 1, Articolo 3 del regolamento.

Definizioni chiave nel GDPR

Ora che conoscete le nozioni di base del GDPR , vi suggerisco di familiarizzare con le definizioni legali di alcune frasi chiave utilizzate nel regolamento per semplificare il vostro processo di conformità.

Nella tabella che segue, vi mostro la definizione di queste parole essenziali così come appare nel GDPR e vi fornisco una versione semplificata dei significati.

Termine	Definizione legale precisa	Definizione semplificata
Dati personali	"... qualsiasi informazione relativa a una persona fisica identificata o identificabile ("interessato"); una persona fisica identificabile è quella che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più fattori specifici dell'identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale di tale persona fisica;" (Capitolo 1, articolo 4, parte 1)	Informazioni su una persona che possono identificarla direttamente o indirettamente, come ad esempio: Nomi Indirizzo e-mail Numeri identificativi Indirizzi Geolocalizzazione precisa Indirizzi IP Dati biometrici Informazioni personali sensibili
Elaborazione	"... qualsiasi operazione o insieme di operazioni eseguite su dati personali o su insiemi di dati personali, con o senza l'ausilio di mezzi automatizzati, quali la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la divulgazione mediante trasmissione, diffusione o altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;" (Capitolo 1, articolo 4, parte 2)	Eseguire una qualsiasi delle seguenti azioni su un pezzo o su un set di dati personali: Raccolta Registrazione Organizzazione Strutturazione Immagazzinamento Adattamento Alterazione Recupero Consulenza Utilizzo Divulgazione Diffusione Messa a disposizione Allineamento Combinazione Limitare Cancellazione Distruggere
Consenso	"... qualsiasi indicazione libera, specifica, informata e inequivocabile della volontà dell'interessato con la quale questi, mediante una dichiarazione o una chiara azione affermativa, esprime il proprio consenso al trattamento dei dati personali che lo riguardano;" (Capitolo 1, Articolo 4, Parte 11)	Quando un soggetto interessato acconsente liberamente al trattamento dei dati compiendo un'azione affermativa e chiara (come selezionare una casella di controllo, fare clic su un pulsante con la dicitura "Accetto", scriverlo su un foglio di carta o firmare un documento con questo scopo) e ha accesso e letto un'informativa sulla privacy conforme che lo informa sulle attività di trattamento dei dati dell'entità. *Si tratta di una definizione importante a cui prestare attenzione se la vostra azienda si basa sul consenso come base giuridica per il trattamento dei dati personali.
Titolare del trattamento dei dati	"...la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; qualora le finalità e i mezzi di tale trattamento siano determinati dal diritto dell'Unione o degli Stati membri, il responsabile del trattamento o i criteri specifici per la sua nomina possono essere previsti dal diritto dell'Unione o degli Stati membri;" (Capitolo 1, articolo 4, parte 7)	Qualsiasi persona fisica o entità che determina la ragione e i mezzi del trattamento dei dati personali relativi agli interessati (ad esempio, clienti, utenti, visitatori del sito web, ecc.)
Elaboratore dati	una persona fisica o giuridica, un'autorità pubblica, un'agenzia o un altro organismo che tratta dati personali per conto del responsabile del trattamento;(capitolo 1, articolo 4, parte 8)	Qualsiasi terzo incaricato da un responsabile del trattamento dei dati di trattare i dati personali sulla base delle istruzioni fornite dal responsabile del trattamento e per suo conto.

Continuerò a usare questi termini in tutta la guida GDPR , quindi sentitevi liberi di fare riferimento alle definizioni ogni volta che sarà necessario.

Sanzioni in caso di non conformità

La violazione del GDPR comporta multe salate e l'attenzione dell'opinione pubblica. E credetemi, non volete finire nella nostra lista delle più grandi multe GDPR di tutti i tempi.

• Le aziende che violano in modo significativo il regolamento di cui all'articolo 83, paragrafo 5, del GDPR rischiano una sanzione massima di 20 milioni di euro (22,5 milioni di dollari) o del 4% del loro fatturato globale annuo, a seconda di quale sia il valore più alto.
• Le infrazioni meno gravi, elencate nell'articolo 83(4) del GDPR, prevedono un massimo di 10 milioni di euro (12 milioni di dollari) o fino al 2% del fatturato globale annuo.

Inoltre, le autorità possono emettere un rimprovero pubblico o limitare l'attività di raccolta dei dati, ad esempio vietando a un'azienda di trattare le informazioni dei soggetti interessati GDPR . Tali restrizioni possono essere imposte su base temporanea o permanente.

La prima sanzione significativa GDPR (circa 50 milioni di euro) è stata emessa nel gennaio 2019 e non si è fermata lì: il regolamento ha attualmente accumulato un totale di 4 miliardi di euro (4,5 miliardi di dollari) in multe complessive. Che paura.

Il GDPRha un impatto su...

Nelle sezioni che seguono, illustrerò l'approccio del GDPRa diversi argomenti di vitale importanza che hanno un impatto sulle aziende e sui consumatori.

Sette principi fondamentali GDPR

Il testo del GDPR (capitolo 2, articolo 5) delinea sette principi fondamentali che le entità devono seguire per trattare legalmente i dati personali.

Questi principi sono:

1. Legalità, equità e trasparenza
2. Limitazione dello scopo
3. Minimizzazione dei dati
4. Precisione
5. Limitazione dello stoccaggio
6. Integrità e riservatezza (alias, sicurezza)
7. Responsabilità

Ma mi accorgo che la maggior parte delle aziende non sempre comprende lo scopo del GDPR e il significato di questi principi fondamentali o a cosa si riferiscono per quanto riguarda la conformità alla privacy. Perciò mi prenderò il tempo di spiegarvi ognuno di essi.

Legalità, equità e trasparenza

Secondo il GDPR, tutti i trattamenti dei dati effettuati da qualsiasi entità devono essere legali. Dovete trattare le informazioni in modo equo e nel miglior interesse degli interessati.

Le aziende non possono ingannare gli utenti sulle finalità o sulle attività di trattamento dei dati.

Dovete informare in modo trasparente i vostri utenti su quali informazioni raccogliete da loro, sulla base giuridica che vi consente di farlo e su come vengono utilizzate, compreso se le condividete con terzi e quali sono i loro diritti.

Limitazione dello scopo

Ai sensi del GDPR, le aziende devono raccogliere e trattare i dati personali solo per le finalità esplicitamente indicate agli interessati.

Ciò significa che non è possibile trattare i dati personali al di là di tali finalità, a meno che l'ulteriore trattamento non sia considerato compatibile con le finalità per cui i dati personali sono stati originariamente raccolti. Questo è noto come limitazione delle finalità.

Lo scopo del trattamento deve essere chiaro fin dall'inizio, deve essere registrato in qualche modo e può essere modificato solo se si ottiene nuovamente il consenso degli utenti.

Tuttavia, l'archiviazione dei dati per il pubblico interesse, per scopi di ricerca scientifica o storica o per scopi statistici non è soggetta a limitazioni di scopo, a condizione che vengano rispettate tutte le disposizioni di cui al capitolo 9, articolo 89 del GDPR.

Minimizzazione dei dati

Le aziende che ricadono sotto la giurisdizione del GDPR possono raccogliere solo dati personali adeguati, pertinenti e limitati a quanto necessario per le finalità indicate agli interessati per il trattamento dei dati.

In altre parole, dovreste raccogliere solo i dati necessari per lo scopo di trattamento dichiarato, non potete inventarvi qualsiasi motivo per raccogliere quanti più dati possibile.

l'attuazione pratica di questo principio richiede l'applicazione di due concetti: necessità (cioè, il trattamento dei dati è necessario?) e proporzionalità (cioè, è proporzionato?) al trattamento dei dati personali.

Precisione

Secondo il GDPR, dovete adottare misure ragionevoli per garantire che i dati personali raccolti siano accurati e aggiornati, ove necessario. Questa azione è necessaria perché ci sono rischi evidenti per gli interessati se vengono elaborate informazioni inesatte.

Pertanto, le aziende devono anche adottare tutte le misure possibili per correggere o rettificare i dati inesatti senza ritardi ingiustificati (ovviamente nei limiti del ragionevole).

Limitazione dello stoccaggio

Il GDPR stabilisce chiaramente che le aziende non devono conservare i dati personali più a lungo di quanto sia necessario in relazione allo scopo per cui i dati sono stati inizialmente elaborati.

l'unica eccezione è costituita da scopi di archiviazione di interesse pubblico, ricerca scientifica o storica, o fini statistici, nel qual caso è possibile conservare i dati per periodi più lunghi, come indicato nel capitolo 9, articolo 89 del GDPR.

Integrità e riservatezza (alias, sicurezza)

Ai sensi del GDPR, la vostra azienda deve adottare misure tecniche e organizzative adeguate per proteggere i dati personali da trattamenti non autorizzati o illegali, perdita, distruzione e danneggiamento accidentali. In parole povere, dovete evitare il rischio di incorrere in fughe o violazioni di dati.

Essere irresponsabili con i dati personali degli interessati può mettervi nei guai!

Il GDPR può ritenere le aziende finanziariamente responsabili se cadono vittime di un crimine informatico a causa di misure di sicurezza inadeguate.

Inoltre, dovete notificare all'autorità di protezione dei dati applicabile qualsiasi perdita o violazione senza ritardi ingiustificati, ma non oltre 72 ore dal momento in cui siete venuti a conoscenza della violazione dei dati.

Se la violazione dei dati può comportare un rischio elevato per i diritti e le libertà degli interessati, dovete informarli.

In virtù di questo principio fondamentale, l'azienda deve adottare misure di sicurezza adeguate per garantire che i dati trattati siano anonimizzati, crittografati o almeno pseudonimizzati per ridurre la probabilità di una grave violazione dei dati.

Responsabilità

La responsabilità è uno dei principi più importanti del GDPR.

Secondo il GDPR, le organizzazioni devono dimostrare di rispettare i sei principi precedenti che ho appena trattato, noti come principio di responsabilità. l'idea è che le organizzazioni devono essere responsabili della raccolta e del trattamento delle informazioni sulle persone.

Devono assumerne la responsabilità e prendersene cura durante l'intero ciclo di vita dei dati. Così facendo, l'organizzazione può essere ritenuta responsabile delle proprie azioni e inazioni.

Se pensate di essere GDPR ma non potete dimostrarlo, tecnicamente non lo siete.

Alcuni modi per dimostrare che la vostra azienda è compatibile con il GDPR includono:

• Pubblicare un'informativa sulla privacy aggiornata e accurata a disposizione di tutti gli interessati dell'UE/SEE.
• l'utilizzo di moduli di richiesta di accesso ai dati(DSAR) sulla vostra piattaforma consente agli interessati dell'UE/SEE di esercitare facilmente i propri diritti in materia di privacy.
• Garantire l'utilizzo di adeguati accordi di trattamento dei dati(DPA) con qualsiasi terza parte che abbia accesso ai dati dell'utente, in conformità agli obblighi contrattuali delineati nel capitolo 4, articolo 28 del regolamento.
• Nominare un responsabile della protezione dei dati (DPO), se necessario.
• Formazione del personale sulle migliori pratiche in materia di privacy dei dati e di cybersecurity.
• Documentate dettagliatamente le misure di sicurezza utilizzate per proteggere adeguatamente i dati dei vostri utenti.
• Sii consapevole dei diritti degli interessati così da poterli assistere tempestivamente.

Privacy by Design e by Default (PbD)

Il GDPR descrive qualcosa chiamato Privacy by Design e by Default o PbD, che significa semplicemente che dovreste concentrarvi sull'integrazione della protezione dei dati nel cuore della vostra attività, dalla fase di progettazione all'intero ciclo di vita dell'attività di trattamento.

Facendo della protezione dei dati una componente essenziale della vostra attività, potete anticipare meglio i rischi e le violazioni dei dati prima che si verifichino. In questo modo, potrete offrire alle persone un ambiente più sicuro e la fiducia nella vostra azienda.

Spesso dico alle aziende che questa è una garanzia per i vostri clienti che tenete conto della sicurezza delle loro informazioni personali quando pianificate i vostri protocolli di raccolta ed elaborazione dei dati.

La PbD non è un concetto nuovo nella sfera della protezione dei dati. Tuttavia, il GDPR lo rende un requisito legale ufficiale per quanto riguarda gli interessati all'interno dell'UE/SEE.

l'integrità dei dati deve far parte di ogni fase di progettazione del prodotto e deve essere tenuta presente in modo proattivo in tutte le fasi dello sviluppo.

Condizioni per il trattamento legale dei dati personali

Per trattare legittimamente i dati personali ai sensi del GDPR, è necessario indicare la base giuridica per ciascuna categoria di informazioni utilizzate.

Il GDPR indica le seguenti basi giuridiche come motivi conformi per il trattamento dei dati:

Consenso

Potete fare affidamento sul consenso solo se offrite agli interessati il controllo e la possibilità di scegliere realmente se accettare o rifiutare le condizioni offerte senza pregiudicare le vostre attività di trattamento.

Per avere una base legale valida per la raccolta di informazioni personali, è necessario rispettare le condizioni specifiche delineate dal GDPR . Poiché si tratta di una base giuridica comune per le aziende, la tratteremo in modo più dettagliato nella prossima sezione.

Prestazioni contrattuali

Se il trattamento è necessario per l'esecuzione di un contratto che include l'interessato, si tratta di un motivo legittimo per trattare le informazioni dell'utente.

Interesse legittimo

Se il trattamento dei dati è necessario per i vostri interessi legittimi, si applica questa base giuridica, a meno che tali interessi legittimi non prevalgano sui diritti e le libertà degli interessati.

Interesse vitale

Ciò si applica in situazioni di vita o di morte e si riferisce al trattamento dei dati necessari per proteggere gli interessi vitali di una persona interessata.

Requisiti legali

Questa base giuridica si applica quando il trattamento è necessario per adempiere a un obbligo legale.

Interesse pubblico

Ciò si applica quando il trattamento dei dati è necessario per svolgere un compito nell'interesse pubblico e si applica tipicamente a enti pubblici o privati che svolgono compiti di interesse pubblico.

Assicuratevi di spiegare chiaramente e di dimostrare la vostra base giuridica per ogni tipo di informazione personale che raccogliete in un'informativa sulla privacyGDPR.

È importante sottolineare che non esiste una gerarchia tra le basi giuridiche, fatta eccezione per il "legittimo interesse", che sarà utilizzato solo in ultima istanza quando non è possibile fare affidamento su altre basi giuridiche.

Inoltre, prima di trattare i dati personali è necessario determinare la base legale. È importante farlo bene la prima volta. Cambiare la base giuridica potrebbe essere intrinsecamente ingiusto nei confronti degli interessati e potrebbe portare a violazioni dei requisiti di responsabilità e trasparenza.

Consenso ai sensi del GDPR

Il consenso è una delle basi giuridiche per il trattamento dei dati personali ai sensi del GDPR, ma la vostra azienda deve essere in grado di dimostrare diverse condizioni specifiche delineate dal regolamento.

Il GDPR definisce il consenso valido nel Capitolo 1, Articolo 4, e per aiutarvi a comprendere meglio questa definizione, l'ho suddivisa nelle sue parti essenziali:

• Liberamente forniti: I vostri utenti devono avere una scelta e un controllo reali per accettare le vostre pratiche di raccolta dei dati e non possono essere costretti o obbligati.
• Specifico: se un utente acconsente alle vostre attività di trattamento, non potete combinare questa scelta affermativa con altre cose o convolgerla in modi che possano confondere l'interessato.
• Informati: I vostri utenti devono sapere cosa accettano, il che significa fornire una spiegazione di facile lettura su quali dati state raccogliendo, perché ne avete bisogno, come li userete e con chi li condividerete. Questo aspetto è strettamente legato ai principi di correttezza e liceità illustrati in precedenza.
• Indicazione inequivocabile: Gli utenti devono segnalare il loro consenso alle vostre pratiche di trattamento dei dati attraverso un movimento o una dichiarazione attiva, come la selezione di una casella di controllo o di un pulsante "Accetto" opportunamente etichettato. Questo consenso non può essere confuso con l'accettazione di altre cose, come e-mail di marketing o newsletter. Pertanto, deve essere chiaro che l'interessato acconsente a una particolare attività di trattamento.
• Azione positiva: Gli utenti devono compiere un'azione evidente per esprimere il loro consenso alle attività di trattamento dei dati. Fate in modo che selezionino un pulsante "Accetto" chiaramente etichettato, che compilino attivamente un modulo o che selezionino una casella di controllo non contrassegnata per esprimere l'approvazione.

Il GDPR descrive le seguenti condizioni per il consenso nel capitolo 4, articolo 7, che dovete soddisfare per utilizzare il consenso come base giuridica valida per il trattamento dei dati:

Le informazioni devono essere accessibili e scritte con un linguaggio comprensibile per la media delle persone. Gli utenti devono sapere cosa stanno accettando e l'uso dei loro dati non deve andare oltre quanto specificato.

Per descrivere in breve il consenso ai sensi del GDPR : le infinite pagine di legalese e le caselle pre-selezionate non bastano più.

Linee guida per l'archiviazione e la sicurezza dei dati

Secondo il GDPR, le aziende hanno la responsabilità di mantenere i dati personali al sicuro da violazioni della sicurezza informatica o da fughe di notizie, che potrebbero portare, in particolare, ad accessi non autorizzati, indisponibilità dei dati personali o perdita di integrità.

Inoltre, stabilisce che le entità devono conservare le informazioni solo per il tempo necessario a completare gli scopi iniziali presentati agli interessati.

Spetta a voi considerare il livello di rischio dei dati che state raccogliendo e applicare le garanzie appropriate, tenendo conto dei costi di implementazione e della natura, dell'ambito, del contesto e delle finalità del trattamento.

Tuttavia, il capitolo 4, articolo 32 del GDPR raccomanda di adottare le seguenti misure:

• Pseudonimizzazione e crittografia dei dati.
• Garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi di elaborazione.
• Fornire la capacità di ripristinare la disponibilità e l'accesso ai dati in caso di incidente.
• Un processo di verifica, accertamento e valutazione dell'efficacia delle misure tecniche e organizzative.

Responsabili della protezione dei dati (DPO)

Secondo il Capitolo 4, Articolo 37, è necessario nominare un RPD se:

• Il trattamento dei dati è effettuato da un'autorità pubblica.
• Le attività e le finalità del titolare o del responsabile del trattamento richiedono il monitoraggio sistematico degli interessati su larga scala (ad esempio, la profilazione).
• Trattate categorie di dati sensibili su larga scala (come condanne penali, dati sanitari, opinioni politiche, dettagli sul sesso, ecc.)

Alcune domande possono nascere dalle condizioni sopra elencate.

La nomina di una persona incaricata di supervisionare tutte le procedure relative alla protezione dei dati è fondamentale per raggiungere la conformità al GDPR .

I DPO non sono personalmente responsabili in caso di non conformità e devono essere indipendenti nello svolgimento del loro lavoro. I DPO devono inoltre avere una linea di comunicazione diretta con il management superiore, ad esempio con il CEO dell'azienda.

Valutazioni d'impatto sulla protezione dei dati (DPIA)

Potreste dover valutare alcuni rischi in anticipo se il vostro trattamento dei dati - sia che utilizziate una nuova tecnologia, sia per la natura, la portata e il contesto dell'attività di trattamento - comporta un rischio elevato per i diritti e le libertà degli interessati.

Dovete quindi prestare molta attenzione a questo aspetto del GDPR.

La vostra azienda deve eseguire una valutazione d'impatto sulla protezione dei dati (DPIA), come indicato nel capitolo 4, articolo 35 del regolamento, e richiedere la consulenza di un responsabile della protezione dei dati (DPO) per il trattamento di dati altamente sensibili.

Se la DPIA determina che il trattamento dei dati è troppo rischioso per i diritti e le libertà delle persone interessate, è necessario consultare un'autorità di controllo come indicato nel Capitolo 4, Articolo 36.

Requisiti GDPR per le aziende

Le aziende devono seguire diversi requisiti per conformarsi adeguatamente al GDPR . Li ho suddivisi in fasi per aiutarvi a semplificare il processo.

Fase 1: Eseguire una verifica della privacy e determinare le basi legali

All'inizio, vi suggerisco di dedicare un po' di tempo alla verifica della privacy del vostro sito web o della vostra azienda in generale, in modo da conoscere tutti i dati personali che vengono raccolti dagli utenti.

Dovreste inoltre determinare le categorie e i tipi di dati che raccogliete e le ragioni legali per farlo.

Preparatevi a scrivere tutto questo; deve essere inserito in un'informativa sulla privacy da presentare agli interessati ovunque si verifichi il trattamento dei dati sul vostro sito. Altrettanto importante è che queste informazioni vi consentiranno di mappare tutti i vostri dati, che vi serviranno in seguito per creare i registri delle attività di trattamento ai sensi dell ›articolo 30 del GDPR.

Fase 2: Ottenere il consenso dei soggetti interessati

Questa fase si applica se il consenso è la base giuridica utilizzata per il trattamento dei dati personali.

Per garantire legalmente che stiate rispettando tutti i requisiti di consenso GDPR , dovete:

• Presentate ai vostri utenti un banner di consenso conforme che consenta loro di scegliere se aderire o meno alle vostre attività di trattamento dei dati.
• Assicuratevi che un'accurata informativa sulla privacy e sui cookie sia collegata al vostro banner di consenso, poiché gli interessati dell'UE/SEE hanno il diritto di accedere a queste informazioni (le linee guida sull'informativa sulla privacy GDPR saranno trattate nel prossimo paragrafo).
• Offrite loro un modo per cambiare facilmente idea o ritirare il consenso in qualsiasi momento, ad esempio attraverso un centro di preferenze per il consenso.
• Conservate un registro delle scelte di consenso per dimostrare che avete ottenuto il consenso.

Fase 3: Creazione e condivisione di un'informativa sulla privacy conforme

Al momento dell'acquisizione dei dati personali, dovete presentare agli interessati un'informativa sulla privacy che includa i seguenti dettagli, come indicato nel Capitolo 3, Articolo 13:

• l'identità dell'azienda, le informazioni di contatto e il rappresentante, se applicabile.
• I dati di contatto del vostro responsabile della protezione dei dati, se applicabile.
• Lo scopo previsto per il trattamento dei dati e la vostra base giuridica per farlo
• Una spiegazione di qualsiasi interesse legittimo che voi o le terze parti con cui lavorate possono avere per il trattamento dei dati, se vi basate su questa base legale (cioè, l'articolo 6.1(f) del GDPR)
• I destinatari dei dati personali, o le categorie di destinatari, se esistono
• Se intendete trasferire i dati personali a un paese terzo o a un'organizzazione internazionale, e le misure di sicurezza adottate per proteggere i dati.
• Il periodo per il quale si intende archiviare i dati o i criteri utilizzati per determinare tale periodo.
• I diritti degli interessati, compreso il diritto di presentare un reclamo.
• l'esistenza di un processo decisionale automatizzato, compresa la profilazione, di cui all'articolo 22, paragrafi 1 e 4, del GDPR.

Fase 4: Utilizzare gli accordi di trattamento dei dati per soddisfare gli obblighi contrattuali del GDPR

Se vi affidate a terzi per il trattamento dei dati per vostro conto, questi diventano responsabili del trattamento dei dati , mentre la vostra azienda rimane il responsabile del trattamento dei dati, ed entrambi dovrete firmare un contratto GDPR.

Dovete inoltre assicurarvi che il responsabile del trattamento dei dati che state per ingaggiare fornisca garanzie sufficienti per implementare misure tecniche e organizzative adeguate a salvaguardare i dati personali affidatigli.

Per soddisfare queste linee guida, le aziende utilizzano comunemente un accordo di trattamento dei dati o DPA (Data Processing Agreement), delineato nel Capitolo 4, Articolo 28. Dovete richiedere al terzo responsabile del trattamento dei dati di:

• Trattare i dati personali solo secondo le istruzioni del titolare del trattamento
• Impegnarsi a garantire la riservatezza dei dati personali.
• Adottare tutte le misure di sicurezza previste dal GDPR.
• Non collaborare con un altro incaricato del trattamento senza l'autorizzazione scritta del responsabile del trattamento.
• Assistere il titolare del trattamento adottando misure tecniche e organizzative per soddisfare le richieste degli interessati che desiderano esercitare i propri diritti in materia di privacy.
• Assistere il responsabile del trattamento dei dati nel rispetto di tutte le linee guida sul trattamento della sicurezza e dei requisiti di consultazione preventiva delineati dal GDPR.
• Cancellare tutti i dati personali o restituirli al titolare del trattamento al termine del contratto.
• Rendere disponibili tutte le informazioni necessarie per dimostrare la conformità al GDPR e informare immediatamente il responsabile del trattamento dei dati se ritiene che un'istruzione violi il regolamento o altre leggi degli Stati membri.

Fase 5: Seguire tutti i requisiti di sicurezza e protezione GDPR

Tutte le aziende ai sensi del GDPR devono conservare e proteggere in modo sicuro i dati personali, ma le aziende che raccolgono dati su larga scala o che trattano categorie di dati ad alto rischio devono anche impiegare un DPO e completare le DPIA che ho trattato in questa guida.

Tuttavia, vorrei ricordarvi che la nomina di un DPO e l'esecuzione di DPIA sono considerate buone prassi per la vostra responsabilità ai sensi del GDPR, anche se non trattate categorie di dati personali su larga scala o ad alto rischio.

La conformità al GDPR è diversa per ogni azienda perché ognuno utilizza pratiche di trattamento dei dati uniche.

In che modo le regole GDPR influenzano gli utenti e i consumatori?

Il GDPR influisce sugli utenti dando loro maggiori diritti e controllo su come vengono utilizzati i loro dati e garantisce che le aziende li informino tempestivamente se le loro informazioni vengono compromesse.

Sintesi dei nuovi diritti dei consumatori GDPR

Il GDPR conferisce agli interessati i seguenti diritti al capitolo 3, articoli 12-23:

• Il diritto di essere informati(articoli 13 e 14): Il GDPR enfatizza la trasparenza nelle pratiche di raccolta dei dati, il che significa che le persone hanno il diritto di essere pienamente informate sulla raccolta e sull'uso dei loro dati.
• Diritto di accesso(articolo 15): Le persone possono chiedere di visionare i dati personali raccolti su di loro. Dovete spiegare loro perché avete raccolto le informazioni e con chi le avete condivise. Dovete fornire questi dettagli il prima possibile, ma non oltre un mese, e gratuitamente.
• Diritto di rettifica(articolo 16): Se i dati raccolti su un individuo sono inesatti, l'individuo può richiedere una correzione (rettifica). l'organizzazione che elabora i dati deve rispondere il prima possibile ed entro un mese deve correggere le informazioni di conseguenza. l'interessato può anche richiedere il completamento di informazioni incomplete. È possibile che dobbiate informare di questa richiesta anche altre terze parti con cui avete condiviso i dati personali.
• Diritto alla cancellazione(articolo 17): Le persone possono richiedere la cancellazione definitiva delle loro informazioni se i dati non sono più rilevanti o perché l'utente ritira il proprio consenso. È possibile che dobbiate informare di questa richiesta anche altre terze parti con cui avete condiviso i vostri dati personali.
• Diritto di limitare il trattamento dei dati(articolo 18): Un individuo può chiedere di limitare il trattamento dei propri dati quando si applicano determinate condizioni, ad esempio se il trattamento è illegale o se l'individuo si è opposto al trattamento. È possibile che dobbiate informare di questa richiesta anche altre terze parti con cui avete condiviso i vostri dati personali.
• Diritto alla portabilità dei dati (articolo 20): quando gli utenti chiedono di consultare i propri dati, devono riceverli in un formato chiaro. Il responsabile del trattamento che fornisce queste informazioni non può impedire o ostacolare la possibilità dell'interessato di trasmettere i dati a un altro responsabile del trattamento. In sostanza, i dati personali devono essere facilmente trasferiti a un'altra organizzazione.
• Diritto di opposizione(articolo 21): le persone possono opporsi al trattamento dei loro dati in determinate situazioni, come il marketing diretto.
• Processo decisionale individuale automatizzato (articolo 22): gli individui hanno il diritto di non essere sottoposti a un processo decisionale automatico che abbia effetti giuridici significativi.

Questa normativa è anche uno dei motivi principali per cui si vedono spuntare banner di consenso con link a politiche dettagliate sui cookie e a informative sulla privacy.

Fatto curioso: dopo la sua entrata in vigore, l'uso dei banner pop-up di consenso è aumentato in tutta Europa del 16%.

Le persone amano lamentarsi dell'abbondanza di questi banner pop-up, ma personalmente non mi danno fastidio.

Mi piace avere la possibilità di scegliere come utilizzare i miei dati personali e cliccare ripetutamente su un pulsante su Internet non mi sembra una gran seccatura.

Riepilogo delle notifiche di violazione dei dati GDPR

Il GDPR richiede alle aziende di notificare all'autorità di vigilanza competente e, in determinati scenari, agli interessati se i loro dati personali vengono compromessi da errori tecnici o altre violazioni dei dati.

A mio avviso, questo è uno degli impatti più critici introdotti dal GDPR , in quanto ritiene le aziende responsabili delle loro pratiche di sicurezza - o della loro mancanza - offrendo agli utenti una maggiore tranquillità.

Secondo l'articolo 33 del testo, le imprese hanno 72 ore di tempo per informare l'autorità di vigilanza competente dopo aver scoperto una violazione.

La notifica all'autorità di vigilanza deve includere dettagli sulla natura della violazione, sulle probabili conseguenze e sulle misure che il responsabile del trattamento intende adottare per mitigare gli effetti dannosi.

Gli stessi interessati devono essere informati "senza indebito ritardo" se la violazione dei dati può comportare un rischio elevato per i loro diritti e libertà. Questo aspetto è ulteriormente descritto all'articolo 34 del GDPR.

l'effetto mondiale del GDPR

Il GDPR ha fornito un modello per il modo in cui la legislazione sulla privacy dei dati considera i confini territoriali in un mondo digitale, cambiando essenzialmente il panorama della privacy in tutto il mondo.

Il GDPR ha un ambito di applicazione extraterritoriale, il che significa che le sue regole si applicano al di là dei confini territoriali tradizionali. Per questo motivo, le aziende di altri Paesi devono attenersi ai requisiti del GDPR pur essendo al di fuori dell'UE o del SEE se forniscono servizi a soggetti interessati nell'UE/SEE, anche se a titolo gratuito o se ne monitorano il comportamento, ad esempio per la profilazione.

In soli cinque anni, più di 100 Paesi hanno implementato nuove leggi sulla protezione dei dati per regolare il flusso dei dati personali, con ulteriori leggi in arrivo, molte delle quali direttamente parallele al regolamento europeo.

In che modo le aziende statunitensi sono interessate dal GDPR dell'UE?

Molte aziende statunitensi sono interessate dal GDPR perché, pur essendo situate in America, rientrano nella soglia legale del regolamento e devono rispettare tutte le sue linee guida.

Agli albori del GDPR, ricordo che alcune aziende statunitensi hanno adottato un approccio timido nel targettizzare gli annunci pubblicitari per gli utenti europei. Altre, invece, hanno scelto di escludere completamente la loro base di clienti UE/SEE.

Ma a distanza di anni, è emerso che chi ha cercato di adeguarsi è rimasto più forte, soprattutto quando nel 2020 è entrato in vigore il California Consumer Privacy Act(CCPA), una legge statale con misure sulla privacy ispirate al GDPR, seguita da Colorado, Connecticut, Indiana, Iowa, Montana, Tennessee, Texas, Utah o Virginia.

Negli Stati Uniti sono state approvate diverse leggi sulla privacy in vari Stati e altri progetti di legge sono all'orizzonte.

Questo è il momento ideale per le aziende per acquisire maggiore familiarità con gli effetti del GDPR negli Stati Uniti e per implementare una strategia globale di sicurezza dei dati.

Cosa significa il GDPR per il futuro?

Con il GDPR alla guida della regolamentazione del flusso di dati, credo che il futuro della privacy sarà plasmato da coloro che oggi danno priorità alla protezione dei dati.

I dati hanno un valore immenso per le aziende, ma i consumatori e gli enti governativi chiedono sempre più spesso alle aziende di salvaguardare la fonte dei dati e di garantire che la privacy sia presa sul serio, o di affrontarne le conseguenze.

Basta dare un'occhiata ad alcune allarmanti statistiche sulla privacy dei dati che sottolineano come i consumatori si aspettino dalle aziende pratiche di privacy più trasparenti:

• Il 76% degli utenti ritiene che le aziende debbano fare di più per proteggere i propri dati online(Global Consumer State of Mind Report 2021)
• Il 92% degli americani si preoccupa della propria privacy quando usa Internet.(TrustArc)
• Solo il 25% degli utenti ritiene che le aziende siano responsabili con i loro dati.(Pew Research Center)

Dopo anni di mancanza di trasparenza in materia di privacy dei dati, è evidente che i clienti chiedono una protezione più completa delle loro informazioni personali, anche in territori come gli Stati Uniti, che non rientrano nel campo di applicazione del GDPR .

Domande frequenti GDPR

Di seguito, rispondo ad alcune delle domande più frequenti che Termly riceve in merito alla normativa.

Riassunto

Il GDPR è una legge sulla privacy molto severa, ma è possibile per le aziende raggiungere facilmente la conformità.

Avrete bisogno di un'informativa aggiornata sulla privacy e sui cookie, di una gestione del consenso platform correttamente configurata e di un modulo DSAR per aiutare gli utenti a presentare richieste di privacy.

Termly può aiutarti! Iniziate con il nostro generatore di informativa sulla privacy e sulla gestione del GDPR. gestione del consenso platform gratuitamente.

Per saperne di più su chi scrive

Scritto da Teodor Stanciu, CIPP/E, CIPM

Teo è un Data Privacy Specialist e un esperto Data Protection Officer (DPO) che si occupa con passione di aiutare le aziende a rispettare gli obblighi di protezione dei dati. Ha un'esperienza di oltre sette anni come DPO per un'organizzazione internazionale attiva in 50 Paesi e con sede a Bruxelles, in Belgio. Teo è Certified Information Privacy Professional/Europe (CIPP/E) e Certified Information Privacy Manager (CIPM) presso l'international Association of Privacy Professionals (IAPP).

Per saperne di più su chi scrive

Recensito da Masha Komnenic CIPP/E, CIPM, CIPT, FIP Direttore di Global Privacy