Casa ' Risorse ' Articoli 'GDPR for Dummies

GDPR for Dummies

A cura di: Teodor Stanciu, CIPP/E, CIPM Teodor Stanciu, CIPP/E, CIPM | Aggiornato il: 15 novembre 2024

Recensito da: Masha Komnenic CIPP/E, CIPM, CIPT, FIP Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Soluzione gratuita per la conformità al GDPR
GDPR

Il Regolamento generale sulla protezione dei dati è una complessa normativa europea sulla privacy dei dati che ha un impatto sulle aziende di tutto il mondo e le aziende devono comprenderne i requisiti per ottenere la conformità.

Questa guida GDPR for Dummies spiega tutto quello che c'è da sapere sul GDPR in un linguaggio facile da capire.

Di seguito, fornisco una spiegazione per principianti del GDPR, per chi si applica e protegge, e quali sono i passi da compiere per impostare la vostra azienda in modo che sia pienamente conforme.

Indice dei contenuti
  1. Punti chiave: GDPR spiegato in meno di 5 minuti
  2. Il GDPR spiegato ai principianti
  3. Come influisce il GDPR sugli utenti di Internet?
  4. Come influisce il GDPR sulle aziende?
  5. Lista di controllo rapida GDPR per principianti: I "Do's" e i "Don't
  6. Guida Dummies al GDPR [Infografica]
  7. FAQ GDPR for Dummies
  8. Come può Termly aiutarvi a rispettare il GDPR?
  9. Riassunto

Punti chiave: GDPR spiegato in meno di 5 minuti

Non credo che le aziende debbano sempre affidarsi a un avvocato per comprendere i requisiti di base per la conformità con il GDPR. GDPRper cui di seguito ho spiegato i punti chiave del regolamento in un linguaggio di facile comprensione:

  • Che cos'è il GDPR? - GDPR è un regolamento europeo sulla privacy dei dati che garantisce alle persone nell'UE/SEE i diritti sul trattamento dei loro dati personali, indipendentemente dal fatto che il trattamento avvenga online o offline. È neutrale dal punto di vista tecnologico e spiega i requisiti che le persone fisiche, le aziende, le autorità pubbliche o le organizzazioni devono soddisfare per elaborare legalmente tali informazioni.
  • Chi protegge il GDPR ? - GDPR protegge qualsiasi individuo che si trovi fisicamente nell'Unione Europea (UE) o nello Spazio Economico Europeo (SEE), indipendentemente dalla nazionalità, dallo stato di cittadinanza o dal fatto che le sue informazioni siano trattate online o offline.
  • A chi si applica il GDPR ? - GDPR si applica a qualsiasi azienda nell'UE/SEE che tratta dati personali nell'ambito delle attività di una delle sue filiali, indipendentemente dal luogo in cui i dati personali vengono elaborati. Si applica anche alle aziende con sede al di fuori dell'UE/SEE che trattano i dati personali di individui (indipendentemente dal fatto che siano o meno utenti registrati a un sito web specifico) e che offrono beni e servizi accessibili nell'UE/SEE o monitorano il comportamento di individui nell'UE/SEE.
  • Quali diritti conferisce il GDPR alle persone fisiche? - Ai sensi del regolamento, le persone (chiamate interessati) hanno il diritto di accedere, correggere, modificare, limitare e cancellare i propri dati personali. Hanno anche il diritto alla portabilità dei dati, il che significa che possono copiare, spostare e trasferire le loro informazioni in modo da facilitarne il riutilizzo in un formato diverso.
  • Quali sono i requisiti del GDPR per le aziende? - Le entità che rientrano nell'ambito di applicazione del GDPR devono spiegare i loro processi di raccolta dei dati in un'informativa sulla privacy trasparente e conforme, che indichi chiaramente, in parte, la base giuridica per il trattamento di ciascuna categoria di dati personali e le finalità di tale trattamento. Devono inoltre fornire misure tecniche e organizzative adeguate per archiviare in modo sicuro i dati personali che trattano, in modo che siano al riparo da violazioni o fughe di dati.
  • Di quali politiche e soluzioni legali ha bisogno il mio sito web per essere conforme al GDPR? - Per iniziare il percorso di conformità al GDPR , il vostro sito web ha bisogno di un'informativa sulla privacy, di un'informativa sui cookie, cookie banneraccordi sul trattamento dei dati(DPA) e moduli di richiesta di accesso ai dati(DSAR o SAR).
  • Quali sono le sanzioni in caso di violazione del GDPR? - Le aziende che non rispettano il GDPR rischiano multe fino a 20 milioni di euro (23 milioni di dollari) o il 4% del reddito annuo lordo dell'anno precedente, a seconda del valore più alto.

L'elenco sopra riportato è un buon punto di partenza per comprendere il GDPR.

Ma nel resto di questa guida semplificata al GDPR , approfondisco parti importanti del regolamento in modo più dettagliato.

Il GDPR spiegato ai principianti

A seguire, tratterò le nozioni di base del GDPR, come ad esempio cos'è, perché ne abbiamo bisogno e come definisce specifiche frasi essenziali relative alle informazioni personali e al trattamento dei dati.

Che cos'è il GDPR?

Il GDPR è l'acronimo di General Data Protection Regulation (Regolamento generale sulla protezione dei dati) ed è un atto legislativo europeo che protegge le informazioni personali. Esso delinea diversi requisiti che le aziende devono seguire per trattare i dati in modo legale.

Sebbene sia stata approvata nell'Unione Europea, essa riguarda le aziende di tutto il mondo e ha introdotto il concetto di Privacy by Design (PbD).

Questo approccio alla privacy prevede di ridurre al minimo la raccolta dei dati e di adottare misure di sicurezza fin dall'inizio dell'attività di trattamento per evitare fughe di dati e violazioni in tutte le fasi del trattamento delle informazioni personali.

Il GDPR segue sette principi di protezione dei dati:

  1. Legalità, equità e trasparenza
  2. Limitazione dello scopo
  3. Minimizzazione dei dati
  4. Precisione
  5. Limitazione dello stoccaggio
  6. Integrità e riservatezza (alias, sicurezza)
  7. Responsabilità

È entrata in vigore il 25 maggio 2018 e ha stabilito nuovi standard per la privacy e la sicurezza dei dati, dando il via a un'ondata di leggi globali sulla privacy che hanno cambiato per sempre il modo in cui i consumatori e le aziende utilizzano Internet.

Perché abbiamo bisogno del GDPR?

Abbiamo bisogno di leggi come il GDPR perché le persone hanno il diritto di sapere e di avere un certo controllo sulle informazioni che vengono raccolte su di loro e su come vengono poi utilizzate o con chi vengono condivise. Questo include voi, me e chiunque altro utilizzi Internet.

I dati personali hanno un grande valore: sono alla base di un'industria da mille miliardi di dollari.

Al giorno d'oggi, numerose aziende realizzano una parte dei loro profitti vendendo informazioni personali agli inserzionisti. Regolamenti come il GDPR creano un quadro di riferimento per la privacy per le aziende di tutte le dimensioni, stabilendo regole su ciò che possono o non possono fare con i vostri dati personali.

Conoscere il funzionamento di questo importante strumento legislativo e quali sono i vostri potenziali diritti vi aiuta a mantenere un maggiore controllo sulla vostra vita sia online che offline.

Chi protegge il GDPR ?

Il GDPR protegge le informazioni personali di qualsiasi persona all'interno dell'UE o del SEE e le definisce soggetti interessati.

Gli Stati membri dell'UE sono:

  • Austria
  • Belgio
  • Bulgaria
  • Croazia
  • Repubblica di Cipro
  • Repubblica Ceca
  • Danimarca
  • Estonia
  • Finlandia
  • Francia
  • Germania
  • Grecia
  • Ungheria
  • Irlanda
  • Italia
  • Lettonia
  • Lituania
  • Lussemburgo
  • Malta
  • Paesi Bassi
  • Polonia
  • Portogallo
  • Romania
  • Slovacchia
  • Slovenia
  • Spagna
  • Svezia

I paesi dell'EFTA (Associazione europea di libero scambio) che fanno parte del SEE (Spazio economico europeo) sono:

  • Islanda
  • Liechtenstein
  • Norvegia

L'ubicazione fisica dell'individuo è l'unico fattore preso in considerazione dal regolamento, che si applica indipendentemente dalla nazionalità o dallo stato di cittadinanza.

Quali aziende devono rispettare i requisiti del GDPR ?

Il GDPR si applica a qualsiasi azienda con sede nell'UE/SEE, indipendentemente dal fatto che il trattamento avvenga all'interno o all'esterno dell'UE/SEE.

Si applica anche alle aziende non stabilite nell'UE/SEE che trattano dati personali e o:

  1. Offre beni o servizi disponibili agli interessati all'interno dell'UE o del SEE (indipendentemente dal fatto che sia richiesto un pagamento da parte dell'interessato) o
  2. Monitoraggio del comportamento dei soggetti interessati all'interno dell'UE o del SEE

Le aziende con sede in qualsiasi parte del mondo possono rientrare nel campo di applicazione legale del GDPR.

Tuttavia, se la vostra azienda non ha sede nell'UE/SEE, se i beni o i servizi da voi forniti non sono disponibili per le persone nell'UE/SEE e se non trattate i dati di nessuno nell'UE/SEE, non siete tenuti a rispettare il GDPR.

Definizioni GDPR per principianti

Nella tabella che segue, ho fornito versioni semplificate delle definizioni legali specifiche di parole importanti, così come appaiono nel testo del GDPR , per aiutarvi a determinare se la vostra azienda deve seguire il regolamento.

Parola Definizione per principianti Definizione legale come appare nel GDPR (Capitolo 1, Articolo 4)
Dati personali Informazioni che possono identificare una persona fisica (ad es. soggetto interessato), direttamente o indirettamente, come ad esempio:

 "...qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici dell'identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale di tale persona fisica..."
Elaborazione Elaborazione comprende una qualsiasi delle seguenti azioni relative a dati personali relativo a un soggetto interessato:

  • Raccolta
  • Registrazione
  • Organizzazione
  • Strutturazione
  • Immagazzinamento
  • Adattamento
  • Alterazione
  • Recupero
  • Consulenza
  • Utilizzo
  • Divulgazione tramite trasmissione
  • Diffusione
  • Messa a disposizione
  • Allineamento o combinazione
  • Restrizione
  • Cancellazione o
  • Distruzione.
 "...qualsiasi operazione o insieme di operazioni compiute con o senza l'ausilio di processi automatizzati su dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione..."
Titolare del trattamento dei dati Qualsiasi entità (persona fisica o giuridica, autorità pubblica, agenzia o altro organismo) che determina gli scopi e i mezzi del progetto. elaborazione di dati personali.

È la vostra azienda a decidere perché e come vengono trattati i dati personali?

La vostra azienda potrebbe essere un responsabile del trattamento dei dati ai sensi del GDPR.

 "...la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; qualora le finalità e i mezzi di tale trattamento siano determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici per la sua nomina possono essere previsti dal diritto dell'Unione o degli Stati membri..."
Elaboratore dati Qualsiasi ente terzo che processi il dati personali di soggetti interessati per conto del controllore dei dati.

La vostra azienda riceve istruzioni chiare sui motivi e sulle modalità di trattamento dei dati personali?

La vostra azienda potrebbe essere un responsabile del trattamento dei dati ai sensi del GDPR.

 "...una persona fisica o giuridica, un'autorità pubblica, un'agenzia o un altro organismo che tratta i dati personali per conto del responsabile del trattamento..."

Quali sono le sanzioni in caso di violazione del GDPR?

Terrò questa sezione breve e chiara. A seconda del tipo di violazione, le aziende che violano il GDPR possono ricevere multe fino a:

  • 10 milioni di euro (12 milioni di dollari) o il 2% del reddito annuo lordo dell'anno finanziario precedente (a seconda di quale sia il valore più alto) per qualsiasi violazione ai sensi dell'articolo 83(4).
  • 20 milioni di euro (23 milioni di dollari) o il 4% del reddito lordo annuale dell'esercizio precedente (a seconda di quale sia il valore più alto) per qualsiasi violazione ai sensi dell'articolo 83(5).

Il regolamento è applicato da diverse autorità per la protezione dei dati (DPA) situate nei paesi dell'UE/SEE.

Come uno sceriffo della privacy, essi fanno rispettare e sorvegliano l'applicazione del GDPR e delle leggi nazionali pertinenti nel loro Paese, forniscono consulenze specialistiche su questioni di protezione dei dati, gestiscono i reclami presentati contro le violazioni della legge e possono anche comminare multe salate.

Nomina di un DPO (Responsabile della protezione dei dati)

Le entità (indipendentemente dal fatto che agiscano come responsabili o incaricati del trattamento) che trattano categorie speciali di dati personali o monitorano il comportamento delle persone su larga scala come attività principale devono nominare un responsabile della protezione dei dati (DPO) per:

  • Gestire tutte le attività e le pratiche GDPR
  • Monitorare la conformità dell'azienda alle leggi vigenti in materia di protezione dei dati.
  • Fornire una guida interna relativa alle norme o alle pratiche di protezione dei dati applicabili, oppure
  • Comunicare con l'autorità competente per la protezione dei dati o con gli interessati, se necessario.

Anche se un'azienda non è obbligata a nominare un DPO ai sensi del GDPR, la sua nomina è comunque raccomandata come best practice.

Come influisce il GDPR sugli utenti di Internet?

Il GDPR interessa gli utenti di Internet che risiedono nell'UE/SEE, garantendo loro diritti specifici e il controllo su quando e come vengono trattati i loro dati personali.

Gli interessati tutelati dal GDPR hanno il diritto di:

  • Accedere a quali informazioni vengono raccolte su di loro, con chi vengono condivise e come vengono utilizzate.
  • Rettificare eventuali informazioni inesatte relative all'interessato
  • cancellare i dati personali dell'interessato in determinate situazioni
  • Limitare il trattamento dei dati personali in determinate circostanze
  • Ricevere una copia portatile dei propri dati da condividere facilmente con altri soggetti e da utilizzare in altri formati
  • Opporsi al trattamento dei dati in determinate situazioni
  • Rifiuto di trattamenti automatizzati, come la profilazione
  • Ritirare il consenso precedentemente dato
  • Presentare un reclamo a un'autorità di protezione dei dati

Per ulteriori informazioni sui diritti degli interessati, consultare il capitolo 3 del GDPR.

Come influisce il GDPR sulle aziende?

Il GDPR delinea diversi requisiti aziendali da seguire (a seconda che si agisca come responsabili o incaricati del trattamento) per trattare legalmente i dati personali, che illustro brevemente nelle sezioni seguenti.

Determinare la base legale

Secondo il GDPR, la vostra azienda deve avere una base legale per il trattamento di ogni categoria di dati personali degli interessati, quindi dovete determinare quali sono queste basi per la vostra azienda.

I motivi giuridicamente validi per il trattamento dei dati sono illustrati nel capitolo 2, articolo 6 del regolamento e comprendono:

  • Ottenere il consenso dell'interessato per una o più finalità specifiche.
  • Per adempiere agli obblighi contrattuali necessari di cui è parte un soggetto interessato
  • Per obblighi o requisiti legali a cui il responsabile del trattamento è soggetto
  • Gli interessi vitali dell'interessato o di un'altra persona fisica (di solito si applica solo a situazioni di vita o di morte)
  • L'esecuzione di un compito svolto nell'interesse pubblico o nell'esercizio dei pubblici poteri di cui è investito il responsabile del trattamento.
  • Interessi legittimi perseguiti dal responsabile del trattamento o da terzi e che non prevalgono sugli interessi o sui diritti e le libertà fondamentali dell'interessato o degli interessati.

Valutazioni d'impatto sulla protezione dei dati (DPIA)

Se le attività di trattamento dei dati di un'azienda possono comportare un rischio elevato per i diritti e le libertà fondamentali delle persone, l'azienda deve compilare una DPIA ai sensi del Capitolo 4, Articolo 35.

Esempi di attività di trattamento ad alto rischio sono:

  • Utilizzo di tecnologie innovative
  • Tracciare la posizione o il comportamento di qualcuno
  • Elaborazione di dati genetici o biometrici (si pensi a 23andMe o al test del DNA, al riconoscimento facciale, alle impronte digitali o alle scansioni della retina)
  • Marketing a bambini o ad altri soggetti vulnerabili.

Il consenso e il GDPR

Molte aziende ai sensi del GDPR si affidano all'ottenimento del consenso dell'utente per trattare legalmente i dati personali. Se scegliete di farlo, dovete soddisfare precisi requisiti.

Il GDPR definisce il consenso come:

"... un'indicazione libera, specifica, informata e inequivocabile della volontà dell'interessato con cui l'interessato, mediante una dichiarazione o una chiara azione affermativa, ha manifestato il suo il consenso al trattamento dei dati personali che lo riguardano...".

In parole povere, le persone interessate dal trattamento dei dati devono sapere a cosa acconsentono e dare liberamente il loro consenso compiendo un'azione affermativa, come selezionare una casella di controllo o fare clic su un pulsante "Accetto" chiaramente contrassegnato.

Il GDPR spiega anche diverse condizioni per il consenso nel Capitolo 2, Articolo 7, quindi assicuratevi di soddisfare tutti questi requisiti aggiuntivi:

  • Dovete dimostrare di aver effettivamente ottenuto il consenso legittimo degli interessati.
  • Quando si chiede il consenso, deve essere chiaramente distinguibile dal chiedere agli utenti di optare per altre cose, come le e-mail di marketing. Per questo motivo, è importante creare caselle specifiche e separate per ogni scopo diverso.
  • Dovete informare gli interessati che possono ritirare il loro consenso in qualsiasi momento e dovete fornire loro un modo semplice per farlo.

La maggior parte delle aziende utilizza un banner di consenso con link all'utilizzo dei cookie o alla raccolta di dati personali per ottenere un consenso adeguato ai sensi del GDPR.

Requisiti del GDPR in materia di privacy e cookie per le aziende

La vostra azienda ha bisogno di un'informativa sulla privacy e di una cookie policy accurate e GDPR, in modo che gli interessati possano comprendere le attività di trattamento dei dati svolte dalla vostra azienda in modo corretto ai sensi del GDPR.

Ai sensi del Capitolo 3, Articolo 13 del GDPR, le aziende devono presentare le seguenti informazioni agli interessati nei punti in cui vengono ottenuti i dati personali:

  • L'identità e le informazioni di contatto del responsabile del trattamento dei dati (ovvero la vostra azienda, se siete responsabili dei mezzi e delle finalità di tale trattamento)
  • Le informazioni di contatto del responsabile della protezione dei dati o del DPO, se del caso.
  • La finalità e la base giuridica del trattamento dei dati personali, come spiegato nel Capitolo 2, Articolo 6
  • I legittimi interessi del titolare del trattamento (o dell'incaricato del trattamento), ove applicabile.
  • Chi riceve i dati e l'eventuale intenzione di trattarli ulteriormente
  • Informazioni sull'intenzione di trasferire i dati al di fuori del SEE
  • La durata della memorizzazione dei dati o i criteri per determinare tale periodo.
  • I diritti degli interessati ai sensi del GDPR
  • Il diritto di revocare il proprio consenso se il trattamento è basato su questa base giuridica.
  • Il diritto di presentare un reclamo a un'autorità di controllo
  • L'esistenza di un processo decisionale automatizzato, compresa la profilazione.

Il regolamento conferisce inoltre agli interessati il diritto di ottenere dal responsabile del trattamento la conferma che i loro dati personali sono trattati o meno e, in tal caso, di accedere ai dati personali raccolti su di loro.

Il capitolo 3, articolo 15, stabilisce che i responsabili del trattamento devono informare gli interessati di tutti i seguenti dettagli:

  • Lo scopo del trattamento dei dati
  • Le categorie di dati trattati
  • Chi riceve i dati
  • Per quanto tempo i dati vengono conservati
  • Una spiegazione dei diritti che gli interessati hanno sui loro dati e di come agire per ottenerli.
  • Una spiegazione del diritto degli interessati a presentare reclamo presso un'autorità di controllo in merito alla vostra attività
  • La fonte di tutti i dati personali di un soggetto in vostro possesso che non avete raccolto direttamente da lui.
  • Se si utilizzano processi decisionali automatizzati, come la profilazione

Moduli DSAR GDPR

Per garantire che i vostri utenti tutelati dal GDPR possano facilmente esercitare i loro diritti, mettete a loro disposizione un modulo di richiesta di accesso ai dati (DSAR) sul vostro sito web.

Un modulo DSAR crea un processo semplice e diretto per gli utenti che desiderano cancellare, modificare o accedere alle proprie informazioni.

Il CMP di Termlyvi fornisce un modulo DSAR gratuito che potete incorporare nel vostro sito web per gestire adeguatamente le richieste degli interessati, come mostrato nella schermata sottostante.

Termly

Accordi sul trattamento dei dati ai sensi del GDPR

Se un'altra azienda vi aiuta a trattare i dati personali dei vostri utenti, dovete creare un contratto che segua requisiti specifici, come spiegato nel capitolo 4, articolo 28 del GDPR.

Il cliente e la terza parte devono firmare il contratto, spesso chiamato Accordo per il trattamento dei dati (DPA). Il contratto deve includere tutti i seguenti dettagli relativi al terzo incaricato del trattamento:

  • Trattare i dati personali solo secondo le istruzioni del responsabile del trattamento.
  • Impegnarsi a garantire la riservatezza dei dati personali.
  • Adottare tutte le misure di sicurezza come indicato nell'articolo 32 del GDPR.
  • Non impegnarsi con un subprocessore senza una preventiva autorizzazione scritta o generale.
  • In caso di esternalizzazione a un altro subincaricato, gli stessi obblighi di protezione dei dati stabiliti nel contratto o in un altro atto giuridico tra il responsabile del trattamento e l'incaricato del trattamento saranno imposti al subincaricato mediante contratto o altro atto giuridico.
  • Deve essere in grado di assistere il responsabile del trattamento adottando misure tecniche adeguate per soddisfare e rispondere alle richieste degli interessati di esercitare i propri diritti.
  • Deve assistere il responsabile del trattamento nell'adempimento dei requisiti di sicurezza e di consultazione preventiva (di cui agli articoli 32 e 36).
  • Cancellare o restituire tutti i dati personali al responsabile del trattamento al termine del contratto.
  • Mettere a disposizione del responsabile del trattamento tutte le informazioni necessarie a dimostrare la conformità al GDPR e informare immediatamente il responsabile del trattamento se ritiene che un'istruzione violi il GDPR o altre leggi degli Stati membri.
  • Consentire e contribuire agli audit, comprese le ispezioni condotte dal controllore o da un altro controllore incaricato dal controllore.

Requisiti di sicurezza e protezione dei dati GDPR

Il GDPR impone alle aziende di conservare in modo sicuro i dati personali che trattano e di proteggerli da crimini informatici come fughe di dati o violazioni.

Sta a voi decidere quali misure di sicurezza mettere in atto, ma il regolamento suggerisce di adottare le seguenti azioni al capitolo 4, articolo 32:

  • Pseudonimizzazione e crittografia
  • Garantire la riservatezza, l'integrità e la resilienza dei vostri sistemi di elaborazione.
  • Fornire un modo per ripristinare la disponibilità e l'accesso ai dati in seguito a un incidente.
  • Creare un processo per testare, valutare e verificare l'efficacia delle misure tecniche e organizzative.

Si raccomanda di valutare le misure tecniche e organizzative volte a salvaguardare costantemente i dati personali (ad esempio, una volta all'anno o in caso di incidente o violazione specifici). Si dovrà prestare particolare attenzione ai seguenti rischi associati al trattamento dei dati personali:

  • Distruzione accidentale o illegale
  • Perdita
  • Alterazione
  • Divulgazione o accesso non autorizzato ai dati personali trasmessi, memorizzati o altrimenti trattati.

Se si verifica una violazione dei dati e si concretizza uno dei rischi di cui sopra, avete 72 ore di tempo per informare l'autorità competente per la protezione dei dati dal momento in cui venite a conoscenza della violazione.

Se la violazione dei dati può comportare un rischio elevato per i diritti e le libertà delle persone fisiche, queste ultime devono essere informate del crimine informatico il più rapidamente possibile.

Lista di controllo rapida GDPR per principianti: I "Do's" e i "Don't

Per semplificare ulteriormente il GDPR , ho creato per voi due elenchi, uno con i "Dos" GDPR e l'altro con i " Don't" GDPR .

Le regole del GDPR

Se la vostra azienda rientra nell'ambito di applicazione del GDPR, tra le altre cose, dovete fare tutto ciò che segue:

  • Preparate e pubblicate un'informativa sulla privacy conforme: Assicuratevi che la vostra informativa sulla privacy sia facile da leggere e da capire e presentatela ai vostri utenti ovunque raccogliate informazioni.
  • Pubblicate una politica sui cookie e aggiornatela regolarmente: I cookie sono considerati informazioni personali ai sensi del GDPR e quasi tutti i siti web ne fanno uso, quindi verificate che tutti i cookie o i tracker siano comunicati ai vostri utenti all'interno di una cookie policy e tenetela aggiornata in modo che sia sempre accurata.
  • Utilizzate un banner di consenso correttamente configurato: Se il consenso è la vostra base giuridica per il trattamento dei dati personali, utilizzate un banner di consenso sul vostro sito web che ottenga e tenga traccia dell'appropriato consenso degli utenti e dia loro accesso a un centro di preferenze per cambiare idea.
  • Inserite i moduli DSAR sul vostro sito web: I vostri utenti hanno il diritto di richiedere l'accesso, la cancellazione, la modifica o la correzione dei dati personali che avete raccolto su di loro, quindi pubblicate un modulo DSAR sul vostro sito per dare loro la possibilità di far valere i loro diritti legali.
  • Utilizzate le DPA per i contratti con le terze parti: Se collaborate con terzi per il trattamento dei dati dei vostri utenti, fornite loro una DPA che soddisfi tutte le linee guida contrattuali illustrate nel Capitolo 4, Articolo 28 del GDPR.
  • Chiedetevi se lo scopo per cui i dati personali possono essere raccolti è giustificato.
  • Assicurarsi che i dati personali siano protetti in modo adeguato.
  • Mantenere i dati personali accurati e aggiornati.
  • Cancellare i dati personali quando non sono più necessari.

Le cose da non fare per GDPR

Ora che sapete cosa fare se la vostra azienda rientra nel GDPR, date un'occhiata all'elenco delle cose da non fare:

  • NON utilizzare soluzioni subdole: Cercare di "aggirare" il sistema non vale la pena: ad esempio, se i vostri utenti devono cliccare su più link non necessari per raggiungere il centro di consenso o se rendete più difficile trovare il pulsante di opt-out sul vostro banner di consenso, rischiate di essere multati per non conformità.
  • NON utilizzare caselle pre-selezionate per ottenere il consenso degli utenti: Il GDPR non consente l'uso di caselle pre-selezionate nei banner di consenso perché impediscono agli utenti di compiere un'azione affermativa per dimostrare il loro consenso alle attività di trattamento dei dati.
  • NON mentire sull'utilizzo dei dati personali: È contrario al GDPR mentire sui dati raccolti e sul loro utilizzo e le autorità di vigilanza dei vari Paesi dell'UE/SEE possono ritenervi finanziariamente responsabili.
  • NON copiate le politiche legali di altre aziende: Le politiche legali sono documenti protetti da copyright; copiarle direttamente da un'altra azienda è un plagio. Inoltre, la politica di un'altra azienda non rifletterà accuratamente le vostre pratiche in materia di dati.
  • NON conservate i dati personali che non vi servono più: Il GDPR stabilisce chiaramente che potete conservare i dati solo per il tempo necessario a raggiungere lo scopo che avete spiegato ai vostri utenti nella vostra informativa sulla privacy, quindi assicuratevi di non conservare questi dati più a lungo del necessario.
  • Non pensate di farla franca se non rispettate le norme: Potreste pensare che la vostra azienda sia troppo piccola o troppo poco visibile per essere multata per non conformità, ma non è così. Dal 2018, il GDPR ha generato multe per quasi 3 miliardi di dollari. Basta un solo reclamo da parte di un utente o la caduta di una singola vittima di un crimine informatico che fa trapelare le informazioni personali raccolte perché le autorità preposte alla protezione dei dati ritengano la vostra azienda responsabile: le conseguenze finanziarie e di reputazione sono molto concrete.

Guida Dummies al GDPR [Infografica]

Buone notizie: Abbiamo raccolto le parti essenziali di questa guida GDPR for dummies in un'infografica facilmente condivisibile. Guardatela qui sotto!

Scaricate l'infografica GDPR for Dummies utilizzando il link sottostante:

PDF Guida al GDPR per principianti.

Quando si tratta di rispettare le leggi sulla privacy dei dati e i diritti degli utenti, siamo tutti coinvolti, quindi sentitevi liberi di condividere questa guida e l'infografica con altri se vi sono state utili.

FAQ GDPR for Dummies

Mi piace parlare di conformità alla privacy dei dati e del GDPR. Di seguito, quindi, troverete alcune risposte alle domande più frequenti che ci vengono poste sul GDPR.

Che cosa significa GDPR ?

GDPR è l'acronimo di General Data Protection Regulation (Regolamento generale sulla protezione dei dati).

Cos'è il GDPR in parole semplici?

Il GDPR è un regolamento europeo sulla privacy dei dati che descrive i diritti degli individui residenti nell'UE/SEE sui loro dati personali trattati dalle aziende (o da persone fisiche al di fuori del loro uso personale) e spiega quali linee guida devono seguire le aziende di tutto il mondo per trattare legalmente i loro dati personali.

Quali sono i sette principi del GDPR?

I sette principi del GDPR, come descritto nel Capitolo 2, Articolo 5, sono:

  1. Legalità, equità e trasparenza
  2. Limitazione dello scopo
  3. Minimizzazione dei dati
  4. Precisione
  5. Limitazione dello stoccaggio
  6. Integrità e riservatezza (alias, sicurezza)
  7. Responsabilità

A chi si applica il GDPR ?

Il GDPR si applica a qualsiasi trattamento di dati personali da parte di un responsabile del trattamento o di un incaricato del trattamento stabilito nell'UE/SEE, indipendentemente dal fatto che il trattamento stesso avvenga al di fuori del SEE.

Il GDPR si applica anche al trattamento dei dati personali da parte di un responsabile del trattamento o di un incaricato del trattamento stabilito al di fuori dell'UE/SEE, ma che tratta i dati personali di persone fisiche nell'UE/SEE e soddisfa una delle seguenti condizioni:

  • Rende i propri beni o servizi disponibili ai consumatori situati nell'UE/SEE, anche se non avviene alcuno scambio monetario.
  • Monitora il comportamento online degli utenti che si trovano nell'UE/SEE.

Chi protegge il GDPR ?

Il GDPR protegge le persone fisiche che si trovano all'interno dell'Unione Europea (UE) o dello Spazio Economico Europeo (SEE).

Devo conformarmi al GDPR se la mia azienda si trova negli Stati Uniti?

Sì, dovete conformarvi al GDPR se la vostra azienda si trova negli Stati Uniti, tratta dati personali e soddisfa uno dei seguenti requisiti:

  • Offrite beni o servizi a consumatori nell'UE/SEE, anche se non avviene alcuno scambio monetario
  • Monitorate il comportamento online di individui situati nell'UE/SEE

Come può Termly aiutarvi a rispettare il GDPR?

Termly offre generatori di policy e soluzioni di gestione del consenso supportate dal nostro team di avvocati ed esperti di privacy dei dati che possono aiutare la vostra azienda a conformarsi pienamente al GDPR e a numerose altre leggi sulla privacy dei dati in tutto il mondo.

Rendiamo la conformità legale facile e conveniente, in modo che possiate rimanere concentrati sulle cose che contano di più, come la vostra attività e i vostri clienti.

Il nostro generatore di informativa sulla privacy segue tutti i requisiti delineati dal GDPR - tutto ciò che dovete fare è rispondere a semplici domande sulla vostra attività. Il generatore crea per voi un'informativa conforme e correttamente formattata.

Guardate come appare nella schermata qui sotto.

Termly

Offriamo anche una gestione del consenso Platform dotata di impostazioni di supporto regionali, in modo che possiate configurare un banner di consenso GDPR che appaia per tutti i vostri utenti dell'UE/SEE e che ottenga e tracci adeguatamente le loro scelte di consenso in base alla normativa.

Nella schermata sottostante, è possibile vedere un esempio delle impostazioni per il nostro banner di consenso.

CMP

Siamo la vostra soluzione completa per la conformità e i nostri strumenti aiutano le piccole e medie imprese di tutto il mondo a rimanere aggiornate su leggi come il GDPR e altre ancora.

Riassunto

Il GDPR ha cambiato per sempre la portata della privacy dei dati e ha influenzato le aziende di tutto il mondo.

Ma con questa guida e Termly nella vostra cassetta degli attrezzi, sarete pronti a impostare il vostro sito web in modo che sia pienamente conforme senza problemi, confusione e costose spese legali.

Ricordate che per essere conformi a questa normativa è necessario disporre di un'informativa sulla privacy e sui cookie conforme, di un banner di consenso correttamente configurato e di un modulo DSAR sul vostro sito web.

Per un aiuto più approfondito sul GDPR, consultate queste preziose risorse:

  • Cos'è il GDPR? - La nostra guida più completa a tutto ciò che c'è da sapere sul GDPR.
  • Homepage GDPR dell'UE - Il sito ufficiale GDPR contiene informazioni utili se si desidera approfondire gli aspetti legali.
  • Guida al GDPR dell'ICO - Questa guida dell'autorità britannica è utile per tutte le aziende.
Teodor Stanciu, CIPP/E, CIPM
Per saperne di più su chi scrive

Scritto da Teodor Stanciu, CIPP/E, CIPM

Teo è un Data Privacy Specialist e un esperto Data Protection Officer (DPO) che si occupa con passione di aiutare le aziende a rispettare gli obblighi di protezione dei dati. Ha un'esperienza di oltre sette anni come DPO per un'organizzazione internazionale attiva in 50 Paesi e con sede a Bruxelles, in Belgio. Teo è Certified Information Privacy Professional/Europe (CIPP/E) e Certified Information Privacy Manager (CIPM) presso l'International Association of Privacy Professionals (IAPP).

Per saperne di più su chi scrive
Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Recensito da Masha Komnenic CIPP/E, CIPM, CIPT, FIP Direttore di Global Privacy

termly-dashboard-add-privacy-policy-screenshot-with-green-checkmark

Conformarsi al GDPR GRATUITAMENTE

Termly genererà una soluzione per la privacy e il consenso GDPR in pochi minuti!
Conformarsi al GDPR ora

Articoli correlati

  1. GDPR
    Lista di controllo GDPR per le piccole imprese
    Checklist

    16 maggio 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  2. AI-Statistiche sulla privacy-01
    54 Statistiche rivelatrici sulla privacy dei dati dell'intelligenza artificiale
    Articoli

    9 maggio 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  3. Che cosa è il consenso di Google?
    Cos'è la modalità di consenso v2 di Google?
    Articoli

    7 maggio 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  4. Cos'è la Legge sulla protezione dei dati personali (PDPA) dell'Argentina01
    Spiegazione della legge argentina sulla protezione dei dati personali (PDPA)
    Articoli

    6 maggio 2025
    Heloisa Valdívia, CIPM
  5. Cos'è la legge Gramm-Leach-Bliley-GLBA-01
    Che cos'è la legge Gramm-Leach-Bliley (GLBA)?
    Articoli

    6 maggio 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  6. Che cosa è il consenso di Google?
    Che cos'è la modalità di consenso di Google?
    Articoli

    6 maggio 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  7. Modello-Impressum-scarica-gratuitamente
    Modello di Impressum : Download gratuito ed esempi reali
    Modelli

    3 maggio 2025
    James Ó Nuanáin, CIPP/E, CIPM, CIPT
  8. Modello di informativa sulla privacy
    Modello di informativa sulla privacy
    Modelli

    2 maggio 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  9. Che cos'è la privacy dei dati - Guida completa per le aziende-01
    Cos'è la privacy dei dati? Guida completa per le aziende
    Articoli

    2 maggio 2025
    Etienne Cussol CIPP/E, CIPM

Guarda le altre risorse