Il GDPR è il Regolamento Europeo per la Protezione dei Dati personali, entrato in vigore il 25 maggio 2018.
La necessità di una revisione della materia nasce dall’esigenza di adeguare il livello di protezione dei dati all’evoluzione del mercato digitale.
GDPR: destinatari, finalità ed ambito di applicazione
In un contesto fortemente digitalizzato in cui internet, cloud, social media e servizi in rete governano in nostro modo di vivere e lavorare, il regolamento mira a porre l’utente al centro dell’attenzione divenendo il fulcro dei diritti ad esso riconosciuti.
Dunque solo un utente adeguatamente informato, potrà decidere consapevolmente in ordine alla gestione e controllo dei propri dati personali.
Per dati personali s’intende l’insieme delle informazioni che identificano una persona o la rendono identificabile: nome, cognome, data di nascita, indirizzo email, indirizzo IP (quando collegato ad altri dati), ecc.
Dobbiamo, tuttavia, precisare che:
- se un’informazione isolata non è in grado di portare all’identificazione di un individuo, ma ciò avviene attraverso l’incrocio con altre informazioni, tali dati acquistano anch’essi la qualifica di “personali” (pensate al vostro indirizzo IP).
- Inoltre, non occorre che l’informazione sia in grado di individuare fisicamente la persona perché sia considerata dato personale.
Ad esempio, le agenzie pubblicitarie utilizzano tecniche di tracciamento indiretto dell’utente, attraverso il suo browser o il dispositivo digitale tramite il quale la persona naviga in rete.
Proprio per questo, gli identificatori online, quali numeri IP, cookie e dati di geolocalizzazione sono considerati dal nuovo regolamento “dati personali”.
Nondimeno, la normativa interessa anche chi opera sul Web, sia nel campo dell’e-commerce che nella gestione di un sistema di newsletter con le mail dei propri utenti o lettori.
Gli obiettivi primari del regolamento sono essenzialmente due:
- possibilità data all’utente di poter controllare in ogni suo aspetto la gestione (da parte di terzi) dei propri dati personali;
- semplificare il quadro normativo per le imprese che si trovano a gestire tali dati (punto di riferimento, ad oggi, è infatti il regolamento stesso).
Il regolamento si applica a:
- un’azienda che tratta dati personali nell’ambito delle attività di una delle sue filiali stabilite nell’UE, indipendentemente dal luogo in cui i dati sono trattati.
Pensate ad una società statunitense di base in California, dovrà rispettare le norme europee se si trova a gestire i dati di un italiano (Facebook); - le aziende non stabilite sul territorio dell’UE che:
- offrono beni o servizi, anche gratuitamente, a persone fisiche (c.d. interessati) all’interno dell’UE;
- raccolgono dati attraverso il monitoraggio dei comportamenti dei soggetti interessati, svolti sul territorio UE.
A determinare la legge applicabile, pertanto, non sarà più il luogo in cui è stabilito il titolare del trattamento, ma il luogo in cui risiede, vive e opera l’interessato persona fisica, se stabilito nel territorio dell’Unione Europea.
Cosa sarebbe dovuto cambiare per le aziende dal 25 maggio 2018?
Le aziende più accorte, per essere in regola con la normativa prevista dal GDPR hanno già attuato interventi di natura tecnica ed organizzativa rilevanti.
L’entrata del regolamento ha comportato per le aziende:
- l’aggiornamento dei propri database in conformità ai requisiti previsti dal GDPR;
- la richiesta di consensi agli utenti di tutte le autorizzazioni al trattamento dei dati al fine di svolgere in modo efficiente le diverse attività;
- informare gli utenti degli eventuali automatismi e sistemi di profilazione attivi al fine di garantire una comunicazione maggiormente personalizzata.
Tuttavia, molte PMI e professionisti stanno vivendo un periodo di forte incertezza, alimentato anche dal rischio di salate sanzioni (fino al 4% del fatturato globale annuo) in caso di mancata conformità.
Cosa fare in concreto per evitare le sanzioni?
Se da un lato tutte le imprese sono chiamate ad ottemperare a precisi obblighi, dall’altro lato tali incombenze vanno valutate con riferimento alle singole realtà professionali, come siti web, portali e-commerce e studi professionali.
Ciascun soggetto è chiamato a verificare la propria conformità sulla base del tipo di attività svolta e del reale trattamento dei dati.
Per fare un esempio:
una PMI ossia una realtà aziendale che non supera i 250 dipendenti è esonerata dall’obbligo di tenuta del Registro dei trattamenti a meno che:
– il trattamento che essa effettua, possa presentare un rischio per i diritti e le libertà dell’interessato,
– non sia occasionale o includa il trattamento di categorie particolari di dati (es. dati biometrici, dati sanitari),
– o includa i dati personali relativi a condanne penali.
In via generale, dunque, le aziende per essere conformi al GDPR ed evitare sanzioni, devono rivedere le proprie policy e, qualora risulti necessario, adeguarle alle richieste del regolamento.
Le società che raccolgono o trattano dati personali devono spiegare in modo chiaro agli utenti tutte le condizioni che regolano queste operazioni, utilizzando un linguaggio semplice, comprensibile a tutti.
Inoltre, diventa obbligatorio dichiarare le modalità con le quali verranno elaborati i dati richiesti all’utente, ovvero l’utilizzo che ne fate.
Stessi criteri e stessa responsabilità si applicano per gli strumenti attraverso cui l’utente esprime il proprio consenso.
