Il 25 maggio entra in vigore il GDPR (General Data Protection Regulation, anche conosciuto come regolamento UE 2016/679), ovvero la nuova normativa nata per rafforzare e unificare le leggi in materia di protezione dei dati personali all’interno dell’Unione Europea, allo scopo di creare un vero e proprio “mercato unico digitale”.
Cosa comporta per le nostre informazioni personali condivise online l’entrata in vigore di questo nuovo regolamento?
Come avrete intuito dalla valanga di e-mail che sta inondando la vostra casella di posta, tutte le piattaforme che gestiscono dati sensibili si devono adeguare per tempo alla nuova direttiva e informare gli utenti dei cambiamenti in corso.
Nonostante si tratti di una normativa europea, tutte le aziende che offrono servizi a cittadini europei o a persone che risiedono nel territorio europeo si devono adattare, anche se non hanno la loro sede in Europa, e vi sono soggetti anche i cittadini europei che risiedono fuori dal continente.
Senza la pretesa di voler realizzare una guida esaustiva, quali sono per sommi capi le principali cose da sapere sul GDPR?
Innanzitutto, la definizione di dati personali e sensibili nella nuova normativa risulta ampliata e include anche gli identificativi online come cookie, indirizzi IP, geolocalizzazione ed email. Di conseguenza, di fatto il GDPR integra e sostituisce la precedente Cookie Law.
L’utente deve fornire il consenso al trattamento dei propri dati in modo esplicito e tracciabile, deve quindi compiere un’azione affermativa e non trovarsi di fronte a un form con campi già flaggati.
Un’altra delle novità introdotte dal GDPR è il divieto di elaborare informazioni personali di minori di 16 anni, a meno che genitori o tutori legali non forniscano il loro consenso. Questo significa ad esempio che l’app più usata per la messaggistica, WhatsApp, andrebbe utilizzata dai ragazzi solo previa autorizzazione da parte dei genitori.
Il diritto di accesso di cui si parla nella normativa prevede la possibilità di avere conferma del fatto che sia o meno in corso un trattamento dei propri dati personali, e in tal caso di ottenere una copia dei dati oggetto di trattamento. Collegato all’accesso è il diritto all’oblio e alla portabilità dei dati, ovvero il diritto di ricevere dati concessi in precedenza a un titolare e trasferirli in toto a un altro.
Le aziende di grandi dimensioni o che effettuino attività considerate a rischio devono tenere un registro delle attività di trattamento, contenente informazioni su titolare, finalità e categorie di dati gestiti, sull’eventuale trasferimento degli stessi a un soggetto estero e su termini di cancellazione e misure di sicurezza messe in atto per proteggerli.
Viene istituito il ruolo del Data Protection Officer (DPO), figura indipendente che opera in imprese ed enti, fungendo da punto di contatto fra la struttura e l’Autorità Garante. Rimane comunque prevalente la responsabilità del titolare dei dati.
Il GDPR stabilisce che esista una procedura per comunicare gli eventuali casi di violazione dei dati (data breech). Il titolare del trattamento dovrà comunicare le violazioni agli interessati e al Garante.
Viene creato lo Sportello Unico One Stop Shop, per garantire un approccio uniforme alla normativa. Le imprese avranno infatti a che fare con una sola Autorità di vigilanza (Garante Privacy), quella del paese dove hanno la sede principale, invece che con le autorità dei 28 paesi europei.
Sono previste ovviamente sanzioni, che nei casi più gravi possono arrivare anche fino a 20 milioni di Euro, in caso di inadempienze.
Per il testo completo del GDPR potete visitare il sito ufficiale.
