Illustrazione del GPDR

Che cos’è il GDPR?

Il Regolamento generale sulla protezione dei dati (GDPR) è un quadro normativo realizzato per proteggere la privacy delle persone che risiedono nell’Unione europea (UE) e per fornire loro maggiore controllo sulle modalità di raccolta, elaborazione e utilizzo dei loro dati personali.

Il GDPR si applica al trattamento dei dati personali in tutto il mondo da parte di aziende che hanno sede nell’UE. Inoltre si applica, a livello globale, a qualsiasi azienda al di fuori dell’UE che elabora, nell’ambito della propria offerta di beni/servizi, dati personali di individui che si trovano all’interno dell’UE o monitora il comportamento di persone che si trovano all’interno dell’UE.

Il GDPR è stato recepito nelle legislazioni nazionali dei Paesi membri dell’UE e del Regno Unito.

Quali sono le caratteristiche chiave del GDPR?

Il GDPR serve per stabilire maggiore fiducia e trasparenza tra organizzazioni e individui. Alcune delle aree che copre sono elencate di seguito.

• Dati personali di persone che si trovano all’interno dell’UE: ovvero qualsiasi informazione relativa a un individuo o “soggetto interessato” che può essere utilizzata per identificarlo direttamente o indirettamente. Oltre a informazioni come il nome, l’indirizzo e-mail o la foto, sono anche inclusi dati bancari o della carta di credito, informazioni mediche, affiliazioni politiche, religiose o di altro tipo, precedenti penali e l’indirizzo IP di un computer. Il GDPR non fa distinzione tra i dati personali raccolti in un contesto business to consumer o business to business, tuttavia esistono altre leggi che stabiliscono le modalità di utilizzo delle comunicazioni elettroniche, ed esistono delle differenze quando ci si rivolge direttamente ai consumatori.
• Come vengono elaborate le informazioni personali: le informazioni personali possono essere raccolte e trattate solo se esiste una base legale per farlo. Il consenso è una delle basi che può essere utilizzata per il marketing diretto, ma non è l’unica base legale possibile. Altre ragioni per trattare, in modo legittimo, i dati personali ai sensi dell’articolo 6 del GDPR sono l’esecuzione di un contratto, l’adempimento di un obbligo di legge o l’esistenza di un “interesse legittimo” dell’azienda o di una terza parte che non violi i diritti alla privacy dell’individuo.
• Diritti degli individui: gli individui hanno il diritto di richiedere l’accesso ai propri dati personali, la correzione di eventuali errori nei propri dati personali, la cancellazione dei propri dati personali e/o l’esportazione dei propri dati personali. Inoltre, possono opporsi al trattamento dei loro dati personali o chiedere la limitazione di queste attività.
• Violazioni dei dati: vige l’obbligo di segnalare alcuni tipi di violazione dei dati all’autorità di vigilanza competente e alle persone interessate (nel Regno Unito l’autorità competente è l’Information Commissioner’s Office o ICO).
• Sicurezza dei dati e dei sistemi: i dati personali devono essere protetti utilizzando misure tecniche e organizzative appropriate, al fine di garantire un livello di sicurezza adeguato ai rischi per la privacy durante tutto il loro ciclo di vita.
• Trasferimenti all’estero: i dati personali possono essere trasferiti al di fuori dell’Europa solo in circostanze limitate, così stabilite: i) in Paesi extraeuropei che forniscono un livello adeguato di protezione dei dati, come determinato dalla Commissione Europea; (ii) nel caso in cui le parti interessate al trasferimento utilizzano clausole standard di protezione dei dati approvate dalla Commissione europea; (iii) quando sono in vigore codici di condotta, o certificazioni, approvate; o (iv) quando i gruppi aziendali hanno adottato “norme vincolanti d’impresa” approvate dalla Commissione europea.
• Trasparenza: le informative sulla privacy e i contratti con gli utenti devono essere semplici, chiari e di facile comprensione. Quando si raccolgono dati personali, deve essere indicato chiaramente, tra l’altro, per quale scopo saranno utilizzati, come e per quanto tempo saranno conservati, in base a quale base legale saranno trattati e quali sono i diritti a disposizione dell’utente. Una volta raccolti legalmente, i dati personali devono essere utilizzati solo per gli scopi per cui sono stati raccolti e rigorosamente in conformità con le informazioni fornite agli interessati.

Cosa significa il GDPR per le aziende?

Il GDPR impone di essere chiari, onesti, trasparenti ed etici per tutto ciò che riguarda i dati personali. Si applica alle aziende che sono titolari del trattamento dei dati (la persona/azienda che determina le modalità di trattamento dei dati personali) o elaboratori dei dati (la persona/azienda che elabora i dati personali in accordo a quanto stabilito dal titolare del trattamento). Se siete o rappresentate un’azienda, dovete assicurarvi di proteggere i dati che utilizzate e la privacy di coloro da cui li avete raccolti, come fareste con qualsiasi altro asset.

Di seguito sono riportati cinque semplici passi che è possibile compiere per rispettare quanto disposto dal GDPR:

1. Proteggere i sistemi: garantire la sicurezza dei sistemi destinati alla raccolta, all’elaborazione e all’archiviazione dei dati personali. Occorre considerare aspetti quali la sicurezza fisica (ad esempio con l’utilizzo di serrature), la sicurezza informatica (ad esempio con l’uso di antivirus), la sicurezza del sistema (ad esempio mediante firewall), la sicurezza dei dati (ad esempio con la crittografia) e la sicurezza dei dispositivi (ad esempio tramite autenticazione).
2. Documentare i flussi dei dati: mappare i flussi di dati e informazioni per valutare correttamente i rischi per la privacy. Verificare quali dei prodotti e servizi raccolgono ed elaborano dati personali. Identificare quali dati personali vengono raccolti, perché vengono raccolti, come vengono utilizzati, condivisi, archiviati, protetti, conservati ed eliminati. Identificare se si tratta di dati personali sensibili e se si è responsabili o elaboratori di tali dati.
3. Disporre di una base legale per il trattamento: determinare la base legale per il trattamento dei dati personali e documentarla. Di seguito abbiamo elencato le sei basi legali che possono essere utilizzate.
   • Consenso: quando esiste una reale possibilità di scelta e di controllo. Il consenso deve essere inequivocabile, fornito liberamente, informato e deve essere concesso attraverso una chiara azione affermativa.
   • Interesse legittimo: può essere invocato quando le informazioni personali sono utilizzate in un modo ragionevole per l’utente, l’impatto è minimo ed esiste un legittimo interesse che giustifica il trattamento.
   • Contratto: per adempiere a obblighi contrattuali o per richiedere un elemento, come ad esempio un preventivo, prima della stipula di un contratto.
   • Obbligo normativo: per rispettare un obbligo di legge o un regolamento.
   • Interesse vitale: per proteggere la vita di un individuo.
   • Interesse pubblico: per funzioni pubbliche o attività di interesse pubblico. L’Information Commissioner’s Office fornisce uno strumento interattivo di guida alle basi legali che può aiutare a individuare la base legale più adeguata al trattamento dei dati personali.
4. Rivedere avvisi e informative: rivedere e aggiornare le informative sulla privacy per verificare che riflettano le attività di trattamento dei dati personali. Dovrebbero indicare la base giuridica su cui si basa il trattamento dei dati personali e indicare chiaramente le terze parti con cui vengono condivisi i dati personali. Se vi basate sul consenso, assicuratevi che le richieste di consenso siano chiare e non prevedano caselle di controllo preselezionate. Rivedere e aggiornare le dichiarazioni o le informative sulla raccolta, l’uso e il trattamento dei dati personali e stabilire se ne occorrono altre.
5. Legge federale sulla protezione dei dati personali: acconsentendo all’utilizzo di questi Servizi, l’utente accetta che i suoi dati personali siano trattati da Extu, nell’ambito di tali servizi, secondo quanto previsto dalla Legge federale per la protezione dei dati personali detenuti da privati (Ley Federal de Protección de Datos Personales en Posesión de los Particulares)
6. Stabilire politiche e procedure a uso interno: stabilire linee guida e processi per la gestione di situazioni quali reclami in materia di privacy, violazioni dei dati e richieste di accesso alle informazioni personali.

Vi consigliamo anche di rivolgervi ai vostri consulenti legali per sapere esattamente cosa fare per rispettare quanto previsto dal GDPR.

Altre risorse in materia di GDPR

Ulteriori informazioni utili sul GDPR sono disponibili presso l’Information Commissioner’s Office (ICO) del Regno Unito – Guida al GDPR.