TheRegolamento generale sulla protezione dei dati (GDPR)stabilisce linee guida che coprono vari aspetti della protezione dei dati e della privacy per le persone all'interno dell'Unione europea (UE) e dello Spazio economico europeo (SEE), compreso il modo in cui le organizzazioni dovrebbero gestire, elaborare e proteggere i dati personali. Di seguito è riportata una panoramica degli elementi principali trattati nelle linee guida GDPR:

1.Ambito e applicabilità

Il GDPR si applica a:

• Tutte le organizzazioni(comprese società, no profit e governi) che trattano i dati personali delle persone fisiche nell'UE o nel SEE, indipendentemente da dove si trova l'organizzazione.
• Titolari del trattamento(che determinano le finalità e i mezzi del trattamento) eresponsabili dei dati(che trattano i dati per conto dei titolari del trattamento).

Si applica a qualsiasi tipo di trattamento dei dati personali, compresa la raccolta, la registrazione, la conservazione, la modifica, l'estrazione, la consultazione, l'uso, la divulgazione, la cancellazione e la distruzione.

2.Definizioni chiave

• Dati personali: Qualsiasi informazione che possa identificare direttamente o indirettamente un individuo (ad esempio nome, indirizzo email, indirizzo IP, dati sulla posizione, ecc.).
• Dati personali sensibili: Categorie speciali di dati che richiedono una protezione supplementare, come origine razziale o etnica, opinioni politiche, convinzioni religiose, dati sanitari, dati biometrici e orientamento sessuale.
• Oggetto interessato: L'individuo a cui appartengono i dati personali.
• Titolare del trattamento dei dati: L'entità che determina le finalità e i mezzi del trattamento dei dati personali.
• Responsabile del trattamento dei dati: L'entità che tratta i dati per conto del responsabile del trattamento.

3.Principi del trattamento dei dati

Il GDPR si basa sui seguentisette principi chiavedel trattamento dei dati:

1. Liceità, correttezza e trasparenza: I dati devono essere trattati in modo lecito, equo e trasparente. Gli individui devono essere informati sul trattamento dei propri dati.
2. Limitazione dello scopo: I dati personali devono essere raccolti per scopi specifici, espliciti e legittimi e non utilizzati in modi incompatibili con tali finalità.
3. Minimizzazione dei dati: I dati raccolti devono essere adeguati, pertinenti e limitati a quanto necessario allo scopo previsto.
4. Precisione: I dati personali devono essere accurati e aggiornati.
5. Limitazione di stoccaggio: I dati non devono essere conservati più a lungo del necessario agli scopi per i quali sono stati raccolti.
6. Integrità e riservatezza: I dati devono essere trattati in modo sicuro, garantendo protezione contro accessi non autorizzati o illegali.
7. Responsabilità: I titolari del trattamento sono responsabili di garantire il rispetto dei principi di cui sopra e devono essere in grado di dimostrare la conformità.

4.Basi giuridiche per il trattamento

I dati personali possono essere trattati solo se esiste una base giuridica valida, come:

• Consenso: L'individuo ha prestato il consenso esplicito per uno scopo specifico.
• Contratto: Il trattamento è necessario per l'esecuzione di un contratto con l'individuo.
• Obbligo legale: Il trattamento è tenuto a rispettare la legge.
• Interessi vitali: Il trattamento è necessario per proteggere la vita di qualcuno.
• Compito pubblico: Il trattamento è necessario per svolgere un compito di interesse pubblico.
• Interessi legittimi: Il trattamento è necessario per gli interessi legittimi del titolare del trattamento a meno che non sia prevalso dai diritti dell'interessato.

5.Diritti dell'interessato

GDPR concede diversi diritti alle persone fisiche in merito ai loro dati personali:

1. Diritto di essere informati: Gli individui hanno il diritto di sapere come vengono raccolti, utilizzati e condivisi i propri dati (tramite una politica sulla privacy).
2. Diritto di accesso: Gli individui possono richiedere l'accesso ai propri dati personali e alle modalità di trattamento.
3. Diritto alla rettifica: Gli individui possono richiedere la correzione di dati imprecisi o incompleti.
4. Diritto alla cancellazione ("Diritto di essere dimenticato"): Gli individui possono richiedere la cancellazione dei propri dati personali in determinate circostanze (ad esempio, quando i dati non sono più necessari).
5. Diritto di limitare il trattamento: Gli individui possono richiedere che i loro dati siano limitati al trattamento in determinate condizioni.
6. Diritto alla portabilità dei dati: Gli individui possono richiedere che i loro dati siano trasferiti a un'altra organizzazione o direttamente a se stessi in un formato strutturato, comunemente utilizzato e leggibile da una macchina.
7. Diritto di opposizioneGli individui possono opporsi al trattamento dei propri dati personali per determinate finalità, compresa la marketing diretto.
8. Diritti relativi al processo decisionale e alla profilazione automatizzati: Gli individui hanno il diritto di non essere sottoposti a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, a meno che non siano soddisfatte determinate condizioni.

6.Valutazioni d'impatto sulla protezione dei dati (DPIA)

I DPIA devono essere condotte quando le attività di trattamento dei dati rischiano di comportare un elevato rischio per i diritti e le libertà delle persone fisiche. Ciò vale tipicamente per l'elaborazione, la profilazione o il trattamento su larga scala di dati sensibili.

7.Notifiche di violazione dei dati

Le organizzazioni devono notificare all'autorità competente per la protezione dei dati (nel Regno Unito, questo è l'Ufficio del Commissario per l'informazione, o ICO) all'interno72 oredi venire a conoscenza di una violazione dei dati personali che rappresenta un rischio per i diritti e le libertà delle persone fisiche. Se la violazione rischia di provocare rischi elevati, anche le persone interessate devono essere informate.

8.Trasferimenti di dati al di fuori dell'UE/SEE

I trasferimenti di dati personali verso paesi al di fuori dell'UE/SEE sono consentiti solo se:

• Il paese ricevente offre unadeguato livello di protezionecome determinato dalla Commissione europea.
• Protezioni adeguate, come ad esempioClausole contrattuali standard (SCC)oRegole societarie vincolanti (BCR), sono in atto.
• L'interessato ha fornito un consenso esplicito.

9.Protezione dei dati da parte di Design e per Default

Le organizzazioni devono incorporare misure di protezione dei dati fin dall'inizio di qualsiasi progetto o processo che comporti il trattamento dei dati personali. Questo principio è conosciuto comeprivacy per progettazione e per impostazione predefinita, cioè che la privacy deve essere considerata in fase di progettazione e per tutto il ciclo di vita del trattamento dei dati.

10.Responsabile della protezione dei dati (DPO)

Un DPO deve essere nominato se:

• L'organizzazione è un'autorità pubblica.
• Le attività fondamentali prevedono un monitoraggio regolare e sistematico degli individui su larga scala.
• L'organizzazione tratta grandi quantità di dati personali sensibili.

Le responsabilità del DPO includono:

• Monitoraggio del rispetto del GDPR.
• Consulenza sugli obblighi di protezione dei dati.
• Agire come punto di contatto con le autorità per la protezione dei dati.

11.multe e sanzioni

Le organizzazioni che non rispettano il GDPR possono affrontare multe significative:

• Fino a fino a20 milioni di euroo4% del fatturato annuo globale dell'azienda, a seconda di quale sia più alto, per le violazioni più gravi.
• Le violazioni minori possono comportare multe fino a10 milioni di euroo2% del fatturato annuo.

12.Responsabilità e registrazione-Keeping

Le organizzazioni devono mantenere la documentazione per dimostrare la conformità al GDPR, tra cui:

• Registrazioni delle attività di trattamento.
• Politiche e procedure sulla protezione dei dati.
• DPIA ove richiesto.
• Registrazioni delle richieste e delle risposte dell'interessato.

13.Requisiti di consenso

Quando si basa sul consenso come base giuridica per il trattamento dei dati personali, devono essere seguite le seguenti linee guida:

• Il consenso deve essere dato liberamente, specifico, informato e inequivocabile.
• Il consenso deve essere dato da una chiara azione affermativa (ad esempio, optando in) e non attraverso caselle pre-ticked.
• Le organizzazioni devono essere in grado di dimostrare che è stato ottenuto il consenso.
• Gli individui devono avere il diritto di revocare il consenso in qualsiasi momento.

Il GDPR stabilisce standard elevati per la protezione dei dati e mira a fornire agli individui un maggiore controllo sui loro dati personali. Aderendo queste linee guida, le organizzazioni possono garantire la conformità ed evitare il rischio di sanzioni.