GDPR: facciamo chiarezza sui “General Data Protection Regulation”
Oggi vi parleremo dei GDPR: “General Data Protection Regulation”, questi sconosciuti.
Tutti ne avrete sentito parlare sopratutto nell’ultimo periodo. Facciamo un pò di chiarezza.
L’idea di base del GDPR è questa: ogni cittadino europeo deve essere avvisato sulla raccolta dei suoi dati personali, e deve dare la propria esplicita autorizzazione.
Il GDPR ha inoltre l’intento di tutelare i cittadini europei ovunque si trovino, quindi anche nel caso in cui siano all’estero e forniscano per qualche motivo i loro dati personali a un servizio. Questa è la parte più controversa e confusa del regolamento, più che altro per quanto riguarda la sua applicazione.
Il regolamento si compone di 99 articoli e istituisce alcune novità come:
–il diritto all’oblio (gli utenti possono chiedere di rimuovere informazioni a proprio riguardo),
–la «portabilità» dei dati (si possono scaricare e trasferire dati da una piattaforma all’altra, senza vincolarsi a un certo account)
–l’obbligo di notifica in caso di data breach (le aziende, se subiscono fughe di informazioni sensibili, devono comunicarlo entro 72 ore).
I destinatari sono i «titolari del trattamento», ossia chi gestisce le informazioni: privati e, soprattutto, aziende. La Gdpr coinvolge tutte le aziende che trattano dati.
Per adeguarsi al nuovo regolamento, nel raccogliere i dati, le aziende devono seguire innanzitutto questi punti specifici:
- permettere all’utente di fornire il proprio consenso in modo esplicito e tracciabile;
- predisporre un’informativa sul trattamento dei dati personali che sia trasparente, chiara e facilmente accessibile;
- garantire che i dati raccolti siano pertinenti, adeguati e limitati alle finalità per cui vengono richiesti e trattati.
- la notifica delle violazioni entro 72 ore (articolo 33)
- la designazione di un «responsabile protezione dati» (articolo 37).
Se si viola il regolamento, scattano delle sanzioni.
Vengono ampliati gli obblighi in materia di tutela dei dati personali in capo al titolare e al responsabile del trattamento.
Non dovranno solo garantire il rispetto delle regole fissate per il trattamento dei dati personali, ma dovranno adottare, e dimostrare di aver adottato, una serie di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi, adeguati al settore di interesse in cui svolge la propria attività.
Il principio di accountability, è stato tradotto in italiano con il termine “responsabilizzazione”: con la responsabilizzazione del titolare del trattamento, si richiede non solo il rispetto degli obblighi iniziali previsti nel regolamento, ma anche una continua attività di controllo e verifica delle proprie attività’ di trattamento.
Lascia un Commento
Vuoi partecipare alla discussione?Fornisci il tuo contributo!