Guida al GDPR. Che cos'è il GDPR? Cosa comporta il nuovo regolamento per i singoli individui? Cosa comporta per le aziende e le organizzazioni? Leggete le nostre FAQ per saperne di più o scriveteci, proveremo a rispondervi qui!
Il GDPR: tutto quello che c’è da sapere

  • Che cos'è il GDPR?

    Il General Data Protection Regulation (GDPR) è il nuovo Regolamento europeo in materia di protezione dei dati personali che avrà piena applicazione dal 25 maggio 2018.

  • Cosa prevede?

    Disciplina il trattamento dei dati personali da parte di aziende private, amministrazioni pubbliche e altre organizzazioni. (Con "Trattamento" s'intende ogni attività relativa alla raccolta, l'aggregazione, l'estrazione, l'analisi, la conservazione e la condivisione di dati.) ­­Il GDPR impone inoltre che i dati personali siano conservati ed elaborati in modo sicuro.

  • A chi si rivolge?

    Il GDPR è concepito per proteggere i dati personali di chiunque viva nell'Unione Europea.

  • Chi è responsabile dell'applicazione delle norme?

    L'Unione Europea e i suoi Stati membri sono responsabili dell'applicazione del GDPR. Ogni Paese è tenuto a costituire un'Autorità Garante della Protezione dei Dati (DPA) pubblica e indipendente per applicare il GDPR, gestire i reclami presentati dai singoli individui, comminare sanzioni quando necessario, approvare codici di condotta e aumentare la consapevolezza dei suoi cittadini (es. promuovendo campagne di sensibilizzazione). I reclami dei singoli individui nei confronti delle aziende troveranno risposta presso le Autorità Garanti della Protezione dei Dati e i tribunali nazionali, congiuntamente alla Corte di giustizia dell'Unione Europea, quando necessario.

  • Chi deve conformarsi?

    Il regolamento sarà applicato direttamente e indistintamente in tutti i 28 Paesi dell'Unione Europea e interesserà tutte le aziende private, Istituzioni pubbliche e organizzazioni che detengono e trattano dati personali. Questi soggetti hanno avuto oltre due anni, dal 27 aprile 2016, per adeguarsi al nuovo regolamento. Ma il regolamento si applica anche alle aziende e alle organizzazioni che operano al di fuori dell'UE: se un'azienda o un'organizzazione tratta i dati personali di individui che vivono nell'UE, deve adeguarsi al GDPR, indipendentemente da dove abbia la sua sede.

  • Quali le novità?

    Sebbene il GDPR rappresenti più un'evoluzione che non una rivoluzione delle norme UE esistenti, nondimeno introduce alcuni cambiamenti sostanziali rispetto al passato. In particolare, il nuovo regolamento:
    1. Riconosce agli individui alcuni nuovi diritti (es. il diritto di spostare i propri dati tra aziende e servizi diversi e il diritto di richiedere una copia dei propri dati conservati dalle aziende) e impone ad aziende/organizzazioni una maggiore trasparenza (es. devono informarvi sulla provenienza dei dati che stanno trattando e per quali finalità sono trattati e devono informarvi se vi stanno profilando).
    2. Rende più semplice ed efficace il rispetto della legge (es. sanzionando le aziende o consentendo alle persone di rivolgersi direttamente a un tribunale in caso di violazione).
    3. Semplifica le norme applicando la stessa identica legge in tutti gli Stati membri dell'UE ed offre alle aziende una maggiore flessibilità sulle modalità da adottare per garantire il rispetto delle norme.

  • Che cosa si intende con dati personali?

    I dati personali hanno un ruolo centrale nel GDPR, il regolamento non si applica indiscriminatamente a tutti i dati in possesso delle aziende. In pratica con dati personali si intende qualsiasi informazione che possa consentire l’identificazione di un individuo. Poiché l'identificazione di un individuo può spesso essere realizzata anche riunendo insieme diversi frammenti di informazione (persino senza un nome associato), la definizione di dato personale è di conseguenza piuttosto ampia. Una misura delle scarpe, un hobby o un'immagine, per esempio, potrebbero essere classificati come dati personali nel caso in cui sia possibile identificare a quale persona appartengono questi elementi informativi. E’ bene tenere presente che non necessariamente è il data controller stesso (l'azienda/organizzazione che tratta i dati) ad essere messo in grado di eseguire l'identificazione.

  • Sono previste a breve integrazioni o modifiche al GDPR?

    È improbabile che nel prossimo futuro siano introdotte modifiche legislative importanti, tuttavia nei prossimi anni possiamo aspettarci chiarimenti sul GDPR a seguito dello sviluppo di linee guida da parte delle DPA, dell'emergere di controversie e dello stabilirsi di precedenti. L’UE sta inoltre lavorando a un nuovo regolamento denominato ePrivacy che andrà ad integrare il GDPR nell'ambito del trattamento di dati online.

  • Il GDPR si applica alle aziende statunitensi?

    Sì. Non appena un'azienda controlla o traccia il comportamento di un utente internet sul territorio dell'Unione Europea, il regolamento si attiverà a prescindere dalla sede dell'azienda.

  • Dove posso trovare maggiori informazioni sul GDPR?

  • Chi non si deve adeguare?

    1. Alcuni organismi statali, compresi i servizi di sicurezza nazionali, le forze dell'ordine e il sistema giudiziario, saranno disciplinati da normative nazionali distinte.
    2. I singoli individui sono esentati se raccolgono dati per "uso personale o domestico", ad esempio se memorizzano i contatti personali nel proprio telefono.
    3. Le chiese e le associazioni religiose possono mantenere i propri corpus normativi a tutela dei dati personali e le relative autorità di controllo indipendenti, a condizione che tali norme siano in linea con il GDPR.

  • Il GDPR si applica ai miei dati personali raccolti dal mio datore di lavoro?

    Sì. Il tuo datore di lavoro, come qualsiasi altra organizzazione che tratta dati personali, deve adeguarsi al GDPR. Tuttavia, ogni Stato membro dell'UE può adottare specifiche norme in materia di rapporti di lavoro. Se ti interessa approfondire questi argomenti, puoi consultare il sito web della tua Autorità Garante della protezione dei dati.

  • Come mai alcune aziende hanno una posizione critica nei confronti del GDPR?

    Molte aziende hanno iniziato a trattare i tuoi dati come una "risorsa gratuita", qualcosa che possono prendersi senza chiedere il permesso e sfruttare per i propri profitti, qualcosa che possono raccogliere senza limiti e senza sistemi di protezione. Il GDPR è uno strumento potente per costringere le aziende a rivalutare i rischi connessi – non solo riguardo agli individui di cui trattano i dati, ma anche nei confronti di loro stesse, in termini di sanzioni e perdita di fiducia da parte dei loro clienti – e a trattare i tuoi dati con la cautela, il buon senso e il rispetto che avrebbero dovuto osservare fin dall’inizio.

  • Cosa posso fare se un'azienda utilizza i miei dati personali contro la mia volontà?

    • Potrebbe essere conveniente contattare innanzitutto l'azienda stessa. Che tu lo faccia o meno, puoi comunque presentare un reclamo presso la tua Autorità Garante della protezione dei dati, anche se l'azienda non ha una sede nel tuo Paese. E se non sei soddisfatto della decisione della DPA, puoi citare l'azienda in giudizio.
    • Puoi anche evitare di interpellare la DPA e rivolgerti direttamente a un tribunale, se ritieni che i tuoi diritti siano stati violati.
    • Se a causa di una violazione hai subito un danno materiale o immateriale, puoi chiedere un indennizzo economico.
    • Terze parti, quali associazioni di tutela dei consumatori, fondazioni per i diritti digitali e altri gruppi di interesse, possono inoltre avviare una contestazione in nome e per conto tuo e di altri.

  • Come saranno fatti rispettare questi diritti?

    Ogni Stato ha un'Autorità Garante della protezione dei dati (DPA) indipendente e pubblica, per garantire che le aziende rispettino il regolamento. Hai il diritto di presentare un reclamo presso la tua DPA o di rivolgerti ad un tribunale se ritieni che i tuoi diritti siano stati violati.

  • Stiamo facendo abbastanza?

    Questa è una valutazione che spetta a ciascun’azienda/organizzazione, considerando le specificità del proprio business model e i rischi possibili associati alla tutela della privacy. Un buon punto di partenza è il sito web della vostra Autorità Garante per la Protezione dei Dati personali, che sicuramente contiene linee guida e consigli utili.

  • Posso chiedere alle aziende come utilizzano i miei dati?

    Certo che sì! Il GDPR stabilisce che le aziende e le organizzazioni devono rispondere alle domande sui tuoi dati personali. Ovvero deve essere possibile sapere innanzitutto se i tuoi dati personali sono trattati o meno, e in caso affermativo per quali finalità, con chi sono condivisi e per quanto tempo saranno conservati. E se mai dovessi cambiare idea su ciò che hai accettato o a cui hai dato il consenso, le aziende e le organizzazioni sono tenute non solo a rendere semplice la comunicazione di tale scelta, ma anche ad agire di conseguenza.

  • Questo significa che posso "cancellarmi" da solo?

    Non esattamente. Non puoi cancellare a tua discrezione tutti i tuoi dati personali. Però puoi chiedere di eliminare i tuoi dati in alcune situazioni specifiche, ad esempio nel caso un'azienda/organizzazione non necessiti più di tali dati per fornire il servizio che utilizzi, oppure se decidi di ritirare il consenso. Tuttavia, anche in questi casi, le aziende possono avere valide ragioni per conservare i tuoi dati, ad esempio per finalità fiscali o per proteggersi da possibili future contestazioni.

  • Devo fare qualcosa?

    No. È compito delle aziende e delle organizzazioni garantire la protezione dei tuoi dati personali. Tuttavia rimangono delle decisioni da prendere.
    • Per i nuovi servizi che vuoi utilizzare: se un'azienda ti chiede dei dati, sei veramente sicuro di voler acconsentire? (Se il servizio tratta esclusivamente dati necessari, sono tenuti ad informarti ma non devono chiederti alcun consenso specifico. Devono invece acquisire un consenso esplicito qualora i dati non siano necessari.)
    • Per i servizi che stai utilizzando: ti senti ancora a tuo agio con le modalità con cui l'azienda/organizzazione raccoglie, analizza, conserva e condivide i tuoi dati personali? Se non sei più d'accordo, puoi semplicemente dire "no".
    • Infine: se pensi che i tuoi diritti non siano rispettati, puoi decidere di inviare una segnalazione alla tua DPA o addirittura citare in giudizio l'azienda.

  • Come dovremmo comportarci in caso di violazione dei dati?

    Secondo il GDPR siete tenuti a segnalare ogni violazione all'Autorità Garante della Protezione dei Dati, normalmente entro 72 ore dalla presa d'atto. Inoltre dovete informare le persone i cui dati sono oggetto di trattamento, a fronte di un possibile impatto negativo della violazione, ad esempio in caso di diffusione non autorizzata di loro dati finanziari o accesso di persone non autorizzate alle loro informazioni sanitarie.

  • Come possiamo assicurarci che i dati siano trattati in modo sicuro?

    I piani di azione per mettere in sicurezza i dati personali dipenderanno da un ampio spettro di fattori: ad esempio dai tipi di dati memorizzati, da quanto sono sensibili, da quanti ne detenete, da quanto è complessa la vostra infrastruttura digitale e se all’interno della vostra azienda/organizzazione esistono le competenze in materia di sicurezza digitale o avete optato per l’esternalizzazione. Come minimo bisognerebbe comunque intraprendere le seguenti azioni:
    • Elencare quali dati personali si detengono e mappare dove sono conservati.
    • Effettuare una valutazione del rischio, individuando con precisione le fonti più probabili di accessi/diffusioni non autorizzate.
    • Implementare un piano di azione per la protezione dei dati, basato sulla valutazione del rischio, che includa: minimizzazione dei dati (raccogliere, elaborare e memorizzare solo i dati assolutamente necessari), controllo degli accessi (limitare i soggetti che hanno accesso ai dati personali), sicurezza della conservazione (dove sono memorizzati i dati personali e/o sensibili? Sono memorizzati separatamente dai dati non personali / non sensibili? Sono memorizzati in forma crittografata?), realizzazione di una "igiene digitale" del personale e politiche ben definite di ritenzione, archiviazione e cancellazione dei dati.
    • Verificare la sicurezza dei sistemi che memorizzano dati personali (server, email, archivi, etc.).
    • Documentare tutte le azioni intraprese per proteggere i dati personali in vostro possesso.
    • Mettere a punto e testare un piano di azione nel caso di violazioni dei dati, che dovrebbe includere ruoli e responsabilità, segnalazioni alla DPA e così via.
    • Redigere un piano per la revisione periodica di queste azioni.
     

  • Quali sono i diritti che mi vengono riconosciuti dal GDPR?

    1. Hai il diritto di essere informato.
    • Le aziende e le organizzazioni sono ora tenute a comunicarti, con un linguaggio semplice e accessibile, quali dati personali trattano e come li usano. ( Con "Trattamento" s’intende ogni attività relativa alla raccolta, l'aggregazione, l'estrazione, l'analisi, la conservazione e la condivisione dei dati.)
    • Se un'azienda o un’organizzazione eseguono una profilazione su di te (es. incrociando dati provenienti da diverse fonti) hai il diritto di sapere cosa contiene quel profilo.
    2. Hai diritto a una gestione sicura. Il GDPR impone che i dati personali siano conservati ed elaborati in modo sicuro. 3. Hai diritto di accesso in qualsiasi momento ai tuoi dati personali detenuti da aziende/organizzazioni.
    • Se i dati sono inesatti, puoi richiederne la modifica o l'integrazione.
    • Se i dati non sono più necessari, puoi richiedere all'azienda/organizzazione di eliminarli.
    • Se inizialmente hai fornito a un'azienda/organizzazione più dati di quanto necessario per ricevere il servizio (es. per finalità di marketing) e ora non vuoi più lasciarli a disposizione, puoi chiedere che vengano eliminati.
    4. Hai diritto a utilizzare un servizio senza dover regalare ulteriori dati. Se un'azienda/organizzazione vuole trattare dati personali che non sono strettamente necessari per la fornitura di un determinato servizio (es. un'app per i servizi di trasporto che vuole accedere alla rubrica del tuo telefono), deve ottenere il tuo esplicito consenso per trattare questi dati (tieni presente che, anche se un'azienda ritiene che trattare determinati dati costituisca legittimo interesse, questo non sempre significa che sia necessario). Se hai già dato il consenso al trattamento di dati aggiuntivi, puoi sempre revocare tale consenso. 5. In caso di processi decisionali automatizzati, hai il diritto di ricevere spiegazioni e richiedere un intervento manuale correttivo.
    • Se una decisione che ti riguarda è stata presa tramite processi automatizzati, hai il diritto di sapere come è stata presa (ovvero hai diritto a una spiegazione sulla logica sottostante il meccanismo decisionale).
    • Quando si tratta di processi decisionali automatizzati, hai diritto a un intervento correttivo manuale e hai il diritto di contestare ogni decisione presa.

  • Quali rischi corriamo se non implementiamo correttamente il GDPR?

    Correte il rischio di essere sanzionati dall'Autorità Garante della Protezione dei Dati. Inoltre, nel caso abbiate violato i suoi diritti, un singolo individuo può intentarvi causa davanti a un giudice. Comunque, forse il rischio più grande è di perdere la fiducia dei vostri clienti. Alcuni sondaggi evidenziano che la maggior parte delle persone vuole essere sicura che i propri dati personali non siano oggetto di abuso e sono sempre più interessate a proteggere la propria privacy.

  • Esiste un approccio minimale?

    Il GDPR si focalizza principalmente sulla valutazione del rischio che ogni azienda/organizzazione deve svolgere in proprio e non prevede soluzioni universali. Un punto di partenza dovrebbe essere comprendere quanto sia importante, da un lato il diritto degli individui a poter controllare le informazioni che li riguardano e, dall’altro, la vostra responsabilità di assicurare che quando le persone usano i vostri servizi, questo diritto sia garantito. Le linee guida pubblicate dal gruppo di lavoro ex articolo 29 offrono esempi di buone e cattive pratiche di gestione. Si possono trovare utili linee guida anche sul sito web dell’Autorità Garante della Protezione dei Dati del vostro Paese.

  • Si può essere soggetti a una sanzione? E in tal caso, come viene applicata?

    Se non vi adeguate al GDPR, l'Autorità Garante della Protezione dei Dati può sanzionarvi. Potrebbe essere la conseguenza di un reclamo presentato da un singolo soggetto o di un controllo deciso dall'Autorità stessa. L'Autorità Garante della Protezione dei Dati deve far sì che la sanzione in ogni singolo caso sia efficace, proporzionata e dissuasiva. La DPA terrà in considerazione, tra le altre cose, la natura e la gravità della violazione, il livello di negligenza associata, se sono state intraprese azioni per mitigare il danno e il bilancio dell'azienda/organizzazione. Le sanzioni possono raggiungere il 4% del fatturato annuale dell'azienda/organizzazione fino a 20 milioni di Euro, applicando il valore più elevato tra i due.

  • Come capire se siamo pronti?

    Come minimo, dovreste essere in grado di rispondere SÌ alle seguenti domande:
    • I dati personali sono stati mappati? A che scopo?
    • Siamo in grado di giustificare il trattamento di ogni categoria di dati, ovvero individuare la base giuridica che sostiene il nostro diritto a farlo?
    • I nostri utenti vengono informati sulle modalità di trattamento dei loro dati personali?
    • Ci siamo assicurati che i dati siano conservati in sicurezza e non siano accessibili a soggetti non autorizzati?
    • Sono state messe in atto le procedure per cancellare i dati la cui conservazione non è più necessaria?
    • Sappiamo cosa bisogna fare quando una persona decide di far valere i propri diritti previsti dal GDPR, ad esempio il diritto di ottenere una copia dei propri dati? [collegare alla pagina UTENTE]
    • Sono stati accertati il livello e la fonte di qualsiasi rischio riguardante le nostre modalità di trattamento dei dati? Sono stati presi provvedimenti per mitigare questi rischi?
    • E’ stata stabilita una procedura di risposta al caso in cui si verifichino accessi a dati personali da parte di persone non autorizzate?
    • Ci siamo assicurati che nella nostra azienda/organizzazione tutti siano a conoscenza delle corrette procedure di trattamento e conservazione in sicurezza di dati personali?
    • E’ stato predisposto un piano per valutare periodicamente le modalità di trattamento dei dati?

  • Occorre registrarsi da qualche parte?

    No. A differenza della direttiva EU sulla protezione dei dati del 1995, il GDPR non richiede che i vostri database siano registrati presso l'Autorità Garante della Protezione dei Dati (DPA). Tuttavia, se nominate per la vostra azienda un responsabile della protezione dei dati, dovete comunicare al DPA i suoi dati di contatto. Il GDPR richiede la nomina del responsabile della protezione dei dati (DPO) se trattate dati personali e:
    • siete un ente pubblico (es. ministero, scuola, ospedale pubblico);
    • la vostra attività comporta il monitoraggio periodico e sistematico su larga scala di dati personali (es. grandi aziende tecnologiche, servizi di merito creditizio o videosorveglianza);
    • trattate dati sensibili su larga scala (es. ospedali).

  • Esiste un metodo standard per implementare il GDPR?

    Considerando le grandi varietà di fattori che entrano in gioco quando un'azienda o un'organizzazione trattano i dati personali, il GDPR non può essere ridotto a una lista universale di misure da implementare. In termini generali il GDPR offre alle persone (altrimenti detti "soggetti interessati") determinati diritti e bisogna assicurarsi di essere in grado di garantire tali diritti. In poche parole, dovrete conoscere a fondo quali dati trattate e come li trattate, valutando i rischi cui sono esposti i soggetti interessati. In generale, più alto è il rischio, maggiori saranno le attività di protezione dei dati che andranno implementati. La vostra responsabilità nella protezione è diversa se conservate dati personali sensibili (relativi a salute, sessualità, etc.) oppure dati di pagamento, o se invece conservate dati relativi alla misura delle scarpe dei vostri clienti. Per essere certi che la vostra azienda/organizzazione sia conforme al GDPR, dovreste iniziare esaminando le vostre attuali procedure di trattamento dati (mappando tutti i vostri flussi di dati), poi valutarle e adattarle dove necessario per soddisfare i requisiti del GDPR. Le scelte e le azioni intraprese vanno documentate. Infine, occorre assicurarsi di monitorare e riesaminare periodicamente tali procedure.