Ormai in molti siti ed in appendice a svariati documenti ci capita di leggere la sigla GDPR, ma sappiamo veramente cosa rappresenta e cosa regolamenta?

GDPR è l’acronimo di General Data Protection Regulation, un regolamento europeo che disciplina il modo in cui le aziende e le altre organizzazioni trattano i dati personali. Pubblicato sulla Gazzetta Ufficiale europea il 4 maggio 2016, è entrato in  vigore il 24 maggio 2016. La sua attuazione è avvenuta solamente a distanza di due anni, quindi a partire dal 25 maggio 2018. E’ composto da 99 articoli e 173 considerando, che hanno solo un valore interpretativo. 

Il GDPR rappresenta un insieme di norme sulla protezione dei dati per tutte le imprese che operano nell’UE, indipendentemente dalla loro sede e dalle loro attività. Lo scopo di questo regolamento è quello di garantire un maggiore controllo sui propri dati personali. Inoltre ha lo scopo di concedere alle imprese condizioni di parità e uniformità all’interno dell’Unione Europea. La legislazione mira a consentire ad ogni individuo il controllo sull’utilizzo dei propri dati, tutelando i diritti e le libertà fondamentali delle persone fisiche. Con ciò stabilisce requisiti specifici per il trattamento dei dati, la trasparenza, la documentazione da produrre e conservare e il consenso degli utenti.
Essendo un regolamento e non un decreto legislativo, non è obbligatorio che sia recepito dagli Stati dell’Unione. È però attuato allo stesso modo in tutti gli Stati dell’Unione senza margini di libertà nell’adattamento e nell’interpretazione.

Tipologie di dati personali

Parlando di dati personali bisogna però fare chiarezza in merito a quali siano i dati effettivamente considerati sensibili o meno. Sono dati personali tutte le informazioni che permettono di identificare un determinato soggetto, dal nome all’indirizzo, fino anche a informazioni sulla posizione, dati medici e reddituali.

Il GDPR pone fine alla distinzione fra dati personali e dati sensibili. Definisce dato personale, qualsiasi informazione riguardante una persona fisica identificata o identificabile. Il concetto di dati sensibili viene invece sostituito da quello di dati giudiziari. Questi sono identificabili con determinate categorie di dati, rivelanti: l’origine razziale o etnica; le opinioni politiche; le convinzioni religiose o filosofiche; l’appartenenza sindacale; i parametri genetici, biometrici e relativi allo stato di salute; l’orientamento sessuale; le condanne penali, i reati e connesse misure di sicurezza.

Il Regolamento, basandosi su questa categorizzazione, definisce quattro diverse tipologie di dati personali, identificate in base alla modalità di rilevazione. I dati recepiti possono essere:

Provided, cioè forniti consapevolmente dall’utente (es. registrazione);
Observed, ovvero desumibili dalla navigazione dell’utente;
Derived, derivati da una precedente raccolta (es. profilazione);
Inferred, ossia aggregati su cui vengono fatte previsioni statistiche;

Obiettivi del GDPR

I dati personali vengono raccolti sul web con il fine di garantire una migliore esperienza a utenti e visitatori. Attraverso questi dati infatti le aziende possono proporre contenuti diversi ad ogni individuo, adattati alle esigenze dei singoli soggetti.

Ma l’obiettivo principale alla base del GDPR è: l’omologazione della regolamentazione in materia di protezione dei dati personali all’interno dell’Unione europea. Infatti, con il Trattato di Lisbona la protezione dei dati personali è diventata diritto fondamentale dei cittadini, e quindi va garantita allo stesso modo in tutta l’Unione. Altro focus del GDPR è lo sviluppo del Mercato Unico Digitale (Digital Single Market) europeo. È grazie alla tutela dei dati che si alimenta la fiducia dei cittadini nella società digitale e nell’uso dei servizi digitali.

Il GDPR fra pubblico e privato

Il GDPR si occupa anche di privacy e trasparenza, anche in riferimento all’attività dei soggetti privati che svolgono funzioni di pubblico interesse. Il regolamento, infatti, non modifica direttamente le norme nazionali in materia di accesso ai documenti amministrativi, né quelle attualmente applicate alle istituzioni europee. Si preoccupa invece di evitare le contraddizioni, ponendo al centro della questione concetti come la trasparenza e la tutela efficace della riservatezza.

Obblighi e impatto sulle aziende

Il GDPR riguarda tutte le aziende che gestiscono qualsiasi tipo di dato personale. Dalle informazioni sui propri dipendenti a quelle sui clienti per conto terzi. Fra gli obblighi da tenere in considerazione il principale è quello riguardante una richiesta di consenso esplicativa. Seguono poi, l’istituzione di un registro delle attività, la notifica delle violazioni entro 72 ore e la designazione di un responsabile protezione dati. Per quanto riguarda il consenso, l’azienda deve richiederlo in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Le aziende, inoltre, devono essere dotate di un registro di trattamento, in cui si elencano le finalità dell’elaborazione dei dati, i destinatari, l’eventuale scadenza per la loro cancellazione.

Cosa comporta il mancato rispetto del GDPR?

Come tutte le direttive anche il mancato comportamento del GDPR comporta delle ripercussioni economiche e legali. Queste conseguenze possono essere differenti: dalla diffida amministrativa a sanzioni fino a 20 milioni di euro.