Capitoli 01 In vigore dal: 25 maggio 2018

GDPR

Regolamento Generale sulla Protezione dei Dati

Panoramica

Il Regolamento Generale sulla Protezione dei Dati (GDPR) è la pietra angolare della normativa europea sulla protezione dei dati. Ha sostituito la Direttiva sulla protezione dei dati 95/46/CE e ha rafforzato significativamente i diritti degli individui sui propri dati personali imponendo al contempo obblighi completi ai titolari e ai responsabili del trattamento.[1]

Il GDPR si applica a qualsiasi organizzazione che tratta dati personali di individui nell'UE, indipendentemente da dove l'organizzazione sia stabilita. Questo ambito extraterritoriale ha fatto del GDPR uno standard globale de facto per la protezione dei dati.[2]

Chi Deve Conformarsi

  • Titolari del trattamento: Organizzazioni che determinano le finalità e i mezzi del trattamento dei dati personali
  • Responsabili del trattamento: Organizzazioni che trattano dati personali per conto dei titolari
  • Entità non UE: Qualsiasi organizzazione che offre beni/servizi ai residenti UE o ne monitora il comportamento
  • Tutti i settori: Si applica a tutti i settori con eccezioni limitate per le forze dell'ordine e la sicurezza nazionale

Requisiti Chiave per gli Sviluppatori

Base giuridica per il trattamento

Ogni operazione di trattamento deve avere una base giuridica valida ai sensi dell'Articolo 6:[3]

  1. Consenso: Libero, specifico, informato e inequivocabile
  2. Contratto: Necessario per l'esecuzione di un contratto con l'interessato
  3. Obbligo legale: Richiesto dalla legge UE o dello Stato membro
  4. Interessi vitali: Protezione della vita dell'interessato o di un'altra persona
  5. Interesse pubblico: Necessario per un compito di interesse pubblico o esercizio di pubblica autorità
  6. Interessi legittimi: Bilanciati rispetto ai diritti dell'interessato (non disponibile per le autorità pubbliche)

Requisiti tecnici

  • Minimizzazione dei dati: Raccogliere solo ciò che è necessario per lo scopo specificato
  • Limitazione della conservazione: Conservare i dati personali solo per il tempo necessario
  • Integrità e riservatezza: Implementare misure di sicurezza appropriate
  • Privacy by design e by default: Integrare la protezione dei dati nei sistemi fin dall'inizio (Articolo 25)[4]

Diritti degli interessati

Le applicazioni devono supportare i seguenti diritti:

DirittoDescrizioneTempo di risposta
Accesso (Art. 15)Fornire copia dei dati personali e informazioni sul trattamento1 mese
Rettifica (Art. 16)Correggere dati personali inesattiSenze ingiustificato ritardo
Cancellazione (Art. 17)Eliminare i dati quando non più necessariSenze ingiustificato ritardo
Limitazione (Art. 18)Limitare il trattamento in circostanze specificheSenze ingiustificato ritardo
Portabilità (Art. 20)Fornire i dati in formato leggibile da macchina1 mese
Opposizione (Art. 21)Opporsi al trattamento basato su interessi legittimiSenze ingiustificato ritardo

Notifica di violazione

  • All'autorità di controllo: Entro 72 ore dal momento in cui si viene a conoscenza (Articolo 33)[5]
  • Agli interessati: Senza ingiustificato ritardo quando vi è un alto rischio per i diritti e le libertà (Articolo 34)
  • Documentazione: Mantenere registri di tutte le violazioni indipendentemente dall'obbligo di notifica

Sanzioni

Il GDPR stabilisce una struttura di sanzioni a livelli:

  • Livello inferiore: Fino a 10 milioni di € o il 2% del fatturato annuo globale, a seconda di quale sia maggiore
  • Livello superiore: Fino a 20 milioni di € o il 4% del fatturato annuo globale, a seconda di quale sia maggiore[6]

Le principali multe emesse includono:

  • Amazon (Lussemburgo, 2021): 746 milioni di €
  • Meta/Facebook (Irlanda, 2023): 1,2 miliardi di €
  • Google (Francia, 2022): 90 milioni di €

Lista di controllo per l'implementazione

  • Identificare tutte le attività di trattamento dei dati personali
  • Stabilire la base giuridica per ogni operazione di trattamento
  • Implementare la gestione del consenso dove applicabile
  • Creare informative sulla privacy che soddisfino i requisiti di trasparenza
  • Costruire meccanismi per la gestione delle richieste degli interessati
  • Implementare misure di sicurezza appropriate
  • Stabilire procedure di rilevamento e notifica delle violazioni
  • Condurre Valutazioni d'Impatto sulla Protezione dei Dati per trattamenti ad alto rischio
  • Nomina del Responsabile della Protezione dei Dati se richiesto
  • Mantenere i Registri delle Attività di Trattamento (RoPA)

Fonti e Riferimenti

[1]
Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio. EUR-Lex: Testo ufficiale GDPR
[2]
Ambito territoriale del GDPR, Articolo 3. GDPR.eu: Ambito territoriale
[3]
Liceità del trattamento, Articolo 6. GDPR-Info: Articolo 6
[4]
Protezione dei dati fin dalla progettazione e per impostazione predefinita, Articolo 25. GDPR-Info: Articolo 25
[5]
Notifica di violazione dei dati personali, Articolo 33. GDPR-Info: Articolo 33
[6]
Sanzioni amministrative, Articolo 83. GDPR-Info: Articolo 83