Che cos’è il GDPR?

Il GDPR è il regolamento generale sulla protezione dei dati. Perché è importante? Quali sono i requisiti richiesti per essere conformi e i ruoli in gioco?

Il GDPR, acronimo di General Data Protection Regulation, è il regolamento generale sulla protezione dei dati è una delle leggi sulla privacy e sulla protezione dei dati più severe al mondo, eppure poche organizzazioni rispettano completamente i suoi statuti.

Il GDPR regola generalmente i paesi all’interno dell’Unione Europea (UE) e dello spazio economico europeo, ma il suo quadro è stato adottato in molte importanti leggi sulla privacy dei dati in tutto il mondo.

Le entità non conformi potrebbero ricevere multe fino a 20 milioni di euro o sanzioni dal 2 al 4% del fatturato globale annuo (a seconda di quale sia maggiore). A partire dal 2018, l’Information Commissioner’s Office (ICO) applica gli standard GDPR.

Questo articolo descrive gli standard stabiliti dal GDPR e fornisce una lista di controllo per aiutare le organizzazioni a rimanere conformi.

Che cos’è il regolamento generale sulla protezione dei dati (GDPR)

Il GDPR è un prodotto dell’audace riforma della protezione dei dati dell’Unione Europea (UE). I severi standard sulla privacy sono entrati in vigore il 25 maggio 2018 per proteggere i diritti delle persone. Questo quadro di cybersicurezza mira a proteggere i dati personali di tutte le persone nell’Unione europea.

Il GDPR aggiorna la Convenzione europea dei diritti dell’uomo del 1950 per renderla rilevante per l’era digitale. L’articolo 8 della convenzione afferma che ognuno ha il diritto di rispettare la propria vita familiare privata. Nell’era analogica i confini tra vita pubblica e privata erano ben definiti e facilmente identificabili. Oggi sono ambigui e sfocati. Senza uno standard chiaro e applicato come il GDPR, gli utenti non possono mai essere sicuri che i loro dati privati, e quindi la loro vita privata, siano rispettati.

Per integrare gli sforzi di mitigazione del rischio del GDPR, la Prudential Regulation Authority delinea i suoi standard di gestione del rischio di terze parti nella dichiarazione di vigilanza SS2/21.

Che si intende per “dati personali” ai sensi del GDPR dell’UE?

Ai sensi dell’articolo 4 del GDPR, i dati personali sono definiti come qualsiasi informazione relativa a una persona fisica identificata o identificabile. In altre parole, i dati personali sono tutti i dati collegati all’identità di una persona vivente.

I dati personali non sono solo immagini, video, audio, numeri e parole. Non includono solo associazioni dirette, come informazioni finanziarie e indirizzi, ma anche collegamenti indiretti, come valutazioni relative ai modelli di comportamento di una persona.

Le informazioni inesatte relative agli interessati sono ancora considerate dati personali perché tali informazioni sono collegate a un’identità. Se, tuttavia, le informazioni sono associate a un’entità fittizia, non sono considerate dati personali. Ad esempio, se fai riferimento a un personaggio fittizio che risiede in un luogo fittizio, non sono considerati dati personali.

I dati personali sono incanalati in due categorie: quelli che controllano i dati e quelli che elaborano i dati (controllori vs. processori).

A chi si applica il GDPR?

Il GDPR ha un impatto su qualsiasi organizzazione che offra beni e servizi alle persone nell’UE. Ciò include entità che non si trovano nell’UE. Se gestisci un’attività online, non sai mai con certezza se le persone con cui effettui transazioni si trovano nell’UE. Per questo motivo, tutte le attività online dovrebbero essere conformi al GDPR come misura protettiva.

-Titolari del trattamento

Il GDPR definisce un titolare del trattamento come qualsiasi individuo, autorità pubblica, agenzia o altro organismo che determina lo scopo e il trattamento dei dati personali. I controllori decidono come vengono elaborati i dati personali.

Ad esempio, una scuola di musica utilizza uno schermo digitale per avvisare i genitori nella sala d’attesa quando ogni insegnante è pronto. Lo schermo mostra il nome di ogni bambino e il numero della stanza della sua lezione di musica.

La scuola di musica è classificata come “titolare del trattamento” dei dati personali in quanto decide come il sistema di notifica deve elaborare tutti i dati.

-Responsabili del trattamento dei dati

Il GDPR definisce qualsiasi individuo, autorità pubblica, agenzia o altro organismo che elabora dati personali per conto di un titolare del trattamento. Poiché i responsabili del trattamento eseguono le regole di elaborazione dei dati stabilite dal titolare del trattamento, non prendono decisioni su come vengono gestiti i dati personali.

Ad esempio, una società di software assume un marketer per un’imminente campagna email. Al marketer vengono forniti i nomi e gli indirizzi email di tutti i lead in modo che a ciascuno possano essere inviate le cosiddette “cold email” personalizzate (è un’email non richiesta che viene inviata a un destinatario senza preavviso).

La società di software è classificata come responsabile del trattamento dei dati personali poiché determina come i dati devono essere gestiti. L’operatore di marketing è classificato come “elaboratore” poiché esegue le istruzioni di elaborazione dei dati della società di software.

Poiché gestiscono dati personali, anche se i processi seguono le direttive del titolare, devono comunque e sempre essere conformi al GDPR.

Per essere conformi bisogna che ti assicuri di:

  1. Conoscere tutti i dati raccolti dalla tua azienda;
  2. Nominare un responsabile della protezione dati
  3. Creare un registro GDPR per mappare i processi della tua attività/organizzazione
  4. Valutare i requisiti per la raccolta dati
  5. Segnalare immediatamente le violazioni dei dati
  6. Essere trasparente sul motivo della raccolta dati
  7. Verificare l’età di tutti gli utenti che acconsentono alle attività di trattamento dei dati
  8. Includere un doppio consenso esplicito per tutte le nuove iscrizioni all’elenco e-mail
  9. Mantenere aggiornata la tua informativa sulla privacy
  10. Valutare regolarmente tutti i rischi di terze parti

Di tutto questo ti parleremo prossimamente in modo più approfondito.

Register.it ha una soluzione GDPR automatizzata e sicura con cui aiuta
aziende e piccoli privati a rimanere conformi al GDPR e alle altre normative vigenti sulla protezione dei dati online. Si tratta di una soluzione fornita da iubenda, la migliore attualmente sul mercato scelta da oltre 90.000 clienti in più di 100 Paesi.

È uno strumento facile e veloce che aiuta il sito web a mantenere la conformità al GDPR identificando e affrontando specifiche vulnerabilità di sicurezza che incidono sulla normativa.

Utilizzando il nostro scanner, le aziende e le organizzazioni possono iniziare a valutare la propria conformità al GDPR e rimediare offrendo un servizio online a norma di legge.

Le nostre soluzioni di conformità online by iubenda consentono, inoltre, di tenere traccia della conformità di terze parti rispetto alle normative più diffuse. Ciò identifica eventuali lacune di conformità che espongono terze parti a un rischio maggiore di sanzioni normative e violazioni dei dati.

Scopri le nostre soluzioni di conformità online by iubenda. Troverai un piano per ogni tipo di attività online, così da poter soddisfare tutti i requisiti di legge in base alle tue esigenze.

Register.it ti accompagna nella creazione della presenza online con prodotti per ogni necessità, e per completezza, un servizio per la compliance online non poteva certo mancare.

Condividi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Articoli correlati

Inizia a scrivere il termine ricerca qua sopra e premi invio per iniziare la ricerca. Premi ESC per annullare.

Torna in alto