GDPR: la nuova normativa europea sulla protezione dei dati personali

Dal 25 maggio 2018 il nuovo regolamento generale europeo in materia di protezione dei dati personali è diventato applicabile in tutti i Paesi membri dell’Unione europea. Quali sono le nuove norme e come cambia il panorama per aziende e utenti?

Il GDPR e la definizione di dato personale

Il Regolamento UE 2016/79, noto come GDPR (General Data Protection Regulation), è una serie di norme relative al trattamento e alla circolazione dei dati personali delle persone fisiche negli Stati membri dell’Unione Europea.

Cosa si intende per dato personale? Nel contesto del GDPR, la Commissione europea definisce i dati personali come «tutte le informazioni relative a una persona vivente identificata o identificabile» e integra la precedente definizione di dati sensibili estendendola anche ai dati genetici, biometrici e sanitari. Secondo la nuova normativa, sono considerati dati personali il nome, il cognome, l’indirizzo, il numero di telefono e l’email, ma anche i dati sulla posizione, gli indirizzi IP, i dati  sanitari e gli ID cookie.

Cosa si intende per trattamento dei dati personali? Con questo termine si indicano tutte le operazioni eseguite sui dati personali, sia manuali che automatizzate. La Commissione europea definisce come trattamento «la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione» di dati personali.

Un’unica normativa europea per la tutela dei dati personali

Il regolamento risponde anzitutto alle crescenti richieste da parte dei cittadini europei di maggiore tutela dei propri dati personali. Secondo un’indagine Eurobarometro per il 78% dei cittadini europei è «molto importante che i propri dati personali siano accessibili solo tramite autorizzazione diretta» e l’83% degli europei ritiene necessaria l’applicazione di regole specifiche che tutelino la privacy online e la sicurezza dei propri dati.

Al tempo stesso, il GDPR risponde all’esigenza di uniformare e armonizzare le norme nazionali sul trattamento dei dati personali e dalla necessità di aggiornare normative ormai sorpassate, sopratutto alla luce dell’aumento dei crimini informatici e dei data breach che negli ultimi anni hanno compromesso le identità digitali di milioni di utenti.

Cosa prevede il GDPR

Il regolamento, in sintesi, prevede l’istituzione di nuovi diritti per gli utenti: il diritto a essere informati sul trattamento dei propri dati personali, ma anche il diritto ad accedere ai dati raccolti dalle aziende e a richiedere la cancellazione o la limitazione del trattamento. Insieme ai nuovi diritti per gli utenti, il GDPR istituisce anche nuovi doveri per le aziende, che a partire da maggio devono ottenere il consenso esplicito degli utenti per raccogliere dati e soprattutto per poter usare i dati personali raccolti a fini promozionali o di marketing.

In altre parole, il trattamento dei dati strettamente necessario alla fornitura di servizi rimane esplicitamente consentito, ma l’uso di quei dati per fini pubblicitari o la loro vendita a terzi da parte delle aziende che li hanno raccolti richiede l’esplicito consenso degli utenti. Il consenso degli utenti è necessario anche per poter trasferire i dati al di fuori dell’Unione europea, dove non sono tutelati dal Regolamento 2016/79.

Infine, le aziende sono tenute a proteggere i dati dei propri utenti e a informare tempestivamente le autorità in caso di data breach. Il GDPR prevede a questo scopo la designazione di un Responsabile della protezione dei dati (RPD) interno per tutte le organizzazioni pubbliche e per le società che conducono un monitoraggio regolare e sistematico di dati su larga scala e per tutte le aziende che trattano dati ritenuti sensibili.

Le norme raccolte nel GDPR si applicano a tutte le persone, le società, le aziende e le imprese che operano nel mercato europeo, indipendentemente dal paese in cui ha sede la compagnia: questo significa che anche le compagnie con sede fuori dall’Unione europea (come i giganti Facebook e Google) sono tenute ad adeguarsi al nuovo regolamento.

Quali sono i rischi per chi non si adegua? Per chi non si attiene alla nuova normativa, il Regolamento prevede pesanti sanzioni pecuniarie che possono arrivare fino al 4% del valore complessivo dell’azienda o fino a 20 milioni di euro.