Che cos'è il GDPR?

Il GDPR è forse lo standard sulla privacy dei dati più completo fino a oggi e rappresenta una sfida significativa per le organizzazioni che elaborano i dati personali dei cittadini dell'UE, indipendentemente da dove ha sede l'organizzazione.

In vigore da maggio 2018, il Regolamento europeo in materia di protezione generale dei dati (General Data Protection Regulation, GDPR) è progettato per migliorare la protezione dei dati personali e aumentare la responsabilità organizzativa per le violazioni dei dati. Con potenziali multe fino al quattro percento dei ricavi globali o 20 milioni di euro (l'importo maggiore fra i due), il GDPR presenta sicuramente delle insidie. Indipendentemente da dove si trovi la tua organizzazione, se elabora o controlla i dati personali dei residenti nell'UE deve essere conforme al GDPR, altrimenti sarà passibile di sanzioni significative e all'obbligo di informare le parti interessate delle violazioni dei dati. Scopri di più sulla Conformità al GDPR.

Il GDPR è ampio e include i seguenti Capitoli e articoli:

Capitolo 1: Disposizioni generali

• Articolo 1: Oggetto e obiettivi
• Articolo 2: Campo di applicazione materiale Articolo 3: Campo di applicazione territoriale Articolo 4: Definizioni

Capitolo 2: Principi

• Articolo 5: Principi relativi al trattamento dei dati personali
• Articolo 6: Liceità del trattamento
• Articolo 7: Condizioni per il consenso
• Articolo 8: Condizioni applicabili al consenso del minore in relazione ai servizi della società dell'informazione
• Articolo 9: Trattamento di categorie speciali di dati personali
• Articolo 10: Trattamento dei dati relativi a condanne penali e reati
• Articolo 11: Trattamento che non richiede identificazione

Capitolo 3: Diritti del Soggetto interessato

Sezione 1: Trasparenza e modalità

• Articolo 12: Informativa, comunicazione e modalità trasparenti per l'esercizio dei diritti del soggetto interessato
• Sezione 2: Informazioni e accesso ai dati
• Articolo 13: Informazioni da fornire in caso di raccolta di dati personali dal soggetto interessato
• Articolo 14: Informazioni da fornire qualora i dati personali non si ottengano dati personali dal soggetto interessato
• Articolo 15: Diritto di accesso del soggetto interessato

Sezione 3: Rettifica e cancellazione

• Articolo 16: Diritto alla rettifica
• Articolo 17: Diritto alla cancellazione ("diritto all'oblio")
• Articolo 18: Diritto alla limitazione del trattamento
• Articolo 19: Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento
• Articolo 20: Diritto alla portabilità dei dati

Sezione 4: Diritto di opposizione e processo decisionale individuale automatizzato

• Articolo 21: Diritto di opposizione
• Articolo 22: Processo decisionale individuale automatizzato, compresa la profilazione

Sezione 5: Restrizioni

• Articolo 23: Restrizioni

Capitolo 4: Titolare e Responsabile

Sezione 1: Obblighi generali

• Articolo 24: Responsabilità del titolare
• Articolo 25: Protezione dei dati fin dalla progettazione e per impostazione predefinita
• Articolo 26: Co-titolari del trattamento
• Articolo 27: Rappresentanti di titolari del trattamento non stabiliti nell'Unione
• Articolo 28: Processore
• Articolo 29: Trattamento sotto l'autorità del titolare del trattamento o del responsabile del trattamento
• Articolo 30: Registri delle attività di trattamento
• Articolo 31: Collaborazione con l'autorità di vigilanza

Sezione 2: Sicurezza dei dati personali

• Articolo 32: Sicurezza del trattamento
• Articolo 33: Notifica di una violazione dei dati personali all'autorità di controllo
• Articolo 34: Comunicazione di una violazione dei dati personali all'interessato

Sezione 3: Valutazione dell'impatto sulla protezione dei dati e consultazione preventiva

• Articolo 35: Valutazione dell'impatto sulla protezione dei dati
• Articolo 36: Consultazione preventiva

Sezione 4: Responsabile della protezione dei dati

• Articolo 37: Designazione del responsabile della protezione dei dati
• Articolo 38: Posizione del responsabile della protezione dei dati
• Articolo 39: Compiti del responsabile della protezione dei dati

Sezione 5: Codici di condotta e certificazione

• Articolo 40: Codici di condotta
• Articolo 41: Monitoraggio dei codici di condotta approvati
• Articolo 42: Certificazione
• Articolo 43: Organismi di certificazione

Capitolo 5: Trasferimento di dati personali a paesi terzi di organizzazioni internazionali

• Articolo 44: Principio generale per il trasferimento
• Articolo 45: Trasferimento della base di una decisione di adeguatezza
• Articolo 46: Trasferimenti soggetti a misure di salvaguardia adeguate
• Articolo 47: Regole aziendali vincolanti
• Articolo 48: Trasferimenti o divulgazioni non autorizzati dal diritto sindacale
• Articolo 49: Deroghe per situazioni specifiche
• Articolo 50: Cooperazione internazionale per la protezione dei dati personali

Capitolo 6: Autorità di vigilanza indipendenti

Sezione 1: Stato indipendente

• Articolo 51: Autorità di vigilanza
• Articolo 52: Indipendenza
• Articolo 53: Condizioni generali per i membri dell'autorità di vigilanza
• Articolo 54: Norme sull'istituzione dell'autorità di vigilanza

Sezione 2: Competenza, compiti e poteri

• Articolo 55: Competenza
• Articolo 56: Competenza dell'autorità di vigilanza principale
• Articolo 57: Compiti
• Articolo 58: Poteri
• Articolo 59: Rapporti di attività

Capitolo 7: Cooperazione e coerenza

Sezione 1: Cooperazione

• Articolo 60: Cooperazione tra l'autorità di vigilanza principale e le altre autorità di vigilanza interessate
• Articolo 61: Assistenza reciproca
• Articolo 62: Operazioni congiunte delle autorità di vigilanza

Sezione 2: Coerenza

• Articolo 63: Meccanismo di coerenza
• Articolo 64: Parere del Consiglio
• Articolo 65: Risoluzione delle controversie da parte del Consiglio
• Articolo 66: Procedura d'urgenza
• Articolo 67: Scambio di informazioni

Sezione 3: Comitato europeo per la protezione dei dati (European Data Protection Board)

• Articolo 68: Comitato europeo per la protezione dei dati (European Data Protection Board)
• Articolo 69: Indipendenza
• Articolo 70: Compiti del Consiglio
• Articolo 71: Rapporti
• Articolo 72: Procedura
• Articolo 73: Presidente
• Articolo 74: Compiti del presidente
• Articolo 75: Segreteria
• Articolo 76: Riservatezza

Capitolo 8: Rimedi, responsabilità e sanzioni

• Articolo 77: Diritto di presentare un reclamo a un'autorità di vigilanza
• Articolo 78: Diritto a un ricorso giurisdizionale effettivo contro un'autorità di vigilanza
• Articolo 79: Diritto a un ricorso giurisdizionale effettivo contro un titolare del trattamento o un responsabile del trattamento
• Articolo 80: Rappresentanza degli interessati al trattamento
• Articolo 81: Sospensione dei procedimenti
• Articolo 82: Diritto al risarcimento e responsabilità
• Articolo 83: Condizioni generali per l'imposizione di sanzioni amministrative
• Articolo 84: Sanzioni

Capitolo 9: Disposizioni relative a specifiche situazioni di trattamento dei dati

• Articolo 85: Elaborazione e libertà di espressione e informazione
• Articolo 86: Elaborazione e accesso del pubblico ai documenti ufficiali
• Articolo 87: Elaborazione del numero di identificazione nazionale
• Articolo 88: Elaborazione nell'ambito del rapporto di lavoro
• Articolo 89: Misure di salvaguardia e deroghe relative al trattamento a fini di archiviazione nel pubblico interesse, a fini di ricerca scientifica o storica o a fini statistici
• Articolo 90: Obblighi di segretezza
• Articolo 91: Norme esistenti sulla protezione dei dati di chiese e associazioni religiose

Capitolo 10: Atti delegati e atti di esecuzione

• Articolo 92: Esercizio della delega
• Articolo 93: Procedura di comitato

Capitolo 11: Disposizioni finali

• Articolo 94: Abrogazione della direttiva 95/46/CE
• Articolo 95: Rapporto con la direttiva 2002/58/CE
• Articolo 96: Rapporto con Accordi precedentemente conclusi
• Articolo 97: Rapporti della Commissione
• Articolo 98: Revisione di altri atti giuridici dell'Unione sulla protezione dei dati
• Articolo 99: Entrata in vigore e applicazione

Disposizioni chiave dell'articolo 32

Alcune delle disposizioni chiave del GDPR, articolo 32 richiedono:

a. la pseudonimizzazione e la crittografia dei dati personali; b. la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento; c. la capacità di ripristinare la disponibilità e l'accesso ai dati personali in modo tempestivo in caso di incidente fisico o tecnico; d. un processo per testare, classificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento.

Disposizioni chiave dell'articolo 34

L'Articolo 34 del regolamento illustra dettagliatamente che cosa deve fare un'organizzazione per evitare l'obbligo di avvisare gli interessati al trattamento in caso di violazione.
Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo.
La comunicazione al soggetto interessato di cui al paragrafo 1 del presente Articolo descrive in un linguaggio chiaro e semplice la natura della violazione dei dati personali…
Non è richiesta la comunicazione all'interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni:

a. il titolare del trattamento ha implementato misure di protezione tecniche e organizzative adeguate e tali misure sono state applicate ai dati personali interessati dalla violazione, in particolare quelle che rendono i dati personali incomprensibili a qualsiasi persona non autorizzata ad accedervi, come la crittografia; b. il responsabile del trattamento ha adottato misure successive volte a garantire che l'elevato rischio per i diritti e le libertà degli interessati al trattamento di cui al paragrafo 1 non possa più concretizzarsi; c. comporterebbe uno sforzo sproporzionato. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.