GDPR: cos’è e gli obblighi per le aziende

Lo scopo, così come dichiarato dalla Commissione europea, è quello di creare uno standard più semplice per il trattamento dei dati, creando anche uno status di certezza giuridica che accompagni il trasferimento di dati dall’interno all’esterno dell’Europa. Il Gdpr vuole essere una risposta a un problema non recente, sul quale i Garanti per la privacy nazionali si sono già scontrati più volte in passato.

Lo scopo è tutelare i cittadini europea ed infondere fiducia in quelle tecnologie che utilizziamo ogni giorno, oltre a diffondere la mentalità necessaria alle aziende per trattare la privacy al pari di qualsiasi altro processo aziendale.

Quali sono le norme del GDPR?

In sintesi il GDPR prevede che:

• le informazioni e le richieste di consenso siano più chiare
• vengano erette le fondamenta di nuovi diritti per i cittadini
• siano stabiliti i limiti del trattamento automatizzato dei dati personali e siano definiti i parametri per il trasferimento dei dati fuori dall’Europa
• vengano imposte regole rigide relativamente ai casi di violazione dei dati

Si tratta di nome che si applicano a tutte le aziende, anche a quelle al di fuori dell’Ue a cui possono potenzialmente accedere anche i cittadini europei.

Un aggravio delle responsabilità per le organizzazioni, che rischiano multe fino a 20 milioni di euro nei casi più gravi.

Le aziende devono nominare dei titolari del trattamento dei dati a cui spetterà il compito, tra gli altri, di comunicare al Garante le eventuali violazioni e deve essere in grado, mediante una collaborazione europea, a reagire ai data breach che le hanno rese possibili. Una misura che inchioda le aziende e le obbliga a capire davvero quanto i dati siano importanti, non solo in virtù dei danni economici che una fuga di informazioni può comportare.

Gli è data facoltà di non avvertire le utenze, a patto che la violazione abbia avuto ripercussioni trascurabili e che vi abbia già posto rimedio. In questo caso l’ultima parola spetta al Garante che può imporre alle aziende di rendere edotti i propri utenti. Il Garante, come previsto dal Gpdr, ha pieni poteri in materia di indagine e di sanzioni.

I nuovi diritti dei cittadini sanciti dal Gdpr sono 12.

Questi diritti coprono la richiesta del consenso, che deve essere sottoposta agli utenti in modo chiaro, quando questi devono rendere disponibili alcuni dei propri dati personali per accedere a un servizio in cui devono apparire la finalità dell’uso dei dati raccolti, il nome del titolare del trattamento, la durata della conservazione dei dati e gli eventuali altri destinatari che avranno accesso agli stessi.

C’è poi la tutela della libertà del consenso prestato da parte dell’utente. Non è raro che alcuni servizi online richiedano a chi ne fa uso dati per nulla necessari alle finalità del servizio. Occorre quindi che agli utenti sia data la garanzia di modificare o annullare il consenso.

Il divieto di trattare alcune tipologie di dati è tra i 12 nuovi diritti. Si tratta per lo più di informazioni riguardo l’etnia degli utenti, le loro convinzioni politiche o religiose, il loro orientamento sessuale o l’appartenenza a categorie o associazioni. Questi dati possono essere forniti ma chi ne fa richiesta deve somministrare all’utente un’apposita richiesta.

Viene anche disciplinato il diritto di accesso. Gli utenti devono essere messi in grado di sapere in quale modo sono stati utilizzati i propri dati e gli deve essere data possibilità di limitarne l’uso, di rettificarli e di sporgere reclami alle autorità di supervisione. Le organizzazioni hanno il dovere di fornire agli utenti le informazioni, è uno dei compiti del titolare del trattamento dei dati.

Il diritto alla cancellazione dei dati, il diritto all’oblio, è parte centrale del Gdpr, così come lo è il diritto di limitarne il trattamento o la volontà dell’utente di portare i dati da un titolare a un altro, senza che quello attuale possa opporre resistenze.

Allo stesso modo un cittadino, senza bisogno di motivi particolari, può opporsi in qualsiasi momento al trattamento dei dati personali.