Logo Logo
Cookiebot

Significato: Cos'è il Regolamento GDPR e cosa cambia?


Il Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation) è una normativa comunitaria che controlla in che modo le società e altre organizzazioni gestiscono i dati personali. Si tratta dell'iniziativa più significativa in materia di protezione dei dati degli ultimi 20 anni, con notevoli implicazioni per qualsiasi organizzazione nel mondo che si rivolge a soggetti dell'Unione europea.

Per fornire ai soggetti il controllo di come vengono utilizzati i dati e per "tutelare i diritti e le libertà fondamentali delle persone fisiche", la legislazione stabilisce requisiti rigorosi per quanto riguarda le procedure di gestione dei dati, la trasparenza, la documentazione e il consenso dell'utente.

Ogni organizzazione deve custodire un registro e monitorare le attività di elaborazione dei dati personali

In qualità di titolare del trattamento dei dati, ogni organizzazione deve custodire un registro e monitorare le attività di elaborazione dei dati personali. In questa categoria rientrano i dati personali gestiti all'interno dell'organizzazione, ma anche da terze parti, ovvero i cosiddetti responsabili del trattamento.

I responsabili del trattamento dei dati possono includere fornitori di servizi a livello di software (SaaS) fino a servizi di terzi integrati di tracciamento e profilatura dei visitatori sul sito dell'organizzazione. Sia i titolari che i responsabili del trattamento dei dati devono essere in grado di dimostrare quali dati vengono elaborati, lo scopo dell'elaborazione e a quali paesi e terze parti i dati vengono trasmessi. I dati possono essere trasferiti solamente ad altre organizzazioni conformi alla normativa GDPR, o all'interno di giurisdizioni ritenute adeguate".

Tutti i consensi devono essere registrati come prova che il consenso è stato prestato

L'elaborazione dei dati personali non è consentita senza un consenso preventivo. Questo significa che il consenso deve essere prestato prima che avvenga qualsivoglia elaborazione, sulla base di informazioni chiare e specifiche in merito al tipo di dati e agli scopi per i quali sono stati raccolti. Per i dati personali sensibili, il consenso deve essere esplicito, il che sottolinea l'importanza del consenso durante l'elaborazione di dati personali sensibili.

Le persone fisiche hanno ora il "diritto alla portabilità dei dati" e il "diritto di accedere ai dati", oltre al "diritto all'oblio", e possono revocare il proprio consenso in qualsiasi momento. In tal caso, il titolare del trattamento deve eliminare i dati personali della persona fisica se non sono più necessari allo scopo per il quale sono stati raccolti.

In caso di una violazione dei dati, la società deve essere in grado di notificare le autorità di protezione dei dati e le persone fisiche interessate entro 72 ore.

Inoltre, il GDPR impone l'obbligo alle autorità pubbliche o alle aziende che elaborano dati personali sensibili su larga scala di impiegare o formare un responsabile della protezione dei dati. Il responsabile della protezione dei dati deve adottare misure finalizzate ad assicurare la conformità con il GDPR da parte dell'organizzazione.

In relazione alla Brexit, il governo britannico prevede di implementare una normativa equivalente che seguirà, a grandi linee, il GDPR.

Dove posso ottenere il testo pdf del GDPR 2018 in italiano?

Ecco il link per il testo integrale pdf del regolamento tradotto in italiano.

Il GDPR a chi si applica?

Il regolamento si applica a:

  1. Una società o entità che tratta dati personali come parte delle attività di una delle sue filiali stabilite nell'UE, indipendentemente da dove i dati sono trattati; o
  2. una società stabilita al di fuori dell'UE che offre beni / servizi (pagati o gratuitamente) o che controlla il comportamento delle persone nell'UE.

Se la tua azienda è un'impresa di piccole e medie dimensioni ("PMI") che elabora i dati personali come sopra descritto, è necessario conformarsi al GDPR.

Tuttavia, se l'elaborazione dei dati personali non è una parte fondamentale della tua attività, e la tua attività non crea rischi per i singoli, alcuni obblighi del GDPR non si applicano a te (ad esempio la nomina di un responsabile della protezione dei dati ('DPO').

Da notare, inoltre, che le "attività principali" dovrebbero includere attività in cui l'elaborazione di dati costituisce una parte inestricabile delle attività del responsabile del trattamento o del processore.

Cosa cambia la normativa GDPR per il mio sito web?


Se il tuo sito serve persone fisiche dall'UE e tu, o i servizi integrati di terze parti, quali Google e Facebook, elaborano qualunque tipo di dato personale, è necessario che venga ottenuto il consenso preventivo dal visitatore.

Per ottenere un consenso valido, è necessario descrivere al visitatore in che misura e a che scopo vengono elaborati i dati, utilizzando un linguaggio semplice, prima di procedere all'elaborazione di qualunque dato personale.

Queste informazioni devono essere disponibili al visitatore in qualsiasi momento, ad esempio all'interno dell'informativa sulla privacy. Inoltre, è necessario fornire un modo semplice al visitatore per consentire di modificare o revocare il consenso.

Tutti i consensi devono essere documentati come prova, e tutti i tracciamenti di dati personali, anche da parte di servizi integrati di terze parti, devono essere documentati, ivi inclusi a quali paesi vengono trasmessi i dati.

In che modo Cookiebot è d'aiuto

Utilizzando Cookiebot, è possibile automatizzare gli obblighi di conformità al GDPR per il sito in relazione al tracciamento e al consenso. Cookiebot ti consente di monitorare e documentare qualsiasi attività di tracciamento sul sito, di visualizzare le informazioni pertinenti ai visitatori del sito, e di ottenere e documentare automaticamente tutti i consensi prestati dagli utenti.

I dati personali quali sono?


Il GDPR definisce dato personale "qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale."

Gli identificativi online, quali indirizzi IP, sono ora considerati dati personali, a meno che non vengano anonimizzati.

Anche i dati personali pseudonimizzati sono soggetti al GDPR, se tramite operazioni di reverse engineering è possibile identificare a chi appartengono i dati.

Il GDPR e la privacy

Lo scopo del GDPR è nella sua essenza di rinforzare la privacy personale nell’era digitale.

Proteggendo il modo in cui i dati personali degli utenti possono venir raccolti e gestiti, la legislazione dovrebbe ridare il controllo sui propri date alle persone.

Data di applicazione del GDPR: 25 maggio 2018


La riforma dell'UE sulla protezione dei dati è stata adottata dal Parlamento europeo e dal Consiglio europeo il 27 aprile 2016. Il regolamento europeo sulla protezione dei dati era applicabile dal 25 maggio 2018 e ha sostituito la direttiva sulla protezione dei dati.

Multe e sanzioni del GDPR


Organizzazioni non conformi rischiano pesanti ammende fino a 20 milioni di euro, o al 4% del fatturato annuo globale dell'organizzazione, se superiore.

GDPR checklist: 6 cose da fare per ottenere compliance


1. Preparare l'organizzazione

Introdurre alle parti interessate nell'organizzazione gli obblighi del GDPR. Effettuare una formazione del personale sui principi di sicurezza informatica, "privacy by design" e "privacy by default". Designare un responsabile della protezione dei dati ove richiesto, ovvero se si impiegano più di 250 persone.

2. Effettuare l'audit dei dati

Assicurarsi di sapere dove sono custoditi tutti i dati, chi dispone dell'accesso e su quali dispositivi. Identificare dove vengono elaborati i dati personali, incluso nel caso di responsabili terzi del trattamento dei dati. Documentare i criteri di liceità del trattamento e aggiornare le attuali informative sulla privacy.

3. Partner di servizi di audit

Assicurarsi che i partner di servizi, ovvero servizi integrati di terze parti sul sito o fornitori di servizi a livello di software (SaaS) siano conformi al GDPR, o dipendano da una giurisdizione riconosciuta ufficialmente per il trattamento dei dati. Revisionare e mappare i flussi internazionali di dati.

4. Ottenere il consenso

Implementare metodi finalizzati al richiedere, ottenere e registrare il consenso per garantire l'osservanza del regolamento. Mantenere un registro preciso di ciascun interessato che ha prestato il consenso e fornire opzioni di revoca o modifica del consenso all'interessato.

5. Rispondere ai diritti relativi ai dati

Implementare procedure che consentano all'organizzazione di rispondere ai diritti dell'interessato, quali accesso, rettifica e cancellazione dei dati. Documentare in che modo verranno esercitati sia dalla prospettiva del cliente che del dipendente.

6. Prepararsi ai data breach

Assicurarsi che esistano procedure in atto per rilevare, indagare e segnalare violazioni dei dati personali entro la tempistica massima di 72 ore per la notifica prevista dal GDPR.

Rispetto adempimenti e prescrizioni del GDPR


Corso, formazione e certificazione GDPR:

È possibile ottenere le qualifiche di "EU GDPR Foundation" (EU GDPR F) e "EU GDPR Practitioner" (EU GDPR P) (accreditate ISO 17024) con diversi corsi tenuti, ad esempio, da IT Governance, o dalla International Association of Privacy Professionals (IAPP), che fornisce a sua volta una formazione online.

Software per la conformità al GDPR:

Esistono numerosi toolkit, framework e soluzioni software che possono essere d'aiuto nel processo di approvazione di GDPR, ad esempio DPOrganizer, che assiste nel rendere il processo di elaborazione dei dati personali conforme.

Cookiebot può aiutarti ad automatizzare la gestione dei consensi degli utenti sul tuo sito e documentare i cookie e altri sistemi di tracciamento utilizzati.

FAQ


Che significa l’acronimo “GDPR”?

L’acronimo “GDPR” deriva dal nome ufficiale in inglese del regolamento: “The General Data Protection Regulation”, tradotto in italiano come “il Regolamento generale sulla protezione dei dati”.

Come posso rendere il mio sito WordPress conforme al GDPR?

Per essere conforme, il tuo sito WordPress deve:

Leggi di più nel nostro articolo WordPress, i cookie e i plug-in: di cosa si tratta?, e prova il plugin Cookiebot, uno degli unici plugin WordPress per i cookie, che aiutano a rendere l’uso dei cookie e del tracciamento online da parte di tuo sito pienamente conforme al GDPR e alla direttiva ePrivacy.

Risorse


Scarica il PDF del regolamento generale sulla protezione dei dati (GDPR)
Commissione UE: tutela dei dati personali
Paesi "adeguati" secondo il GDPR
UK Information Commissioner's Office (ICO): riforma della protezione dei dati nel Regno Unito (The UK data protection reform)
"Privacy by Design" - I 7 principi fondamentali (Privacy by Design - The 7 Foundational Principles) (PDF)

Rendi l'uso dei cookie e del tracciamento online sul tuo sito conforme al GDPR/ePR oggi stesso

Provalo gratuitamente