Cos’è il GDPR dell’UE e perchè è applicabile al mondo intero?

In che casi il GDPR è applicabile e la mia organizzazione deve essere conforme?

Il Regolamento Generale sulla Protezione dei Dati (o GDPR) sostituirà l’attuale Direttiva (Direttiva sulla Protezione dei Dati 95/46/CE). Non entrerà in vigore fino al 25 maggio 2018 ma richiede che le aziende inizino a prepararsi adesso, considerando che alcuni requisiti obbligatori possono essere onerosi e richiedere molto tempo per l’implementazione.

Cosa sono i dati personali?

Sulla base delle definizioni di cui all’articolo 2 della Direttiva 95/46 / CE, i dati personali sono tutti i dati relativi a una persona fisica identificata o identificabile (“interessato”); una persona identificabile è quella che può essere identificata, direttamente o indirettamente, in particolare con riferimento ad un numero di identificazione o a uno o più fattori specifici della sua identità fisica, fisiologica, mentale, economica, culturale o sociale.

Cos’è il GDPR dell’UE e perchè è applicabile al mondo intero? - Advisera

Qual è il Regolamento Generale sulla Protezione dei Dati dell’UE (o GDPR)?

Dal 1995, la legislazione europea non ha aggiornato la vecchia direttiva (Direttiva sulla Protezione dei Dati 95/46 / CE) – questa direttiva è stata recepita nei paesi membri, con conseguente differenziazione delle regole tra i diversi paesi dell’Unione europea.

Questo nuovo regolamento (il GDPR dell’UE) è stato approvato il 14 aprile 2016 dal Parlamento Europeo e dal Consiglio Europeo. Sarà applicato direttamente in ogni paese, consentendo una coerenza delle regole tra le nazioni sui diritti dei cittadini alla privacy.

Alcuni dei punti più rilevanti sono i seguenti:

  • Tenendo conto della natura e dello scopo dell’utilizzo dei dati, sia i soggetti che determinano lo scopo e i mezzi di trattamento dei dati personali (i Controllori1) dei Dati) che quelli che possono a loro volta gestirli (Processori2) dei Dati), per essere conformi con il GDPR dell’UE, dovranno attuare delle misure organizzative e tecniche per raggiungere un livello adeguato di sicurezza dei dati in termini di riservatezza, integrità, disponibilità e resilienza dei sistemi che li supportano, nonché la validazione regolare dell’efficacia di tali misure.
  • Oltre alle società nell’UE, il GDPR dell’UE copre società esterne all’UE che offrono beni o servizi agli interessati dell’UE (“una persona identificata o identificabile a cui ‘i dati personali’ si riferiscono”), anche se gratuitamente, o che controllano il comportamento degli interessati all’interno dell’UE.
  • Con il nuovo regolamento, le organizzazioni devono minimizzare la raccolta e la conservazione dei dati e ottenere il consenso dei consumatori quando trattano i dati – in altre parole, ridurre al minimo la raccolta dei dati dei consumatori, ridurre al minimo i soggetti con cui tali dati sono condivisi e ridurre al minimo la durata della conservazione. L’obiettivo è che le organizzazioni raccolgano o archivino solo informazioni di cui hanno bisogno per lo scopo definito, in particolare per quanto riguarda i dati personali.
  • Il GDPR dell’UE ha rafforzato la precedente direttiva, consentendo il diritto di essere dimenticati per i proprietari dei dati personali e richiedendo la cancellazione dei propri dati da parte delle organizzazioni, inclusi i dati pubblicati sul web. Il GDPR dell’Unione europea afferma che “il (…) controllore ha l’obbligo di cancellare i dati personali senza indebiti ritardi, in particolare per quanto riguarda i dati personali raccolti quando l’interessato era un minore, e l’interessato ha diritto di ottenere dal controllore la cancellazione dei dati personali che lo riguardano senza indebito ritardo”.
  • In caso di violazione dei dati personali, l’azienda dovrà notificare all’organizzazione responsabile competente, l’Autorità per la Protezione dei Dati (Data Protection Authority o DPA) (“Autorità di Vigilanza Nazionale, che agisce in completa autonomia, responsabile del controllo dell’applicazione delle norme sulla protezione dei dati a livello nazionale “) entro 72 ore dopo aver rilevato la violazione. La notifica obbligatoria degli individui interessati dipende dalla possibilità di accesso non autorizzato all’informazione. Non è necessario effettuare una notifica alla DPA se è improbabile che la violazione comporti un rischio per i diritti e le libertà degli individui.
  • Se l’organizzazione si occupa di particolari categorie di dati personali su larga scala, deve nominare un Responsabile della Protezione dei Dati (Data Protection Officer o DPO) all’interno del proprio consiglio.
  • Se queste misure non sono soddisfatte, le sanzioni sono elevate: fino a 20 milioni di euro o, in caso di società, fino al 4% del fatturato annuale, a seconda di quale cifra sia più elevata.

La mia organizzazione deve essere conforme al GDPR dell’UE?

Ci sono due tipi di responsabilità in materia di protezione dei dati personali: i “controllori” di dati e i “processori” di dati.

Va inoltre rilevato che i dati personali dei dipendenti sono inclusi nel campo di applicazione di questo regolamento.

Quindi, le organizzazioni che devono essere conformi al GDPR dell’UE sono:

  • Aziende (controllori e processori) che hanno sede nell’UE, indipendentemente dal fatto che l’elaborazione avvenga o meno all’interno dell’UE.
  • Aziende (controllori e processori) che non hanno sede nell’UE e che offrono beni o servizi all’interno dell’UE o a individui dell’UE.

Come si possono preparare le organizzazioni?

L’impatto del GDPR dell’UE consiste nel fatto che la protezione dei dati personali debba diventare una questione di vitale importanza per l’alta direzione delle organizzazioni. È fondamentale che la preparazione delle politiche si basi su un quadro di responsabilità e regole trasparenti per garantire una risposta rapida agli incidenti di sicurezza e alle conseguenti perdite di dati personali.

L’adozione di norme come la ISO / IEC 27001 sulla sicurezza delle informazioni costituirà la base per raggiungere rapidamente la conformità al GDPR dell’UE.

Per saperne di più su come l’ISO 27001 possa essere un aiuto per la protezione dei dati personali, si prega di leggere il nostro libro bianco gratuito  Privacy, cyber security, and ISO 27001 – How are they related?


1) Si utilizza qui e di seguito il termine non ufficiale “Controllore” al posto del termine uffficiale “Titolare del trattamento” come riportato nel testo dell’UE perché più intuitivo
2) Si utilizza qui e di seguito il termine non ufficiale “Processore” al posto del termine uffficiale “Responsabile del trattamento” come riportato nel testo dell’UE perché più intuitivo