Una mano che indica un lucchetto con intorno le stelle che rappresentano l'unione europea e la scritta GDPR

Il GDPR, acronimo di General Data Protection Regulation, è il regolamento europeo sulla protezione dei dati personali, entrato in vigore il 25 maggio 2018. Si tratta di una normativa importante per le aziende che operano nell’UE, in quanto può avere un impatto significativo sulla loro attività.

Il GDPR si applica a tutte le organizzazioni che operano nell’UE o che offrono beni o servizi ai cittadini dell’UE, indipendentemente dalla loro sede o dalla loro dimensione. Questo significa che anche le piccole e medie imprese, le associazioni, le pubbliche amministrazioni e i professionisti devono adeguarsi al GDPR, se trattano dati personali di soggetti residenti o domiciliati nell’UE.

Ma cosa sono i dati personali e cosa significa trattarli?

Per dati personali si intendono tutte le informazioni che identificano o rendono identificabile una persona fisica, come il nome, il cognome, l’indirizzo, il numero di telefono, l’indirizzo e-mail, il codice fiscale, il numero di carta di credito, l’indirizzo IP, i cookie, i dati biometrici, i dati sanitari, ecc.

Cosa prevede il GDPR?

Il GDPR impone alle aziende che trattano dati personali di cittadini dell’UE di rispettare una serie di requisiti, tra cui:

  • Ottenere il consenso degli interessati per il trattamento dei loro dati personali.
  • Fornire agli interessati informazioni chiare e concise sul modo in cui i loro dati personali vengono raccolti e utilizzati.
  • Raccogliere e utilizzare i dati personali solo per le finalità per le quali sono stati raccolti.
  • Proteggere i dati personali da accessi non autorizzati, divulgazioni, perdite o distruzioni.

Inoltre, il GDPR prevede che il trattamento dei dati personali debba rispettare i seguenti principi:

  • liceità, correttezza e trasparenza: i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
  • limitazione delle finalità: i dati devono essere raccolti per finalità determinate, esplicite e legittime e non devono essere ulteriormente trattati in modo incompatibile con tali finalità;
  • minimizzazione dei dati: i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
  • esattezza: i dati devono essere esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare i dati inesatti o incompleti;
  • limitazione della conservazione: i dati devono essere conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario per le finalità per le quali sono trattati;
  • integrità e riservatezza: i dati devono essere trattati in modo da garantire una sicurezza adeguata, compresa la protezione da trattamenti illeciti o non autorizzati e da perdita, distruzione o danneggiamento accidentali.

I tuoi diritti secondo il GDPR

Il GDPR ti garantisce una serie di diritti in relazione ai tuoi dati personali, che puoi esercitare in qualsiasi momento. Questi diritti sono:

  • Accesso: puoi chiedere al titolare del trattamento se sta trattando i tuoi dati personali e, se sì, accedere ai dati e ad altre informazioni utili.
  • Rettifica: puoi chiedere al titolare del trattamento di correggere i tuoi dati personali se sono errati o incompleti.
  • Cancellazione (o oblio): puoi chiedere al titolare del trattamento di cancellare i tuoi dati personali, se ci sono dei motivi validi previsti dal GDPR.
  • Limitazione: puoi chiedere al titolare del trattamento di limitare il trattamento dei tuoi dati personali, se si verifica una delle situazioni previste dal GDPR.
  • Portabilità: puoi ricevere i tuoi dati personali in un formato strutturato e leggibile da un dispositivo automatico e trasmetterli a un altro titolare del trattamento, se il trattamento si basa sul tuo consenso o su un contratto e se il trattamento è automatizzato.
  • Opposizione: puoi opporsi al trattamento dei tuoi dati personali per motivi legati alla tua situazione personale, se il trattamento si basa sull’interesse legittimo o sull’interesse pubblico; inoltre, puoi opporsi al trattamento dei tuoi dati personali a scopo di marketing diretto, inclusa la profilazione.
  • Revoca del consenso: puoi revocare il tuo consenso al trattamento dei tuoi dati personali in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso precedente.
  • Reclamo: puoi presentare un reclamo all’autorità di controllo competente per la protezione dei dati personali, se ritieni che il trattamento dei tuoi dati personali violi il GDPR.

Come adeguarsi e non incorrere in sanzioni?

Per adeguarsi al GDPR, le organizzazioni che trattano dati personali devono adottare una serie di misure tecniche e organizzative, tra cui:

  • effettuare una mappatura dei dati personali trattati e delle relative finalità, modalità, basi giuridiche, destinatari, tempi di conservazione e misure di sicurezza;
  • redigere e aggiornare la documentazione relativa al trattamento dei dati personali, come la privacy policy, l’informativa, il registro dei trattamenti, i contratti con i responsabili e i soggetti terzi, le valutazioni d’impatto, le procedure di gestione dei diritti degli interessati e delle violazioni dei dati;
  • implementare le misure di sicurezza adeguate a proteggere i dati personali da rischi di accesso, modifica, divulgazione, perdita o distruzione non autorizzati o accidentali, come la cifratura, il backup, la pseudonimizzazione, l’autenticazione, l’aggiornamento dei software, la formazione del personale, ecc.;
  • informare e acquisire il consenso degli interessati al trattamento dei dati personali, in modo chiaro, completo e trasparente, fornendo loro tutte le informazioni previste dal GDPR e offrendo loro la possibilità di esercitare i loro diritti;
  • designare, se necessario, un responsabile della protezione dei dati (DPO), ovvero una figura professionale incaricata di monitorare e verificare il rispetto del GDPR e di fungere da punto di contatto tra l’organizzazione, le autorità di controllo e gli interessati.

Adeguarsi al GDPR non è solo un obbligo legale, ma anche un’opportunità per le organizzazioni di migliorare la loro reputazione, la loro competitività e la loro fiducia con i clienti e i partner. Il GDPR rappresenta infatti uno standard di qualità e di trasparenza che valorizza il rispetto della privacy e dei diritti delle persone.

Cerchi un consulente per il GDPR?

Se hai bisogno di una consulenza professionale e personalizzata sul GDPR e sulla protezione dei dati personali, puoi contattare lo Studio Zero Rischi di Firenze. Siamo esperti di consulenza alle aziende su diversi temi, tra cui il GDPR con il nostro servizio Soccorso Privacy. Contattaci ora e scopri come possiamo aiutarti a rendere la tua organizzazione conforme al GDPR e a proteggere i tuoi dati personali.