Negli ultimi anni è sempre più frequente sentire parlare di GDPR, di Garante, di sanzioni pesanti per chi non è in regola… Facciamo chiarezza.
Il Regolamento generale sulla protezione dei dati (GDPR è l’acronimo inglese per General Data Protection Regulation) è il regolamento dell’Unione Europea che disciplina il modo in cui aziende ed organizzazioni gestiscono i dati personali.
I dati personali secondo il GDPR sono “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Anche i codici identificativi online come gli indirizzi IP vengono ora considerati dati personali, a meno che non vengano anonimizzati.
Come titolare del trattamento, ogni organizzazione deve tenere traccia, monitorare e avere base legale per le attività di trattamento dei dati personali. Ciò include i dati personali trattati non soltanto all’interno dell’organizzazione, ma anche dai responsabili del trattamento, ossia le terze parti che processano i dati personali per il titolare del trattamento dei dati.
Responsabili del trattamento possono essere diverse figure anche esterne alla organizzazione: fornitori di Software-as-a-Service (SaaS), servizi incorporati di terze parti, che tracciano e profilano i visitatori del sito web.
Titolari e responsabili del trattamento devono essere in grado di rendere conto delle tipologie di dati trattati, dello scopo della loro elaborazione, dei paesi e delle terze parti a cui i dati vengono trasmessi.
Nel caso in cui i dati personali vengano inviati a organizzazioni o Paesi che non fanno parte nella giurisdizione del GDPR o che non vengono considerati “adeguati” per la privacy dei dati dal GDPR stesso, è necessario che gli utenti ne siano informati in modo specifico comprendendo nell’informazione anche i rischi connessi a tale trasferimento.
Tutti i consensi devono essere registrati e archiviati in modo sicuro come prova del fatto che il consenso è stato prestato.
Aziende ed organizzazioni non sono conformi al GDPR corrono il rischio di incorrere in pesanti sanzioni fino a 20 milioni di euro, o al 4% del fatturato annuo globale dell’organizzazione, a seconda di quale dei due importi è più alto, per gravi o ripetute violazioni.
StudioBia e GDPR
Gestiamo la protezione dei dati in tutti gli ambiti: interno, esterno, online, offrendo un percorso di adeguamento testato ed efficace
Documenti: