Indice dei contenuti
Cos’è il GDPR?
Il GDPR (General Data Protection Regulation) è il Regolamento Generale sulla Protezione dei dati. Il suo scopo consiste nel chiarire come debbano essere trattati, raccolti, utilizzati, protetti e condivisi i dati personali, nel rispetto e nella tutela della privacy. Il GDPR, di fatto, rafforza la protezione dei dati personali: i diretti interessati, quindi, devono avere il controllo totale delle informazioni sensibili.
Dati personali e GDPR
Cosa si intende per la precisione con dati personali? Sostanzialmente, il riferimenti è quello ai dati inerenti a una persona identificabile: tutte le informazioni che possono portare a sapere di chi si tratta rientrano nella lista dei dati personali. Anche se si trattasse di pseudonimi o di dati crittografati, soggetti a decifrazione.
Nomi, cognomi, date e luoghi di nascita, indirizzi di residenza o di domicilio, recapiti telefonici, contatti e-mail o di app di messaggistica, indirizzi IP, dati relativi allo stato di salute, opinioni politiche e orientamenti sessuali sono esempi particolarmente calzanti su questo tema.
GDPR: quando si applica?
Il GDPR si applica nel momento in cui:
- la sede operativa dell’organizzazione è ubicata in uno dei Paesi dell’Unione Europea;
- la sede operativa, pur non essendo in uno dei Paesi dell’Unione Europea, commercializza prodotti o eroga servizi ai cittadini del Vecchio Continente;
- la sede operativa, nonostante non si trovi in uno dei Paesi dell’Unione Europea, monitora il comportamento dei cittadini, di un target o di una nicchia che vi risiede. Conditio sine qua non è che tale comportamento avvenga entro i confini territoriali dell’Unione Europea.
Come puoi facilmente intuire, quello in oggetto è un ambito di applicazione decisamente ampio, al punto che richiama praticamente ogni attività. Addirittura, il GDPR regolamenta anche il diritto all'oblio nell'era di internet.
I requisiti chiave del GDPR
Il trattamento dei dati, pertanto, può avvenire nei seguenti casi:
- il diretto interessato ha prestato il suo assenso per una o per varie finalità;
- per attestare la validità di un contratto a cui il diretto interessato ha dato la sua adesione. Stesso discorso se si tratta di intraprendere azioni preliminari alla stipula del contratto, a fronte di richiesta dell’utente;
- ai fini dell’esecuzione di attività di pubblico interesse, facenti parte dei poteri pubblici, accordati al titolare;
- nell’ottica della salvaguardia degli interessi vitali del titolare del trattamento o di terze parti;
- in riferimento all’adempimento a un obbligo di legge a cui è soggetto il titolare del trattamento;
- in caso di interesse legittimo del titolare del trattamento. Fanno eccezione le situazioni in cui non prevalgano le liberta, i diritti e gli interessi dell’utente, soprattutto se quest’ultimo fosse un minore.
Insomma, queste sono le basi giuridiche del trattamento.
GDPR e consenso
Al fine di portare a termine un’attività di trattamento dei dati personali nell’assoluto rispetto di quanto previsto dal GDPR, compito dell’organizzazione è quello di dover contare sempre e comunque sul consenso inequivocabile degli utenti. In caso di minori, il consenso deve essere verificabile e fornito da uno dei genitori o da un suo tutore. Inoltre, è compito dell’organizzazione impegnarsi a fondo, anche adottando tecnologie dedicate, nell’accertarsi dell’identità dell’individuo che presta il proprio consenso, in modo da venire a conoscenza se quest’ultimo detiene o meno la responsabilità genitoriale del minore.
Altro aspetto degno di nota è che per ottenere il consenso al trattamento dei dati, l’organizzazione non può servirsi di un linguaggio troppo tecnico e di tipo complesso. Le privacy policy vanno perciò redatte con un linguaggio alla portata di tutti: anche eventuali clausole devono risultare comprensibili.
Per quanto riguarda il trattamento dei dati personali, così come la raccolta delle informazioni sensibili, la parola chiave è "trasparenza". Ciò vuol dire che gli utenti devono essere liberi di dare il loro esplicito consenso. Quest’ultimo deve avvenire in modo inequivocabile mediante un’azione di opt-in: non è infatti ammesso il ricorso a checkbox pre-selezionate, né tanto meno a metodi di opt-out. Sulla stessa falsariga di quanto appena indicato, la revoca del consenso deve avvenire in maniera intuitiva, esattamente come per quanto si verifica con il conferimento.
GDPR: cosa devono fare le aziende per adeguarsi?
Un ruolo determinante per il processo di adeguamento da parte delle aziende al GDPR spetta ovviamente alla redazione del Registro dei trattamenti: questo deve sempre includere gli utenti che hanno fornito il consenso, quando e come quest’ultimo è stato acquisito, il modulo di raccolta del consenso che ciascun utente ha presentato in fase di raccolta, riferimenti alle condizioni di acquisizione, valutazioni preliminari e identificazione degli interventi necessari in ottica di valutazione dei rischi.
Perché il GDPR è importante per le aziende?
Il GDPR è un investimento basilare per il futuro delle imprese.
Esattamente come avviene per la Pubblica Amministrazione, anche le aziende devono vedere l’attuazione del GDPR come un vero e proprio investimento e non come un costo da accollarsi. Tutelare i dati personali, vuol dire anche assicurarne l’effettiva qualità: si tratta di un valore basilare nello sviluppo dell’I.A. (Intelligenza Artificiale) e dell’IoT (Internet of Things).
E la tua impresa risulta allineata al nuovo GDPR?
La salvaguardia dei dati degli utenti è di fondamentale importanza: si tratta del patrimonio più prezioso su cui tu possa contare. Ma attenzione, è necessario anche proteggere i dati degli utenti ed evitare i Data Breach!
Categorie del Blog
- News
- Investigazioni Aziendali
- Investigazioni Private
- Bonifiche digitali e microspie
- Investigazioni difensive
- Indagini patrimoniali e finanziarie
- Sicurezza informatica
- Informazioni commerciali
- Indagini Forensi
- Sicurezza
- Recupero del credito
- Cybersecurity
- Controllo Minori
- Rassegna Stampa
- Casi di successo
