GDPR, la legge europea sulla privacy online

Insomma internet è per definizione una rete virtuale che veicola in ogni istante moli enormi di dati, anche sensibili. Ma è anche un luogo pieno di malintenzionati che mirano ad intercettare questi flussi di informazioni per contraffarli o rubarli e trarne un profitto.

Ecco che in un mondo sempre più interconnesso non poteva mancare una legge europea che istituisse chiare regole per:

• il trattamento dei dati
• la raccolta dei dati
• la conservazione dei dati

Oggi parliamo di GDPR.

Che cos’è il GDPR

GDPR sta per General Data Protection Regulation (Regolamento Generale sulla Protezione dei Dati) ovvero, regolamento generale per la protezione dei dati. Si tratta di un regolamento scritto entrato in vigore nel 2018 che si occupa di definire a livello europeo come debbano essere trattati i dati personali, come vadano raccolti, conservati, condivisi o trasferiti. E’ un pilastro fondamentale della protezione della privacy online. Secondo questo documento i dati personali consistono in tutte quelle informazioni relative ad una persona, che se raccolte insieme e/o opportunamente decriptate, possono portare all’identificazione della persona stessa.

Il GDPR è una normativa che mira a tutelare la privacy e i dati personali degli utenti all’interno dell’Unione Europea. Questa legge cruciale, entrata in vigore nel maggio 2018, ha avuto un impatto significativo sulle pratiche di gestione dei dati e sulla sicurezza informatica. Essa impone alle aziende di adottare misure adeguate per garantire la protezione delle informazioni personali dei cittadini europei, stabilendo precise regole riguardo alla raccolta, allo stoccaggio e all’uso di tali dati. Il GDPR prevede anche il diritto alla portabilità dei dati, il diritto all’oblio e l’accesso, consentendo agli individui un maggiore controllo sulle loro informazioni. Le aziende che non rispettano le disposizioni del GDPR possono essere soggette a pesanti sanzioni pecuniarie.

In quali ambiti si applica il regolamento GDPR

Il GDPR viene applicato in una vasta gamma di ambiti, poiché riguarda tutte le organizzazioni che raccolgono, elaborano e conservano dati personali di cittadini dell’Unione Europea, indipendentemente dalla loro ubicazione geografica. Di seguito sono elencati alcuni dei principali ambiti in cui il GDPR trova applicazione.

In primis diciamo che, ciascuna organizzazione che abbia base operativa in Europa, anche se tratta i dati all’esterno, deve applicare quanto indicato dal regolamento GDPR. Lo stesso vale per qualsiasi ente anche pubblico, società o persona che offra servizi, anche gratuiti a cittadini europei anche se non ha una sede all’interno dell’unione. Infine, il GDPR si applica anche a quelle organizzazioni che monitorano il comportamento dei residenti in Europa quando si trovano all’interno dell’unione.

Nello specifico, il GDPR si applica a:

Aziende e organizzazioni
Il GDPR si applica a tutte le aziende, sia piccole che grandi, che gestiscono dati personali di cittadini europei. Questo include settori come l’e-commerce, le istituzioni finanziarie, le compagnie assicurative, gli enti di marketing e molti altri.

Pubblica amministrazione
Gli enti governativi e le istituzioni pubbliche, come le scuole, gli ospedali e le università, devono anche rispettare il GDPR nel trattamento dei dati personali dei cittadini dell’UE.

Fornitori di servizi online
I provider di servizi internet, i social network e le piattaforme di condivisione di contenuti devono anch’essi rispettare le norme del GDPR per proteggere la privacy dei dati dei loro utenti europei.

Elaborazione di dati per conto terzi
Le organizzazioni che elaborano dati personali per conto di altre aziende, come ad esempio i fornitori di servizi cloud, i data center e le società di outsourcing, sono anch’esse soggette al GDPR. Questi soggetti, definiti “responsabili del trattamento“, devono garantire la conformità alle norme sulla protezione dei dati e la sicurezza delle informazioni.

Settore sanitario
Il GDPR si applica anche al settore sanitario, in particolare per quanto riguarda il trattamento di dati personali sensibili, come le informazioni mediche dei pazienti. Ospedali, cliniche, case di cura e altri operatori sanitari devono garantire la conformità al regolamento per proteggere la privacy dei dati dei pazienti.

Ricerca scientifica e accademica
Le istituzioni che svolgono attività di ricerca e raccolgono dati personali nell’ambito di studi e progetti scientifici sono tenute a conformarsi al GDPR, assicurando la protezione e la sicurezza dei dati raccolti.

Diritti dei cittadini europei secondo il GDPR

IL GDPR è rivoluzionario in quando definisce nuovi diritti dei cittadini nell’ambito delle scelte legate al trattamento dei dati:

Il diritto all’informazione

Ciascun servizio o organizzazione che raccoglie informazioni sui suoi utenti deve informarli sui modi e i motivi per i quali questi dati saranno archiviati. Come? Attraverso una privacy policy necessariamente scritta in modo comprensibile, gratuita e facilmente accessibile.
Questa informativa deve essere sottoposta all’utente al momento della raccolta dato o, se fosse impossibile, quanto prima.

Il diritto all’accesso ai propri dati

Su richiesta dell’utente il titolare del trattamento deve fornirgli una panoramica delle categorie di dati trattati e una copia di tutti i dati raccolti e una descrizione delle modalità di trattamento e indicazioni sui soggetti con i quali sono stati eventualmente condivisi. Il titolare non può rifiutarsi di fornire le informazioni e ha al più un mese per adempiere questo obbligo.

Il diritto di modificare i dati

Un altro diritto sancito dal GDPR è quello di poter rettificare in ogni momento i dati personali qualora fossero imprecisi o incompleti. Questo implica che la modifica o integrazione sia comunicata a tutti i soggetti terzi coinvolti. Se l’utente lo richiede gli devono essere fornite indicazioni su chi siano i terzi che hanno accesso ai suoi dati e per quali fini. Tale modifica deve essere in più gratuita salvo che la richiesta sia infondata o eccessiva.

Il diritto di opporsi

Ciascun utente può opporsi ad alcune attività di trattamento dei suoi dati personali. In generale è necessario motivare la propria opposizione, che può essere giudicata positivamente o rifiutata. Una eccezione in questo senso riguarda il marketing diretto, in tal caso non è necessaria alcuna giustificazione per negare l’uso dei propri dati. Ad ogni modo, se non ci sono motivazioni per rifiutare l’obiezione(ad esempio la necessità di conservare i dati per fini legali o fiscali), il trattamento deve cessare.

Il diritto alla portabilità dei dati

L’utente ha sempre il diritto di ottenere i propri dati personali in formato elettroni leggibile per trasferirli ad un altro titolare senza che l’attuale titolare possa ostacolarlo. Rientrano in questa categoria sia i dati forniti che quelli dedotti dalle analisi degli stessi.

Il diritto alla cancellazione

Nel momento in cui i dati raccolti cessino di essere utili o qualora l’utente lo richieda. Il titolare deve interrompere qualsiasi condivisione e provvedere alla cancellazione dei dati.

Questo diritto può essere negato in caso di dati:

• Di interesse pubblico
• Necessari in un processo per altri obblighi di legge
• Necessari per l’esercizio di un potere pubblico
• Necessari per il diritto alla libertà di espressione

Diritto a limitare il trattamento

In caso l’utente si accorga dell’inesattezza dei dati personali trattati, il trattamento è illecito per qualche motivo, i dati non sono più necessari ma né ha bisogno per una questione legale, può chiedere che il trattamento sia limitato.

Diritto di decisione in caso di processi di profilazione automatizzati

Gli utenti hanno il diritto di non essere sottoposti a decisioni basate su un trattamento o una profilazione automatizzata che produca effetti significativi. E’ possibile prendere decisioni automatizzate per quello che riguarda i dati, solo in alcune categorie di informazioni, e dietro esplicito ed inequivocabile consenso dell’utente.

Nel caso gli utenti siano minorenni sarà necessario il consenso verificabile da parte di un genitore o di un tutore. Ogni organizzazione deve inoltre compiere tutti gli sforzi possibili al fine di riconoscere la maggiore età effettiva degli utenti di cui tratta i dati.

Diritto di presentare un reclamo

Chiunque ritenga che il trattamento dei sui dati sia avvenuto violando le disposizioni date o il GDPR può presentare un reclamo ad una autorità di controllo.

Diritto di risarcimento

Infine questo testo di legge da a ciascun utente il diritto di essere risarcito di eventuali danni subito a causa dell’inosservanza delle precedenti norme.

Alcune considerazioni finali

Il regolamento GDPR nasce da delle precise esigenze dei cittadini europei.
Il regolamento è pensato in modo di difendere il consumatore o comunque il cittadino nel momento in cui condivide dati sensibili.
Da un lato si tratta di un modo per uniformare le norme sulla privacy dei diversi stati membri ma soprattutto per dare una risposta alle attuali sfide in campo tecnologico. Questo regolamento fa sì che ciascuno sia effettivamente proprietario dei propri dati e che abbia quindi un notevole potere decisionale su come essi verranno utilizzati. D’altra parte, per le aziende, l’adeguamento ai principi del GDPR è oramai un obbligo di legge con conseguenze molto onerose in caso di inadempimento.

Si è capito oramai: il GDPR rappresenta una vera e propria rivoluzione per la sicurezza della privacy online di cui tutti noi, più o meno consapevolmente, né usufruiamo ormai da qualche anno.