- 20 Maggio, 2024
GDPR: le 5 W del General Data Protection Regulation
Alzi la mano chi ha sentito nominare il termine GDPR almeno una volta!
Che tu abbia letto qualcosa a riguardo online o in una newsletter nella tua casella di posta, oppure che tu abbia sentito questo acronimo in una notizia alla radio o guardando un servizio in televisione, sicuramente ti sarai domandato che cosa sia questo fantomatico GDPR.
Il termine GDPR sta per General Data Protection Regulation e altro non è che il Regolamento Europeo in materia di dati personali, entrato in vigore il 24 maggio 2016 e operativo dal 25 maggio 2018. A partire da allora 28 paesi, Italia inclusa, hanno dovuto adeguarsi ad una serie regole univoche, rivolte a tutti coloro che trattengono i dati personali dei cittadini europei.
Per capire bene la natura del GDPR è fondamentale sapere che cosa intendiamo quando parliamo di dato personale, il vero e proprio focus di questo nuovo regolamento. L’Unione Europea stessa definisce i dati personali come le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..
Una volta che abbiamo chiarito questo punto, eccoti qui una guida introduttiva: le 5 W del GDPR, un vero e proprio identikit del regolamento europeo più dibattuto degli ultimi anni.
What – Cosa si intende per GDPR?
Cosa si intende esattamente con GDPR?
Come detto poco fa il GDPR è il Regolamento Generale per la Protezione dei Dati.
Con questa normativa si passa da una visione proprietaria del dato, in base alla quale non lo si può trattare senza consenso, ad una visione di controllo, che favorisce la libera circolazione dello stesso.
Lo scopo è tutelare dai rischi di violazione della privacy il cittadino europeo, il quale ha il diritto di sapere se i suoi dati personali sono usati e come vengono usati da qualsiasi soggetto.
Non è più sufficiente ottenere il consenso degli utenti per poter trattare liberamente i loro dati nel modo che più si ritiene, bensì bisogna rendere conto in ogni momento alle persone interessate di quello che si sta facendo con le loro informazioni, tutelandole in caso di modifiche nelle modalità di trattamento.
Ovviamente, come tutte le leggi, sono previste severe sanzioni per i soggetti che non dovessero rispettare le normative imposte dal GDPR. Dopo un primo richiamo scritto, in caso di insistita infrazione delle leggi sul trattamento dei dati, l’azienda che compie l’irregolarità sarà sottoposta ad una multa che può arrivare fino al 2% o al 4% del fatturato dell’anno precedente, a seconda dell’articolo del Regolamento che viene violato.
Ma allora il GDPR è valido per chiunque e in qualunque nazione?
Where – Dove è in vigore? In quali ambiti opera?
Con il GDPR la Commissione Europea si propone come obiettivo quello di rafforzare la protezione dei dati personali dei cittadini dell’Unione Europea e dei residenti nell’UE, sia all’interno che all’esterno dei confini, restituendo di fatto ai cittadini e alle aziende il controllo dei propri dati personali su scala (potenzialmente) mondiale.
Il Regolamento Generale si applica a due tipi di trattamenti di dati personali:
- Quelli interamente o parzialmente automatizzati.
- Quelli non automatizzati, solitamente su supporto cartaceo, contenuti in un archivio.
Il Regolamento invece non si può applicare in caso di trattamento di dati:
- Emessi per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione Europea.
- Emessi da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico.
- Emessi dalle autorità competenti ai fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.
Who – Chi ne è coinvolto?
Vediamo ora i soggetti direttamente coinvolti nel trattamento dei dati personali:
- Titolare del trattamento: la persona fisica, giuridica o qualsiasi ente a cui è consentito determinare le modalità del trattamento dei dati personali.
- Responsabile del trattamento: la persona fisica, giuridica o qualsiasi ente preposto dal titolare al trattamento dei dati personali.
- Destinatario del trattamento: la persona fisica, giuridica o qualsiasi ente che riceve i dati personali dal titolare del trattamento.
- Terzi: tutti coloro che non sono identificati come titolari, responsabili o destinatari del trattamento.
- Incaricato: la persona fisica autorizzata dal titolare o dal responsabile a compiere operazioni di gestione dei dati.
- Interessato: la persona fisica a cui si riferiscono i dati.
- Rappresentante: la persona fisica designata come responsabile del trattamento in Europa.
- Designato: il soggetto al quale si affidano tutte le funzioni di controllo ad alto livello del trattamento dei dati personali.
Sembra incredibile ma ogni singolo dato prodotto sul web, ogni singola volta, si intreccia con questo gruppo di protagonisti, che include anche ognuno di noi. A questo punto viene naturale chiedersi: da quanto tempo conviviamo con questo sistema?
When – Quando è entrato in vigore?
La prima bozza del GDPR viene pubblicata tra il dicembre 2011 e il gennaio 2012. Bisogna però aspettare quasi quattro anni, fino al dicembre 2015, perché il testo della normativa venga finalmente redatto e approvato.
Finalmente, il 4 maggio 2016, viene pubblicato all’interno della Gazzetta Ufficiale dell’UE la versione definitiva del GDPR, che entra in vigore ufficialmente il 24 maggio del 2016. Ultimo passaggio in ordine temporale, il 25 maggio 2018 il GDPR diventa applicabile e operativo in tutti gli stati membri dell’Unione Europea, iniziando a tutti gli effetti a proteggere i dati sensibili di tutti gli utenti.
Passiamo al quinto e ultimo passaggio, quello più delicato: le ragioni dell’applicazione del GDPR.
Why – Perchè è stata adottata questa soluzione?
Trattandosi di un regolamento, il GDPR non necessita di un adesione da parte degli Stati dell’Unione, ed è attuato indistintamente in tutte le nazioni dell’UE, fatta eccezione per poche deroghe legate a casi specifici previsti dalla legge.
Il regolamento ha quindi 3 finalità principali:
- Lo sviluppo del Mercato Unico Digitale europeo: grazie alla maggiore tutela dei dati si alimenta la fiducia dei cittadini nella società digitale e nell’uso dei servizi digitali.
- La definitiva armonizzazione della regolamentazione in materia di protezione dei dati personali all’interno dell’Unione Europea: questo perché con il trattato di Lisbona (2009) la protezione dei dati personali è diventata diritto fondamentale dei cittadini, e quindi va garantita allo stesso modo in tutto il territorio dell’Unione.
- Ultimo, ma non per importanza, rispondere alle nuove sfide derivanti dalle nuove tecnologie digitali con cui abbiamo a che fare ogni giorno.
Il GDPR intorno a te: riconoscilo!
Al giorno d’oggi, anche se magari non te ne rendi conto, ogni fase della nostra navigazione, ogni dato che lasciamo online, ogni interazione che abbiamo sui social, si intreccia inevitabilmente con il GDPR.
Secondo un recente sondaggio promosso e presentato dalla Commissione Europea, in media il 73% dei cittadini europei ha sentito parlare almeno una volta di diritti della privacy e di GDPR, con un picco del 90% raggiunto tra gli abitanti della Svezia.
L’Italia, di contro, si dimostra non molto attenta sotto questo aspetto, fermandosi ad un 49% di cittadini che possiedono almeno un minimo di conoscenza delle normative sulla regolamentazione e il trattamento dei dati personali.
E tu? In quale gruppo rientri? La tua azienda rispetta tutte le norme imposte dal GDPR?