Quando si parla di GDPR si fa riferimento al Regolamento generale sulla protezione dei dati UE 2016/679, emanato dalla Commissione europea il 14 aprile 2016 per diventare pienamente efficace a partire dal 25 maggio 2018 (ne avevamo parlato anche nell’approfondimento sugli obblighi di legge da osservare per un sito webaziendale).
Il General Data Protection Regulation sostituisce la Direttiva sulla Protezione dei Dati 95/46/EC, e punta ad armonizzare, uniformandole, le leggi in materia di privacy esistenti nei diversi Paesi membri dell’Unione.
Le regole introdotte dal GDPR si applicano a tutte le aziende che gestiscono i dati personali dei residenti nella UE, indipendentemente da dove si trovino le loro sedi e le loro strutture di archiviazione ed elaborazione.
Le misure previste dal General Data Protection Regulation dovranno essere rispettate da tutte le aziende che hanno più di 250 dipendenti, oppure da quelle che ne hanno meno ma gestiscono dati sensibili.
Tra i dati protetti dalla GDPR ricadono:
- informazioni base sull’identità della persona, come il nome e l’indirizzo
- l’indirizzo IP del dispositivo con cui accede a internet e i cookies
- parametri fisici e dati relativi alla salute
- informazioni sul gruppo etnico di appartenenza e l’orientamento religioso
- le opinioni politiche
- l’orientamento sessuale
Il General Data Protection Regulation introduce anche la figura del Data Protecion Officer (DPO), un soggetto incaricato di vigilare sui processi interni alla struttura: il DPO deve essere un esperto in materia di diritto e di protezione dei dati personali, e deve essere dotato di risorse idonee per lo svolgimento della propria attività.
Il GDPR prevede la “Breach Notification”, ossia la notifica obbligatoria entro 72 ore nel caso di una violazione dei dati che può mettere a rischio i diritti e le libertà dell’individuo, e la “Privacy by Design”, ossia la raccolta, elaborazione e circolazione limitata ai soli dati effettivamente indispensabili per un determinato processo.
La Direttiva UE 2016/680 introduce delle deroghe alle indicazioni previste dal General Data Protection Regulation, relative alle forze di polizia e all’autorità giudiziaria: sono quelle che riguardano la gestione dei dati personali legata ad attività di sicurezza nazionale e di ordine pubblico.
Per ulteriori informazioni è disponibile il sito dell’Unione Europea dedicato al GDPR.
Lascia un commento