Il Regolamento Generale sulla Protezione dei Dati (GDPR), ufficialmente denominato Regolamento (UE) 2016/679, è una normativa europea che è entrata in vigore il 25 maggio 2018. Questo regolamento ha come obiettivo la garanzia di una protezione uniforme e rafforzata dei dati personali all’interno dell’Unione Europea, sostituendo la Direttiva 95/46/CE e introducendo principi più rigorosi e diritti innovativi per gli interessati. Il GDPR si applica a tutte le organizzazioni, pubbliche o private, che trattano dati personali di cittadini dell’UE, indipendentemente dalla loro sede legale, conferendogli un carattere extraterritoriale.

1. Principi fondamentali del GDPR

Il GDPR si basa su una serie di principi fondamentali che garantiscono un trattamento corretto e trasparente dei dati personali. Questi principi includono:

  • Liceità, correttezza e trasparenza: Il trattamento deve essere effettuato in modo lecito, corretto e trasparente nei confronti degli interessati.
  • Limitazione della finalità: I dati devono essere raccolti per finalità determinate, esplicite e legittime e non devono essere trattati ulteriormente in modo incompatibile con tali scopi.
  • Minimizzazione dei dati: Devono essere raccolti solo i dati strettamente necessari rispetto alle finalità per cui sono trattati.
  • Esattezza: I dati devono essere esatti e, se necessario, aggiornati. Devono essere adotte misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti.
  • Limitazione della conservazione: I dati devono essere conservati per un periodo di tempo non superiore a quello necessario per conseguire le finalità del trattamento.
  • Integrità e riservatezza: I dati devono essere trattati garantendo un’adeguata sicurezza, compresa la protezione contro il trattamento non autorizzato o illecito e contro la perdita, distruzione o danno accidentale.
  • Responsabilizzazione (Accountability): Il titolare del trattamento è responsabile del rispetto dei principi sopra elencati e deve dimostrare tale rispetto.

2. Diritti degli interessati

Il GDPR riconosce agli interessati una serie di diritti, garantendo così un maggiore controllo sui propri dati personali. I principali diritti previsti sono:

  • Diritto di accesso: Gli interessati possono ottenere la conferma dell’esistenza di un trattamento di dati che li riguardano e accedere a tali dati.
  • Diritto di rettifica: Gli interessati possono richiedere la correzione di dati inesatti o incompleti.
  • Diritto alla cancellazione (diritto all’oblio): È possibile richiedere la cancellazione dei propri dati personali quando non sono più necessari rispetto alle finalità per cui sono stati raccolti.
  • Diritto di limitazione del trattamento: Gli interessati possono chiedere la limitazione del trattamento in determinate circostanze, ad esempio in caso di contestazione della correttezza dei dati.
  • Diritto alla portabilità dei dati: Consente agli interessati di ricevere i propri dati personali in un formato strutturato e leggibile, e di trasmetterli ad un altro titolare del trattamento.
  • Diritto di opposizione: Gli interessati possono opporsi al trattamento dei propri dati, in particolare per finalità di marketing diretto.
  • Diritto a non essere sottoposto a processi decisionali automatizzati: Gli individui possono richiedere di non essere soggetti a decisioni basate unicamente su un trattamento automatizzato, se tali decisioni hanno effetti legali su di loro.

3. Obblighi del titolare e del responsabile del trattamento

Il GDPR distingue tra titolare del trattamento e responsabile del trattamento.

  • Titolare del trattamento: È la persona fisica o giuridica che determina le finalità e i mezzi del trattamento dei dati personali. È obbligato a garantire la conformità al regolamento e ad adottare misure adeguate per proteggere i dati personali.
  • Responsabile del trattamento: È colui che tratta i dati per conto del titolare e deve garantire che i trattamenti siano condotti secondo le istruzioni ricevute, adottando misure tecniche e organizzative adeguate per proteggere i dati.

Inoltre, il GDPR impone la designazione di un Responsabile della Protezione dei Dati (DPO) in specifici casi, come per enti pubblici o per organizzazioni che effettuano trattamenti su larga scala di categorie particolari di dati.

4. Sanzioni previste

Il GDPR prevede un rigoroso sistema di sanzioni per violazioni. In caso di infrazione, l’Autorità Garante può irrogare sanzioni amministrative pecuniarie fino a:

  • 10 milioni di euro o il 2% del fatturato mondiale annuo, in caso di violazioni minori.
  • 20 milioni di euro o il 4% del fatturato mondiale annuo, per violazioni più gravi come il mancato rispetto dei principi di base del trattamento o la violazione dei diritti degli interessati.

RELATED ARTICLESMORE FROM AUTHOR