AUGURI: IL GDPR COMPIE 5 ANNI

Il regolamento generale sulla protezione dei dati è entrato ufficialmente in vigore il 25 maggio 2018 e da allora ha completamente trasformato il mondo della privacy.
Ecco 5 cose che magari non sai:

• Si può applicare indipendentemente da dove ti trovi
• Non importa se non hai sede nell’UE: rientri nell’ambito di applicazione del GDPR anche se hai utenti UE e hai sede fuori dall’UE, oppure se non hai utenti UE ma hai sede nell’UE.
• Quasi 4 miliardi di euro di sanzioni
• Spagna, Italia e Germania sono i paesi con il maggior numero di sanzioni in ambito GDPR, mentre Irlanda, Lussemburgo e Francia sono quelli con le sanzioni più elevate. Le violazioni più comuni riguardano la base giuridica inadeguata e la non conformità ai principi generali del trattamento dati.
• Le basi giuridiche sono importanti

Non puoi raccogliere e trattare dati personali senza una base giuridica, cioè senza una ragione legittima. Il GDPR prevede sei basi giuridiche, le più comuni sono il consenso, il contratto e l’interesse legittimo. La base giuridica dev’essere effettivamente applicabile alla tua azienda e alle tue attività di trattamento.

1. L’utente ha prestato il proprio consenso per una o più specifiche finalità;
2. Il trattamento dei dati è necessario per l’esecuzione di un contratto al quale l’utente ha aderito, o per intraprendere azioni (su richiesta dell’utente) preliminari alla stipula del contratto;
3. Il trattamento è necessario per l’adempimento ad un obbligo di legge al quale il titolare del trattamento è soggetto;
4. Il trattamento è necessario per la tutela di interessi vitali dell’utente o di terzi;
5. Il trattamento è necessario per l’esecuzione di un’attività di interesse pubblico, o che rientra nell’ambito dei poteri pubblici conferiti al titolare del trattamento;
6. Il trattamento è necessario per interesse legittimo del titolare del trattamento o di terzi, a meno che non prevalgano gli interessi, i diritti e le libertà dell’utente, in particolare se l’utente è un minore.

I consensi non hanno alcun valore senza una prova che li dimostri
Se fai leva sul consenso per finalità di marketing, ad esempio per la tua newsletter, devi tenere un registro dei consensi completo e dettagliato. In pratica devi dimostrare di aver ottenuto il consenso in maniera legittima.

Potresti aver bisogno di un DPO (responsabile della protezione dei dati)
Se le attività di trattamento della tua azienda rientrano in certe categorie, devi nominare un DPO. Il DPO garantisce che i dati personali dei dipendenti, dei clienti, dei fornitori o di altri membri dell’organizzazione siano trattati secondo le norme vigenti.

Secondo il Regolamento generale sulla protezione dei dati (GDPR), l’obbligo di nominare un Responsabile della protezione dei dati (DPO, Data Protection Officer) si applica in determinate categorie di organizzazioni. Ecco alcune delle categorie principali in cui l’obbligo di nominare un DPO potrebbe sussistere:

1. Autorità pubbliche: Le autorità pubbliche e gli enti governativi, sia a livello nazionale che locale, sono generalmente tenuti a nominare un DPO.
2. Organizzazioni che svolgono trattamenti su larga scala di dati personali sensibili: Se un’organizzazione svolge attività di trattamento su larga scala di dati personali sensibili (come informazioni sulla salute, dati biometrici o dati genetici), è tenuta a nominare un DPO.
3. Monitoraggio regolare e sistematico su larga scala degli interessati: Se un’organizzazione svolge attività di monitoraggio regolare e sistematico su larga scala degli interessati (ad esempio, attraverso la videosorveglianza o la profilazione degli utenti), è tenuta a nominare un DPO.
4. Società che si occupano di trattamento su larga scala di dati personali: Le società che si occupano di trattamento su larga scala, ad esempio a fini di marketing o di elaborazione di dati per conto di terzi, potrebbero essere tenute a nominare un DPO.

Tuttavia, è importante notare che i requisiti specifici per la nomina di un DPO possono variare a livello nazionale, poiché il GDPR offre un certo grado di flessibilità agli Stati membri per stabilire ulteriori criteri. Pertanto, è sempre consigliabile fare riferimento alle leggi e alle linee guida specifiche del proprio Paese per una valutazione accurata dell’obbligo di nominare un DPO.