Roma
Il regolamento generale sulla protezione dei dati (UE) 2016/679 (GDPR) è un regolamento nella legislazione dell'UE sulla protezione dei dati e sulla privacy nell'Unione europea (UE) e nello Spazio economico europeo (SEE). Riguarda anche il trasferimento di dati personali al di fuori delle aree dell'UE e del SEE. L'obiettivo principale del GDPR è fornire alle persone il controllo sui propri dati personali e semplificare l'ambiente normativo per le attività internazionali unificando il regolamento all'interno dell'UE.[1] Sostituendo la Direttiva sulla protezione dei dati 95/46/CE, il regolamento contiene disposizioni e requisiti relativi al trattamento dei dati personali di individui (formalmente chiamati interessati nel GDPR) che si trovano nel SEE e si applica a qualsiasi impresa, indipendentemente da la sua ubicazione e la cittadinanza o residenza degli interessati, ovvero elaborando le informazioni personali delle persone fisiche all'interno del SEE.a
I titolari e i responsabili del trattamento dei dati personali devono mettere in atto misure tecniche e organizzative adeguate per attuare i principi di protezione dei dati. I processi aziendali che gestiscono i dati personali devono essere progettati e costruiti tenendo conto dei principi e fornire garanzie per proteggere i dati (ad esempio, utilizzando la pseudonimizzazione o la completa anonimizzazione ove appropriato). I titolari del trattamento devono progettare sistemi informativi tenendo conto della privacy. Ad esempio, utilizzando le impostazioni di privacy più elevate possibili per impostazione predefinita, in modo che i set di dati non siano pubblicamente disponibili per impostazione predefinita e non possano essere utilizzati per identificare un soggetto. Nessun dato personale può essere oggetto di trattamento a meno che tale trattamento non avvenga in una delle sei basi legittime previste dal regolamento (consenso, contratto, incarico pubblico, interesse vitale, legittimo interesse o obbligo di legge). Quando il trattamento è basato sul consenso l'interessato ha il diritto di revocarlo in qualsiasi momento.
I titolari del trattamento devono rivelare chiaramente qualsiasi raccolta di dati, dichiarare la base legale e lo scopo del trattamento dei dati e indicare per quanto tempo i dati vengono conservati e se vengono condivisi con terze parti o al di fuori del SEE. Le aziende hanno l'obbligo di proteggere i dati dei dipendenti e dei consumatori nella misura in cui vengono estratti solo i dati necessari con la minima interferenza con la privacy dei dati da parte di dipendenti, consumatori o terze parti. Le aziende dovrebbero avere controlli interni e regolamenti per vari dipartimenti come audit, controlli interni e operazioni. Gli interessati hanno il diritto di richiedere una copia portatile dei dati raccolti da un titolare del trattamento in un formato comune e il diritto alla cancellazione dei propri dati in determinate circostanze. Le autorità pubbliche e le aziende le cui attività principali consistono nel trattamento regolare o sistematico dei dati personali sono tenute a impiegare un responsabile della protezione dei dati (DPO), responsabile della gestione della conformità al GDPR. Le aziende devono segnalare le violazioni dei dati alle autorità di vigilanza nazionali entro 72 ore se hanno un effetto negativo sulla privacy degli utenti. In alcuni casi, i trasgressori del GDPR possono essere multati fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo dell'anno finanziario precedente nel caso di un'impresa, a seconda di quale sia maggiore.
Il GDPR è stato adottato il 14 aprile 2016 ed è diventato esecutivo a partire dal 25 maggio 2018. Poiché il GDPR è un regolamento, non una direttiva, è direttamente vincolante e applicabile, ma offre flessibilità affinché alcuni aspetti del regolamento possano essere adattati dai singoli stati membri.
Il regolamento è diventato un modello per molte leggi nazionali al di fuori dell'UE, tra cui Cile, Giappone, Brasile, Corea del Sud, Argentina e Kenya. Il California Consumer Privacy Act (CCPA), adottato il 28 giugno 2018, presenta molte somiglianze con il GDPR.[2]
