Cos’è il GDPR e che cambiamenti comporterà nel mondo del web
Il prossimo 25 maggio sarà applicabile in tutta Europa il GDPR, acronimo di General Data Protection Regulation. Ma cos’è esattamente il GDPR.
GDPR. Una breve definizione
Il GDPR è il regolamento europeo 2016/679, direttamente applicabile in tutti gli stati membri dell’Unone Europea, con il quale il legislatore europeo ha voluto creare un level playing field, ossia una base comune che garantisse parità di trattamento in tema di dati personali.
Si tratta, in altre parole, della nuova disciplina in tema di protezione dei dati.
La filosofia del GDPR
Il nuovo Regolamento Europeo sulla protezione dei dati personali prende le mosse da una prospettiva completamente diversa dal passato e pone l’accento sull’importanza che i dati stessi rivestono nel nostro sistema. Per comprendere la portata della nuova normativa si consideri che i dati personali vengono qualificati dallo stesso Regolamento come diritti fondamentali dell’uomo.
Le implicazioni di questa previsione sono evidenti e comportano un diverso approccio che il soggetto deve tenere nel trattamento degli stessi.
Non si parte più, come vedremo, da una norma e la si applica al caso concreto.
Si parte dallo scopo ultimo cui tende il Regolamento e da quello si individuano e adottano le misure tecniche e organizzative adeguate.
La centralità del dato: un cambiamento radicale di approccio.
La novità più rilevante che porta con sé la nuova normativa è data dal diverso approccio con cui è necessario rapportarsi ai dati trattati.
La protezione dei dati personali, infatti, diventa il fulcro intorno al quale ruota tutto il resto e il fine ultimo a cui tende il GDPR.
Non si parte più, come anticipato, da una norma generale ed astratta che deve essere applicata nel singolo caso concreto, ma si prendono le mosse dal fine cui tende l’intera normativa, ossia la protezione dei dati personali, e si individuano sulla base di questo, le misure adeguate per garantire quella protezione.
Il Regolamento punta su principi molto particolari che tendono a responsabilizzare il titolare del trattamento, il quale dovrà individuare le misure che garantiscano la protezione dei dati con riferimento alla sua situazione specifica.
Privacy by design e privacy by default
Il GDPR introduce inoltre i principi di privacy by design e privacy by default che impongono una rivoluzione sostanziale nell’ambito della gestione dei dati.
Cosa prevede il principio di Privacy by Design
Il Regolamento prevede la necessità di configurare il trattamento dei dati introducendo fin dall’inizio (ossia in fase di progettazione) le garanzie indispensabili “al fine di soddisfare i requisiti” previsti dalla normativa e tutelare, in questo modo, i diritti degli interessati.
Tutto questo deve avvenire a monte, ossia prima di procedere al trattamento dei dati vero e proprio e rappresenta, quindi, un presupposto indispensabile per il corretto trattamento degli stessi.
Cosa prevede il principio di Privacy by Default
Il principio di privacy by default, invece, impone l’adozione di misure tecniche e organizzative adeguate che siano per impostazione predefinita (di default appunto) quelle che garantiscono, in concreto nel singolo caso specifico, la tutela dei dati trattati.
GDPR e consenso: cosa bisogna sapere
Il consenso dell’interessato, a norma dell’art. 7 del Regolamento, è qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile con la quale il soggetto manifesta il proprio assenso, mediante dichiarazione o azione positiva e inequivocabile, al trattamento dei propri dati personali per specifiche finalità.
Ecco dunque che il GDPR punta l’attenzione su questo specifico requisito per la liceità del trattamento dei dati personali.
Laddove l’interessato abbia rilasciato la propria autorizzazione al trattamento, con riferimento ad una finalità particolare e specifica, i dati potranno essere trattati.
Attenzione, però, ad un elemento fondamentale.
Qualora il trattamento dovesse avvenire per finalità diverse da quelle per le quali è stato rilasciato il consenso si realizzerebbe un trattamento illecito di dati.
È quindi necessario che il trattamento avvenga unicamente per le finalità per le quali è stato richiesto ed ottenuto il consenso e laddove, nel corso del trattamento, si dovesse verificare una modifica delle finalità stesse, andrà richiesto un nuovo e diverso consenso.
Come fare per adeguare la propria azienda al GDPR?
L’adeguamento al Regolamento è un procedimento che si compone di diverse fasi e che parte, inevitabilmente, come visto, dallo scopo ultimo al quale tende la normativa europea, ossia la tutela dei dati personali.
Per questo motivo non esistono formule standard che possono essere adottate in linea generale da tutte le realtà proprio perché la personalizzazione delle misure da adottare garantisce quella tutela effettiva che rappresenta la base per il rispetto del Regolamento stesso.
Si tenga inoltre presente che il processo di adeguamento è un processo dinamico, in continuo divenire, proprio per la necessità di un costante aggiornamento alle misure più idonee a garantire la protezione dei dati, anche con riferimento al progresso tecnologico.
Vuoi creare anche tu la tua policy privacy in pochi click? Affidati a iubenda