GDPR - General Data Protection Regulation

• Glossario
• GDPR - General Data Protection Regulation

GDPR: il GDPR (il cui significato è General Data Protection Regulation) è il Regolamento (UE) 2016/679 sulla protezione dei dati personali, entrato in vigore il 25 maggio 2018, con l’obiettivo di rafforzare la tutela della privacy e armonizzare la normativa sulla protezione dei dati all'interno dell'Unione Europea.

Il GDPR si pone come disciplina del trattamento dei dati personali, imponendo obblighi stringenti a imprese, enti e organizzazioni che raccolgono, archiviano e trattano informazioni sui cittadini dell’UE. La regolamentazione GDPR si applica a qualsiasi soggetto privato e alla maggior parte dei soggetti pubblici, che gestiscono dati personali, indipendentemente dalla loro sede, purché il trattamento riguardi individui residenti nell’Unione Europea. Il GDPR europeo è uno dei tre strumenti normativi che compongono la riforma della protezione dei dati dell'Unione Europea. Insieme alla direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie e al regolamento (UE) 2018/1725, che disciplina il trattamento dei dati personali all'interno delle istituzioni europee, forma un quadro legislativo unitario per garantire la tutela dei dati personali in tutti gli ambiti, sia pubblici che privati, a livello europeo.

Il GDPR europeo introduce principi fondamentali, fissati dall’art. 5, tra cui la trasparenza, la minimizzazione dei dati, la limitazione delle finalità e la riservatezza del trattamento, imponendo agli enti coinvolti di garantire misure adeguate per prevenire violazioni e fughe di dati. Il Regolamento protezione dati prevede diritti specifici per gli interessati, tra cui il diritto di accesso ai propri dati, il diritto all’oblio, la portabilità dei dati tra prestatori di servizi, la limitazione e la rettifica delle informazioni.

Il GDPR stabilisce caratteristiche soggettive, responsabilità e obblighi per il titolare del trattamento e il responsabile del trattamento, ed enfatizza la loro responsabilizzazione (accountability) richiedendo comportamenti proattivi e misure tecniche e organizzative concrete adeguate per garantirne l'applicazione. Il Regolamento GDPR prevede anche la designazione del Data Protection Officer (DPO) in determinati casi.

La mancata conformità alle disposizioni del GDPR può comportare sanzioni amministrative e penali, a seconda della gravità dell’infrazione. Le multe amministrative possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale dell'azienda, applicando l’importo maggiore. Le violazioni gravi, come il mancato rispetto dei principi di base del trattamento dei dati o l'inosservanza dei diritti degli interessati, comportano le sanzioni più elevate. Ogni Stato membro può prevedere ulteriori sanzioni penali, a condizione che esse siano effettive, proporzionate e dissuasive.