L’entrata in vigore del GDPR il 25 maggio 2018 è stato un momento di passaggio fondamentale per la privacy e la protezione dei dati personali. Per la prima volta tali temi avevano una legge comune a livello europeo, anche se poi è stata lasciata agli stati membri dell’UE la possibilità di legiferare regole in autonomia per permettere una più precisa applicazione a livello nazionale delle norme contenute nel GDPR.

Cos’è il GDPR

L’acronimo GDPR sta per General Data Protection Regulation e indica il regolamento Ue 2016/679 (Regolamento europeo della privacy) che riguarda la protezione, il trattamento e la libera circolazione dei dati personali delle persone fisiche.

Le novità per il titolare del trattamento

Con il Regolamento europeo della privacy, devono essere comunicate agli utenti in modo chiaro e comprensibile le finalità, le modalità e l’ambito del trattamento dei dati raccolti, fornendo anche la base giuridica del trattamento e il tempo di conservazione dei dati. Particolare attenzione per i minori che per poter dare autonomamente il proprio consenso al trattamento devono avere compiuto 16 anni.

La pubblica amministrazione e le attività di trattamento costituite da un monitoraggio di larga scala o che determinino il trattamento di dati sensibili devono nominare un DPO (Data Protection Officer - responsabile della protezione dei dati personali) interno o esterno, che si occupi della corretta applicazione della normativa e della formazione del personale.

In caso di trattamenti particolarmente rischiosi per i diritti e le libertà degli interessati, il titolare deve effettuare una valutazione preliminare di impatto sulla tutela dei dati ("privacy impact assessment"), con una precisa analisi dei rischi e delle contromisure poste in essere. Per le organizzazioni con più di 250 dipendenti o che compiano trattamenti potenzialmente pericolosi è previsto un "registro delle attività di trattamento".

I titolari del trattamento devono dotarsi di misure tecniche e organizzative di sicurezza che garantiscano la protezione dei dati, adeguandole alla propria realtà.

Alla base del GDPR vi è il principio di "responsabilizzazione" del "titolare del trattamento”. In base a tale principio le sanzioni applicate dal Garante rappresentano una percentuale del fatturato mondiale totale della specifica realtà: fino al 2% o a 10 milioni di euro quando il trasgressore non possa assicurare un grado idoneo di sicurezza e non possa dimostrare di aver adottato idonee misure di prevenzione, non abbia nominato un DPO o non abbia raggiunto un accordo nel trattamento dei dati;
fino al 4% o a 20 milioni di euro
quando il trasgressore viola i diritti delle persone interessate. Inoltre chi ha subito un danno ha diritto al risarcimento dal titolare, a meno che questo non possa dimostrare che il danno non è a lui imputabile.

Le novità per gli utenti

Il GDPR introduce il “diritto all’oblio” dell’utente, ossia il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano qualora i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o trattati; l’interessato revoca il consenso su cui si basa il trattamento e se non sussiste altro fondamento giuridico per il trattamento; l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento; i dati personali sono stati trattati illecitamente; i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento; i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione.

Altro diritto introdotto è la portabilità dei dati: l’utente può chiedere che i dati vengano trasmessi a sé stesso o ad altro titolare da lui indicato. In questo modo si aumenta il controllo sui propri dati personali e si facilita la circolazione dei dati all’interno dell’Unione Europea.

Con il nuovo regolamento UE, in caso di violazione dei propri dati personali gli utenti hanno il diritto ad essere informati, tramite comunicazione del titolare del trattamento al Garante per la privacy entro le 72 ore.


Per consulenze e corsi sul GDPR puoi rivolgerti a CHRI.VA., società che si trova a San Cesareo (Roma) in via Filippo Corridoni 42/44, Per info e preventivi chiama lo 06.9570135 e il 334.7136039 o scrivi all’indirizzo amministrazione@chriva.com. Siamo aperti dal lunedì al venerdì con orario 9-17.30.