Che cos'è il Regolamento generale sulla protezione dei dati (GDPR)?

Il Regolamento generale sulla protezione dei dati (GDPR) è una legge completa sulla protezione dei dati approvata dall'Unione Europea (UE).

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Spiegare i requisiti principali del Regolamento generale sulla protezione dei dati (GDPR)
  • Descrivere i diritti che le persone hanno ai sensi del GDPR
  • Capire l'importanza del GDPR per la privacy dei dati

Argomenti correlati


Vuoi saperne di più?

Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.

Fai riferimento all'Informativa sulla privacy di Cloudflare per scoprire come raccogliamo ed elaboriamo i tuoi dati personali.

Copia link dell'articolo

Che cos'è il Regolamento generale sulla protezione dei dati (GDPR)?

Il Regolamento generale sulla protezione dei dati (GDPR), entrato in vigore il 25 maggio 2018, è una legge completa sulla privacy dei dati che stabilisce un quadro per la raccolta, l'elaborazione, l'archiviazione e il trasferimento dei dati personali. Richiede che tutti i dati personali siano elaborati in modo sicuro e include multe e sanzioni per le aziende che non rispettano questi requisiti. Fornisce inoltre agli individui una serie di diritti in relazione ai propri dati personali.

Con il progresso della tecnologia e la crescente diffusione della raccolta dati, la privacy dei dati è diventata un argomento di grande attualità. Al momento della sua approvazione, il GDPR era la normativa sulla privacy dei dati più completa. Ha armonizzato normative separate sulla protezione dei dati in tutta l'Unione Europea (UE). Ha inoltre esteso la portata di tali regolamenti alle organizzazioni non appartenenti all'UE che elaborano dati personali raccolti nell'UE.

Il GDPR si applica a qualsiasi azienda o organizzazione, indipendentemente dalla sua ubicazione geografica, se l'azienda o l'organizzazione offre beni e servizi a persone nell'UE o ne monitora il comportamento all'interno dell'UE.

In che modo il GDPR definisce i "dati personali"?

Il GDPR ha ampliato la portata di quelli che erano considerati dati personali in modo da includere qualsiasi informazione relativa a una persona fisica identificabile. Ciò include dettagli che sono ovviamente personali, come il nome e l'indirizzo di una persona, ma anche qualsiasi altra informazione che potrebbe essere utilizzata per identificare qualcuno, incluso il suo indirizzo IP e alcuni identificatori di cookie associati a una sessione di navigazione Web.

Quali sono i requisiti GDPR per i titolari e i responsabili del trattamento dei dati?

Il GDPR definisce i titolari del trattamento dei dati come entità che prendono decisioni sui mezzi e le finalità per cui i dati personali vengono raccolti ed elaborati, e definisce i responsabili del trattamento dei dati come entità che elaborano i dati personali, in genere per conto di un titolare del trattamento dei dati.

Il GDPR stabilisce inoltre sette principi fondamentali su come i titolari e i responsabili del trattamento dei dati dovrebbero gestire i dati personali:

  • Legalità, correttezza e trasparenza
  • Limitazione dell'ambito
  • Minificazione dei dati
  • Precisione
  • Limitazione dello spazio di archiviazione
  • Integrità e riservatezza (sicurezza)
  • Responsabilità

Oltre a descrivere in dettaglio questi principi, il GDPR richiede che i titolari e i responsabili del trattamento dei dati intraprendano diverse azioni specifiche. Alcuni di questi includono:

  • Conservazione dei registri: i responsabili del trattamento dei dati devono conservare i registri delle proprie attività di elaborazione.
  • Misure di sicurezza: i titolari e i responsabili del trattamento dei dati devono utilizzare e testare regolarmente misure di sicurezza appropriate per proteggere i dati che raccolgono ed elaborano.
  • Notifica della violazione dei dati: i titolari del trattamento dei dati che subiscono una violazione dei dati personali devono notificarlo alle autorità competenti entro 72 ore, con alcune eccezioni. Solitamente devono anche avvisare le persone i cui dati personali sono stati interessati dalla violazione.
  • Responsabile della protezione dei dati (DPO): le aziende che elaborano i dati potrebbero dover assumere un responsabile della protezione dei dati (DPO). Il DPO guida e supervisiona tutti gli sforzi per conformarsi al GDPR.

I requisiti completi per i titolari e i responsabili del trattamento dei dati sono descritti nel GDPR.

Quali diritti hanno gli interessati ai sensi del GDPR?

Il GDPR definisce l'interessato come "una persona fisica identificata o identificabile". Gli interessati hanno i seguenti diritti:

  • Diritto all'informazione: gli interessati devono ricevere informazioni di facile comprensione su come vengono raccolti e trattati i loro dati personali
  • Diritto alla portabilità dei dati: gli interessati possono trasferire i propri dati da un titolare del trattamento a un altro
  • Diritto di accesso: gli interessati hanno il diritto di ottenere una copia dei dati personali raccolti
  • Diritto alla rettifica: gli interessati possono correggere i dati inesatti che li riguardano
  • Diritto alla cancellazione: gli interessati possono richiedere la cancellazione dei loro dati (detto anche diritto all'oblio)
  • Diritto di limitazione del trattamento: in determinate circostanze, gli interessati possono limitare il modo in cui i propri dati personali vengono trattati
  • Diritto di opposizione: gli interessati hanno il diritto di opporsi al trattamento dei propri dati personali e, in determinate circostanze, il titolare del trattamento o il responsabile del trattamento sarà obbligato a soddisfare l'opposizione dell'interessato.
  • Diritto di opposizione al trattamento automatizzato: gli interessati possono opporsi a una decisione che li riguarda legalmente e che si basa esclusivamente sul trattamento automatizzato dei dati.

Quali sono le sanzioni per la violazione del GDPR?

Il GDPR descrive le sanzioni che verranno imposte alle aziende che violano le sue policy.

Il GDPR prevede due livelli di sanzioni, ciascuno dei quali corrisponde a una diversa categoria di violazione:

  • Primo livello: una violazione comporta una multa massima di 10 milioni di euro o del 2% del fatturato annuo mondiale dell'azienda, a seconda di quale importo sia più elevato.
  • Secondo livello: la violazione comporta una multa massima di 20 milioni di euro o del 4% del fatturato annuo mondiale dell'azienda, a seconda di quale importo sia più elevato.

Oltre a queste sanzioni, quando un'azienda viola il GDPR gli interessati possono chiedere un risarcimento per danni.

Cloudflare e la privacy dei dati

La missione di Cloudflare è quella di contribuire a costruire un'Internet migliore e la riservatezza dei dati è fondamentale per tale missione. Cloudflare sviluppa i propri prodotti con un approccio basato sulla "privacy by design" e ha rilasciato una serie di servizi per aumentare la privacy degli utenti (tra cui Cloudflare Data Localization Suite). Cloudflare ha anche ottenuto la convalida della privacy del Codice di condotta dell'UE, il primo codice di condotta GDPR ufficialmente riconosciuto dall'UE. Scopri di più su Cloudflare e GDPR.