GDPR
Cos'è il GDPR?
Il Regolamento generale sulla protezione dei dati (GDPR, dall'inglese General Data Protection Regulation) è un regolamento europeo che disciplina il modo in cui le aziende e le altre organizzazioni trattano i dati personali.
È il provvedimento più significativo degli ultimi 20 anni in materia di protezione dei dati e ha implicazioni importanti per qualsiasi organizzazione al mondo che si rivolga ai cittadini dell'Unione Europea.
La legislazione punta a dare a ogni individuo il controllo sull'utilizzo dei propri dati, tutelando "i diritti e le libertà fondamentali delle persone fisiche": stabilisce requisiti precisi e rigorosi per il trattamento dei dati, la trasparenza, la documentazione da produrre e conservare e il consenso degli utenti.
Ogni organizzazione deve documentare e monitorare le attività di trattamento dei dati personali. In quanto titolare del trattamento, deve registrare e monitorare le attività di trattamento. Ciò include i dati trattati non solo all'interno dell'organizzazione, ma anche da terzi – i cosiddetti responsabili del trattamento (ad es. fornitori Software-as-a-Service, servizi di terze parti che tracciano i visitatori del sito web).
Sia i titolari che i responsabili del trattamento devono essere in grado di rendere conto delle tipologie di dati trattati, dello scopo della loro elaborazione, dei paesi e delle terze parti a cui i dati vengono trasmessi. Se i dati personali sono inviati a organizzazioni o giurisdizioni non considerate "adeguate" dal GDPR, l'utente deve essere informato in modo specifico. Tutti i consensi devono essere registrati come prova. Il 4 maggio 2020 il Comitato europeo per la protezione dei dati (EDPB) ha adottato linee guida sul consenso valido ai sensi del GDPR: il consenso deve essere un'indicazione libera, specifica, informata e inequivocabile; lo scorrimento o la continuazione della navigazione non costituisce consenso valido; i cookie banner non possono avere caselle preselezionate; i cookie wall (consenso forzato) sono giudicati non conformi.
Ogni individuo ha il "diritto alla portabilità dei dati", il "diritto a un migliore accesso ai propri dati", il "diritto all'oblio", e può revocare il consenso in qualsiasi momento. In caso di violazione dei dati, l'azienda deve informare le autorità di protezione dei dati e le persone interessate entro 72 ore. Il GDPR prevede l'obbligo, per amministrazioni pubbliche, organizzazioni con più di 250 dipendenti e imprese che trattano dati sensibili su larga scala, di assumere o formare un responsabile della protezione dei dati (RPD). Dopo la Brexit, il Regno Unito prevede una legislazione equivalente (UK-GDPR).
Rgasicurlav supporta le organizzazioni nella documentazione, nel monitoraggio delle attività di trattamento e nella conformità ai requisiti di trasparenza, consenso e tutela degli interessati.