Nella nuova guida, ti spiego cosa significa il GDPR, come viene applicato e perché è importante. Scoprirai chi deve rispettarlo e se è efficace.
Cosa significa GDPR in termini semplici?
GDPR è l’acronimo di General Data Protection Regulation ed è un insieme di regole che sono state messe in atto dall’Unione Europea per proteggere i dati personali degli individui.
Si applica a qualsiasi organizzazione, indipendentemente dalle dimensioni o dall’ubicazione, che raccolga, archivi o elabori dati personali.
Richiede alle aziende di essere trasparenti su come utilizzano i dati personali e di adottare misure per proteggerli da abusi o accessi non autorizzati.
Parallelamente, si attribuisce alle persone la possibilità di fare appello al loro Diritto all’Oblio.
Il GDPR è stato introdotto per la prima volta come regolamento generale sulla protezione dei dati nel 2016 ed è stato implementato il 25 maggio 2018.
Come si legge nel testo del regolamento:
“Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità.”
Per questo, il GDPR è stato strutturato come un rigido insieme di regole per la gestione dei dati personali.
Le conseguenze per il mancato rispetto di ciò che il GDPR chiama “obblighi” possono essere gravi.
Come riportato da Gartner, dalla sua entrata in vigore, le agenzie per la protezione dei dati dell’UE hanno richiesto 359.205.300 euro di sanzioni e multe per il GDPR.
Gartner prevede che entro il 2024 le organizzazioni spenderanno oltre 15 miliardi di dollari in tecnologia per la protezione dei dati e la conformità per rispettare i criteri di privacy.
Il GDPR, infatti, oltre a proteggere le persone da un uso improprio delle loro informazioni, obbliga le aziende ad essere più responsabili per quanto riguarda la gestione di tali dati.
Quali sono i 7 principi del GDPR?
Il GDPR ha 7 principi fondamentali che sono progettati per garantire che i diritti dei cittadini dell’UE siano rispettati e protetti.
Questi principi includono:
- Trasparenza;
- Liceità;
- Limitazione delle finalità;
- Minimizzazione dei dati;
- Accuratezza;
- Limitazione della conservazione;
- Integrità e riservatezza.
Comprendendo questi principi, le aziende possono garantire di essere conformi alle normative GDPR riguardo la gestione dei dati personali.
Il GDPR, infatti, richiede alle aziende di essere trasparenti su quali dati personali raccolgono e su come li utilizzeranno.
Gli individui hanno diritto a sapere quali informazioni vengono raccolte su di loro e ciò deve essere comunicato con un linguaggio chiaro e comprensibile.
Questo perché il modo in cui vengono utilizzati o diffusi i loro dati personali può incidere direttamente sulla reputazione online.
Anche termini di utilizzo trasparenti e coerenti sono un buon punto di partenza quando si tratta di trasparenza e controllo.
Le aziende dovrebbero avere un’idea chiara, delineata nelle loro condizioni d’uso dei dati, come li raccolgono e come li elaboreranno.
Ciò può essere fatto disponendo di chiare dichiarazioni di intenti per la raccolta dei dati dall’informativa sulla privacy; oppure raccogliendo una disposizione di opt-in prima che all’utente sia richiesto di fornire qualsiasi informazione personale durante la registrazione.
Cosa dice il GDPR sulla riservatezza?
La riservatezza è uno dei principi cardine regolamentati dal GDPR.
Come si legge nel documento, i dati personali sono:
“Trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).”
Nel rispetto di questo principio, il GDPR dà diritto ad eliminare presenza online dal momento che fa prevalere la riservatezza degli individui.
Il GDPR, infatti, richiede alle organizzazioni di fornire alle persone un maggiore controllo sui propri dati e adottare misure per garantire che le loro informazioni siano al sicuro.
Comprendendo i requisiti stabiliti dal GDPR, le organizzazioni possono garantire la conformità a tali normative e proteggere la privacy dei propri clienti.
In sintesi, rispettare il principio di integrità e riservatezza prevede:
- Creare politiche e controlli per farle rispettare; corrisponde alle misure organizzative;
- Utilizzare tutti i possibili strumenti di sicurezza informatica; corrisponde alle misure tecniche.
Un altro mezzo per garantire agli utenti la loro privacy è implementare i sistemi di anonimizzazione o pseudonimizzazione dell’azienda.
In questo modo potrai proteggere l’identità dei tuoi clienti.
Infine, dovresti considerare di lavorare per ottenere una documentazione ufficiale, come la certificazione ISO 27001.
Andrea Baggio, da oltre vent’anni nel campo della reputazione online e della protezione dei dati, ha fatto in modo che tutte le aziende del Gruppo ReputationUP potessero acquisirla.
Questa serve per dimostrare il tuo impegno sul fronte della sicurezza informatica.
Cosa fa il GDPR?
Il GDPR riguarda la raccolta, l’archiviazione e l’utilizzo delle informazioni personali da parte delle organizzazioni.
Come spiegato, aziende e organizzazioni devono informare le persone sul tipo di dati che raccolgono e su come verranno utilizzati.
Soltanto in base a queste informazioni, le persone potranno decidere se dare o no il loro consenso al trattamento dei propri dati.
In ogni momento l’utente deve poter avere accesso ai propri dati per richiederne la correzione o la cancellazione.
Da parte loro, le aziende hanno un mese per rispondere alle richieste degli interessati.
Purtroppo questi numeri sono ben lontani dalla realtà dei fatti.
Come riporta nel suo rapporto sulla trasparenza, da gennaio a marzo 2023 Google ha rimosso solo il 52% degli URL segnalati.
Il GDPR stabilisce regole rigorose su come le aziende devono gestire e proteggere i dati personali, ma il fatto che non tutte siano ancora perfettamente aggiornate sul tema, spiega i ritardi e i problemi per gli utenti.
Questo produce danni alla reputazione digitale degli individui e suppone una grande spesa per le aziende.
Cosa si considera come dati personali?
Come si legge nel testo del regolamento generale sulla protezione dei dati, i dati personali vengono definiti come:
“Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.”
In questa definizione si includono informazioni come nome, indirizzo, indirizzo e-mail, indirizzo IP e persino dati biometrici.
Ma lì vanno considerati anche quei dati che servono per identificare qualcuno indirettamente.
Ciò include i dati sulla posizione, gli identificatori online come i cookie e dati pseudonimi.
Cosa richiede il GDPR quando si ha a che fare con una violazione dei dati personali?
Quando parla di violazione dei dati personali, il regolamento spiega che si riferisce a:
“La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.”
In questi casi, quando si verifica una violazione dei dati personali, il GDPR richiede alle organizzazioni di adottare una serie di misure.
Tra queste, la prima da adottare è notificare l’autorità di vigilanza competente e le persone interessate.
Il GDPR richiede infatti che le persone siano informate senza indebito ritardo se la violazione dei dati personali può comportare un rischio elevato per i loro diritti alla privacy.
Secondo i dati di Statista, il 74% degli utenti internet negli Stati Uniti è più preoccupato che mai della privacy dei propri dati.
Ciò si deve al fatto che spesso la comunicazione sul tema della privacy viene gestito in maniera allarmante e senza offrire soluzioni.
In seconda istanza, l’azienda deve indagare sulla violazione e intraprendere azioni correttive.
Le organizzazioni devono sempre tenere traccia di eventuali violazioni e documentare la loro risposta, nell’ottica del risk management.
Questo perché le aziende devono poter dimostrare di aver adottato misure appropriate e di aver segnalato le eventuali violazioni correlate.
Considerando che la conformità al GDPR si basa in gran parte sull’autosegnalazione, può essere difficile per le aziende farlo in modo accurato.
Le organizzazioni avranno bisogno di una buona comprensione delle attività di elaborazione dei dati della propria azienda per valutare se sono conformi o meno al GDPR.
In alternativa, hanno la possibilità di rivolgersi a esperti come quelli voluti da Andrea Baggio nelle aziende del Gruppo ReputationUP.
Come si rispetta il GDPR?
Per conformarsi al GDPR, le organizzazioni devono garantire di disporre di misure tecniche e organizzative adeguate per proteggere la privacy e la sicurezza dei dati delle persone.
Ciò include l’implementazione di processi per la raccolta, l’archiviazione e l’eliminazione dei dati personali in conformità con i requisiti del GDPR.
Le organizzazioni devono inoltre fornire alle persone informazioni chiare su come vengono utilizzati i loro dati e consentire loro di accedere o eliminare i propri dati in qualsiasi momento.
Il GDPR richiede alle organizzazioni che detengono o elaborano dati personali di fornire alle persone:
- Una descrizione dello scopo dell’organizzazione nel conservare ed elaborare i propri dati;
- Informazioni sulla durata della conservazione dei dati;
- Accesso ai propri dati personali;
- Una spiegazione del motivo per cui devono trasmettere i propri dati personali a paesi al di fuori dello Spazio economico europeo (SEE);
- Se non è loro possibile farlo, fornire un modo alternativo per far valere i propri diritti nei confronti di tali paesi.
Le organizzazioni devono fornire anche i dettagli di eventuali terze parti con cui hanno condiviso i dati personali.
Chi deve rispettare il GDPR?
Il GDPR si applica a qualsiasi organizzazione, in qualsiasi paese, che tratta i dati personali di individui situati nell’Unione Europea.
Ciò include le società con sede al di fuori dell’UE se trattano dati personali di cittadini dell’UE o offrono loro beni e servizi.
In sintesi, il regolamento di applica a:
- Qualsiasi organizzazione in qualsiasi paese che elabora dati personali di cittadini dell’UE o offre loro beni e servizi;
- Organizzazioni con sede al di fuori dell’UE se trattano dati personali di cittadini dell’UE o offrono loro beni e servizi.
Inoltre, in base all’accordo US-EU Privacy Shield, entrato in vigore per la prima volta nel luglio 2016 e rivisto nel novembre 2018, le società con sede negli Stati Uniti sono tenute a rispettare gli standard sulla privacy dell’UE come il GDPR se ospitano dati personali provenienti da paesi dell’Unione Europea.
Perché il GDPR è così importante?
Il GDPR è diventato uno degli atti legislativi più importanti in Europa.
Questo offre agli individui maggiori diritti per controllare i propri dati, proteggendo al contempo la loro identità digitale e le esigenze delle aziende.
Parallelamente, cerca anche di aumentare la trasparenza sui dati personali.
Come riportato nel report sulla privacy online realizzato da ReputationUP, la consapevolezza pubblica del GDPR è più che raddoppiata in tutti i mercati europei rispetto al 2018.
Nel Regno Unito, per esempio, è passata dal 32% del 2018 al 73% del 2022.
Ad esempio, le aziende devono rivelare come raccolgono le informazioni personali nella loro politica sulla privacy e dare alle persone il diritto di richiedere e ottenere facilmente l’accesso ai propri dati.
Inoltre, le aziende non possono più addebitare alle persone l’accesso ai propri dati.
Il GDPR include anche una serie di modifiche sostanziali.
Ad esempio, vieta alle aziende di utilizzare i dati personali di persone di età inferiore ai 16 anni senza il consenso dei genitori.
D’altra parte, consente alle organizzazioni di raccogliere dati personali di persone anche se non sono clienti o utenti.
Il fatto che abbia valore per tutti i cittadini e le cittadine dell’Unione Europea, inoltre, significa che è irrilevante il paese in cui ha sede la società di riferimento.
Ciò implica che le organizzazioni non possono prendere decisioni sui diritti di un individuo rispetto ai suoi dati quando si trova in un altro paese dell’UE.
Tuttavia, il GDPR è stato criticato da esperti di privacy.
Questi ritengono che il regolamento non sia sufficiente per la protezione della privacy delle persone e potrebbe consentire alle leggi di altri paesi di sostituire i diritti individuali.
Il GDPR è efficace?
Sin dalla sua introduzione, il GDPR è stato efficace nel proteggere i dati personali e fornire un maggiore livello di sicurezza per i cittadini dell’UE.
Ha avuto anche un impatto positivo sulle imprese, aiutandole a rispettare le normative e a costruire la fiducia dei consumatori.
Come riportato nel report di GDMA, il 53% degli utenti pensa che condividere dati personali sia essenziale nella società odierna.
Per questa ragione, procedere nel senso di una tutela completa ed efficace, è l’unica strada possibile
Il monitoraggio da parte delle autorità di regolamentazione della privacy dell’UE ha dimostrato che c’è stata una diminuzione delle violazioni dei dati dalla sua introduzione.
La conseguenza è stato un numero maggiore di organizzazioni che dispone di misure di sicurezza adeguate per proteggere i dati personali.
Il GDPR consente inoltre una maggiore responsabilità delle organizzazioni per quanto riguarda il trattamento dei dati personali.
Così si contribuisce ad aumentare la fiducia dei consumatori e ridurre i rischi associati all’utilizzo dei servizi di un’organizzazione.
Conclusioni
Il GDPR è un tema molto attuale perché non tutti conoscono questa misura per proteggere i propri dati e la propria privacy online.
In questa guida ti ho mostrato tutti gli aspetti più importanti per avvicinarti al tema della protezione dei dati.
Queste sono le conclusioni che puoi trarre:
- GDPR è l’acronimo di General Data Protection Regulation; è un insieme di regole che sono state messe in atto dall’Unione Europea per proteggere i dati personali degli individui;
- Dalla sua entrata in vigore, le agenzie per la protezione dei dati dell’UE hanno richiesto 359.205.300 euro di sanzioni e multe per il GDPR;
- I 7 principi del GDPR sono: trasparenza, liceità, limitazione delle finalità, minimizzazione dei dati, accuratezza, limitazione della conservazione, integrità e riservatezza;
- Google ha rimosso solo il 52% degli URL segnalati;
- Il 74% degli utenti internet negli Stati Uniti è più preoccupato che mai della privacy dei propri dati;
- Per conformarsi al GDPR, le organizzazioni devono garantire di disporre di misure tecniche e organizzative adeguate per proteggere la privacy e la sicurezza dei dati delle persone;
- Il GDPR si applica a qualsiasi organizzazione, in qualsiasi paese, che tratta i dati personali di individui situati nell’Unione Europea.
Comprendere tutte le norme che compongono il GDPR può essere complicato per un utente che non ha le conoscenze adeguate.
Per questo è sempre meglio rivolgersi a degli esperti.
Andrea Baggio, CEO Europa del Gruppo ReputationUP, ha creato una rete di imprese che contano su esperti legali e informatici in grado di guidare i propri partner.