Gdpr: dal 25 maggio 2018 è entrato in vigore il regolamento europeo per la protezione dei dati personali.
Gdpr, acronimo che sta per General Data Protection Regulation (Gdpr) è ormai applicato in i Paesi membri dell’Unione europea.
Il Regolamento Ue 2016/679 altro non è che l’insieme delle norme atte a disciplinare il trattamento e la circolazione dei dati personali relativi alle persone fisiche e a quelle giuridiche, ovvero cittadini e organizzazioni.
La Commissione Europea ha sentito la necessità di regolamentare il trattamento dei dati personali e creare uno standard più semplice in modo da garantire una certezza giuridica che accompagni il trasferimento di dati dall’interno all’esterno dell’Europa.
Regolamento della Commissione Europea in materia di privacy
Gli atti legislativi dell’Unione europea sono formati da regolamenti, direttive e decisioni. A differenza di queste ultime, il regolamento si distingue per avere il suo valore in tutti i paesi e per il fatto che diventa legge subito, senza dover passare per il recepimento da parte degli Stati membri. I singoli paesi possono poi decidere di rivedere la propria legislazione se si creano incompatibilità evidenti con le nuove regole europee.
Ad esempio in italia si è abolita la parte generale del vecchio Codice della privacy e si sono diluite le restanti norme in un decreto.
Gdpr: cosa prevede
Quando si parla di dati ci si riferisce ad un ampio un universo molto variegato e comprendente suoni, immagini, video e testo.
Va da se che regolamentare in modo chiaro e uniforme un aspetto così ampio non è affatto stata una cosa semplice. Pensate non solo ai dati personali di base come nomi, cognomi o dati di nascita ma anche a tutte le informazioni sanitarie, ai numeri delle carte di credito, alle coordinate geografiche…
Il regolamento si compone di 99 articoli e istituisce alcune novità come:
- il diritto all’oblio: gli utenti possono chiedere di rimuovere informazioni a proprio riguardo),
- la «portabilità» dei dati: si possono scaricare e trasferire dati da una piattaforma all’altra, senza vincolarsi a un certo account;
- l’obbligo di notifica in caso di data breach: le aziende, se subiscono fughe di informazioni sensibili, devono comunicarlo entro 72 ore).
In breve il documento impone che:
- le informazioni di informative e le richieste di consenso siano più chiare
- consenso prestato da parte dell’utente. Alcuni servizi online richiedono dati non strettamente necessari alle finalità del servizio. In questo caso è necessario che gli utenti possano modificare o annullare il consenso
- siano stabiliti i limiti del trattamento automatizzato dei dati personali e siano definiti i parametri per il trasferimento dei dati fuori dall’Europa
- vengano imposte regole rigide relativamente ai casi di violazione dei dati
Ci sono poi alcune tipologie di dati che non possono essere richiesti. Si tratta di informazioni che riguardano l’etnia degli utenti, il loro orientamento sessuale, le loro convinzioni politiche o l’appartenenza ad un determinato credo o religione. Questi dati possono essere forniti, ma chiunque ne faccia richiesta dovrà far compilare all’utente un’apposita richiesta.
I destinatari sono i «titolari del trattamento», ossia chi gestisce le informazioni: privati e, soprattutto, aziende. Le organizzazioni che non rispettano le norme del Gdpr rischiano multe fino a 20 milioni di euro.
Le critiche al Gdpr
Il Gdpr è una buona base di partenza ma non è sicuramente esente da critiche. Tra le principali obiezioni mosse contro il regolamento europeo c’è sicuramente quella che evidenzia una forte incongruenza di fondo. Uno dei principi base per cui è stato realizzato sta nel voler armonizzazione le regole a livello europeo. Ma il Gdpr lascia agli Stati membri la possibilità di legiferare ognuno a modo suo per definire nel dettaglio le norme previste dal Gdpr facendo così decadere l’uniformità di regolamentazione che dovrebbe esserne la base.