Il GDPR, sigla di General Data Protection Regulation, è il regolamento europeo su privacy e dati operativo dal 25 maggio 2018. La GDPR, come dice la sigla, è un testo che prova a uniformare le leggi europee sul trattamento dati e il proprio diritto a essere in pieno controllo delle informazioni che ci riguardano. Il regolamento si compone di 99 articoli e istituisce alcune novità come il diritto all’oblio (gli utenti possono chiedere di rimuovere informazioni a proprio riguardo), la «portabilità» dei dati (si possono scaricare e trasferire dati da una piattaforma all’altra, senza vincolarsi a un certo account) e l’obbligo di notifica in caso di data breach (le aziende, se subiscono fughe di informazioni sensibili, devono comunicarlo entro 72 ore). I destinatari sono i «titolari del trattamento», ossia chi gestisce le informazioni: privati e, soprattutto, aziende. La GDPR riguarda le aziende o gli Enti che gestiscono qualsiasi tipo di dato personale. Dalle informazioni sui propri dipendenti alla profilatura dei clienti per conto terzi: quindi le informazioni personali sono in mano alle risorse umane del proprio organico. Fra gli obblighi delle aziende o Enti da tenere in considerazione, vi è soprattutto la richiesta di consenso al trattamento dei dati personali in forma chiara (articolo 7), l’istituzione di un registro delle attività (articolo 30), la notifica delle violazioni entro 72 ore (articolo 33) e la designazione di un «responsabile protezione dati» (articolo 37).

Infine si va a istitituzionalizzare su scala UE il Data Protection Officer (DPO): una figura assunta tra i dipendenti dell’azienda o Ente o presso una società esterna con il ruolo di vigilare sull’applicazione effettiva della GDPR da parte del suo titolare.

Vai all'inizio della pagina