Che cos’è il GDPR?

05-07-21 | privacy

Tutto quello che c’è da sapere sul GDPR per essere in regola

GDPR sta per General Data Protection Regulation (Regolamento Generale sulla Protezione dei Dati), ovvero il Regolamento Europeo 2016/679. In estrema sintesi, il GDPR chiarisce come i dati personali debbano essere trattati, incluse le modalità di raccolta, utilizzo, protezione e condivisione.

L’obiettivo del GDPR è dunque quello di rafforzare la protezione dei dati per tutte le persone le cui informazioni personali rientrano nel suo campo di applicazione, dando loro il pieno controllo dei propri dati.

Cosa si intende esattamente per “dati personali”?

I dati personali nel contesto del GDPR si riferiscono a tutti i dati relativi a una persona vivente identificata o identificabile. Sono incluse anche informazioni che, se raccolte insieme, possono portarne all’identificazione. Ciò vale anche per i dati crittografati o presentati con l’uso di pseudonimi, finché la crittografia/anonimizzazione è reversibile. Nel rispetto degli obblighi del regolamento sulla protezione dei dati, ciò significa che le chiavi di decifrazione dovranno essere mantenute separate dai dati pseudonimizzati.

Esempi di dati personali includono (ma non si limitano a) dati identificativi come nomi, dati genetici, biometrici o inerenti la salute, dati web come indirizzi IP, indirizzi e-mail personali, opinioni politiche e orientamento sessuale.

Esempi di dati non personali includono i numeri di registrazione della società, indirizzi di posta elettronica generici come info@azienda.com e dati resi anonimi.

Definizioni particolari usate nel testo che segue

Con il termine “utente” si intende una persona i cui dati personali sono trattati da un titolare del trattamento o da un responsabile del trattamento.
Con il termine “titolare del trattamento” si intende una qualsiasi persona fisica o giuridica coinvolta nella determinazione delle finalità e delle modalità del trattamento dei dati personali degli utenti.
Con il termine “responsabile del trattamento” si intende una qualsiasi persona fisica o giuridica coinvolta nel trattamento dei dati personali degli utenti per conto del titolare del trattamento.

Ad esempio, una società può raccogliere informazioni sugli utenti tramite il proprio sito web e memorizzarle utilizzando un servizio in cloud di terza parte. In questo scenario, la società è il titolare del trattamento dei dati, mentre l’organizzazione che eroga il servizio in cloud è il responsabile del trattamento dei dati.

Quando si applica

Il GDPR si applica quando:

la base operativa dell’organizzazione si trova nell’Unione Europea (ciò vale indipendentemente dal fatto che il trattamento abbia luogo nel territorio UE o meno);
l’organizzazione, seppure non avente sede nell’Unione Europea, offre beni o servizi (anche gratuitamente) a cittadini europei. Può trattarsi di enti pubblici, società private o pubbliche, persone fisiche od organizzazioni senza scopo di lucro;
l’organizzazione, seppure non avente sede nell’Unione Europea, monitora il comportamento delle persone che vi risiedono, a patto che tale comportamento abbia luogo all’interno del territorio UE.

Un ambito di applicazione così ampio copre in pratica quasi tutte le attività, e pertanto si può concludere che il GDPR si applica indipendentemente dal fatto che la tua organizzazione si trovi o meno nell’Unione Europea. Di fatto, questo sondaggio PwC ha evidenziato che il GDPR è una priorità assoluta in materia di protezione dei dati anche per il 92% di tutte le aziende statunitensi intervistate.

Le condizioni di applicabilità del GDPR sono esposte da un punto di vista materiale e territoriale negli articoli 2 e 3. Per determinare se un’attività di trattamento dati è esente dalla sua applicabilità, dobbiamo considerare entrambi gli ambiti.

Ambito materiale

Il GDPR si applica al trattamento dei dati personali. Non si applica pertanto ai dati aziendali, come il nome e l’indirizzo della società. Fai attenzione, tuttavia, perché normalmente sono le persone fisiche che lavorano in un’azienda: qualsiasi dato che si riferisce a loro è quindi considerato “personale”, indipendentemente dal fatto che venga trattato in un contesto Business to Customer (B2C) o Business to Business (B2B).

I dati personali non rientrano nell’ambito di applicazione del GDPR ogniqualvolta:

sono trattati dagli Stati Membri nel contesto della politica estera e di sicurezza comune dell’UE;
sono trattati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, compresa la tutela e la prevenzione di minacce alla pubblica sicurezza;
sono trattati da istituzioni, organi, uffici e agenzie dell’UE;
sono trattati da una persona fisica nel corso di un’attività puramente personale o domestica.

In pratica, l’unica eccezione rilevante è quest’ultima: ad esempio, se raccogli i dati personali dei tuoi amici per la tua rubrica telefonica non sei legato al GDPR.

Ambito territoriale

Affinché un’attività di trattamento non sia soggetta al GDPR, devono verificarsi tutte e 3 queste condizioni:

il titolare (o il responsabile) del trattamento non ha sede nell’UE. Tieni sempre presente che il titolare/responsabile del trattamento potrebbe anche essere una filiale UE di una società al di fuori dell’UE: in tal caso si applicherebbe pienamente il GDPR, anche se la filiale non avesse personalità giuridica;
il trattamento non riguarda l’offerta di beni o servizi (anche in forma gratuita) a interessati nell’Unione o il monitoraggio del loro comportamento nella misura in cui avviene all’interno dell’Unione;
il responsabile del trattamento non si trova in un luogo al di fuori dell’UE dove si applicano le leggi dell’UE a causa del diritto pubblico internazionale.

Diamo un’occhiata ad alcuni esempi pratici:

La società “A” con sede negli Stati Uniti vende beni ai consumatori con sede nell’UE (quindi soggetta al GDPR) e assume la società “B” con sede negli Stati Uniti per scopi di analisi del mercato e statistiche. La società B è soggetta al GDPR, sebbene non abbia sede nell’UE né venda beni o servizi a clienti dell’UE? Probabilmente sì, se l’attività di analisi e statistiche di mercato richiede un “monitoraggio del comportamento” dei clienti con sede nell’UE.
I dipendenti del consolato italiano di New York devono conformarsi al GDPR? Sì, perché il GDPR è applicabile a loro in virtù del “diritto pubblico internazionale”.
Un’azienda con sede in Cina che vende beni su un sito in cinese deve conformarsi al GDPR solo perché è possibile che un cinese residente nell’UE acquisti qualcosa da esso? In linea di principio diremmo di no, a meno che non sia possibile dimostrare che l’azienda sta facendo affari con clienti residenti nell’UE, o che si rivolge espressamente a loro (ad esempio informandoli che sono previsti pagamenti da un conto bancario UE o spedizioni nell’UE).

fonte: Iubenda.com

Hai bisogno di maggiori informazioni?

Facciamoci una chiacchierata

Cookie	Durata	Descrizione
_ga	2 anni	Il cookie _ga, installato da Google Analytics, calcola i dati di visitatori, sessioni e campagne e tiene anche traccia dell'utilizzo del sito per il report di analisi del sito. Il cookie memorizza le informazioni in modo anonimo e assegna un numero generato casualmente per riconoscere i visitatori unici.
_gid	1 giorno	Installato da Google Analytics, il cookie _gid memorizza informazioni su come i visitatori utilizzano un sito web, creando anche un report analitico delle prestazioni del sito web. Alcuni dei dati raccolti includono il numero di visitatori, la loro fonte e le pagine che visitano in modo anonimo.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 mesi	Impostato dal plugin GDPR Cookie Consent, questo cookie viene utilizzato per registrare il consenso dell'utente per i cookie nella categoria "Analytics".
cookielawinfo-checkbox-necessary	11 mesi	Impostato dal plugin GDPR Cookie Consent, questo cookie viene utilizzato per registrare il consenso dell'utente per i cookie nella categoria "Necessario".