• (0)
    eugdpr-blog

    Base di conoscenza del GDPR dell'UE

    Un riassunto dei 10 requisiti chiave del GDPR

    Il Regolamento Generale sulla Protezione dei Dati dell’Unione europea (GDPR) è un insieme di regole su come le aziende debbano trattare i dati personali degli interessati. Il GDPR definisce le responsabilità delle organizzazioni per garantire la privacy e la protezione dei dati personali, fornisce agli interessati determinati diritti e assegna poteri ai regolatori per chiedere dimostrazioni di responsabilità o persino imporre sanzioni nei casi in cui un’organizzazione non rispetti i requisiti del GDPR. Comprendere i requisiti del GDPR a volte può essere un compito arduo, quindi comprendi i requisiti chiave attraverso questa sintesi del GDPR facile da seguire.

    1) Trattamento lecito, equo e trasparente

    Alle aziende che trattano dati personali viene richiesto di trattare i dati personali in modo lecito, equo e trasparente. Cosa significa? Cerchiamo di capirlo:

    • Lecito significa che tutti i trattamenti devono essere basati su uno scopo legittimo.
    • Equo indica che le aziende si assumono la responsabilità e non trattano i dati per scopi diversi da quelli legittimi.
    • Trasparente significa che le società devono informare gli interessati delle attività di trattamento dei loro dati personali.

    2) Limitazione di scopo, dati e archiviazione

    Ci si aspetta che le aziende limitino il trattamento, raccolgano solo i dati necessari e non conservino i dati personali una volta completato lo scopo del trattamento. Ciò comporta soddisfare i seguenti requisiti:

    • vietare il trattamento di dati personali al di fuori degli scopi legittimi per i quali tali dati personali sono stati raccolti
    • imporre che non vengano richiesti dati personali diversi da quelli necessari
    • chiedere che i dati personali siano cancellati una volta raggiunto lo scopo legittimo per il quale sono stati raccolti


    3) I Diritti degli interessati

    Agli interessati è stato dato il diritto di chiedere all’azienda quali informazioni questa abbia su di loro e cosa faccia con queste informazioni. Inoltre, l’interessato ha il diritto di chiederne la rettifica, opporsi al trattamento, presentare un reclamo o anche chiedere la cancellazione o il trasferimento dei propri dati personali.

    Vedi anche: Gli 8 diritti degli interessati secondo il GDPR.

    4) Il Consenso

    Se e quando la società intende trattare i dati personali oltre allo scopo legittimo per cui sono stati raccolti tali dati, è necessario che sia richiesto un consenso chiaro ed esplicito all’interessato. Una volta raccolto, questo consenso deve essere documentato e l’interessato è autorizzato a ritirare il proprio consenso in qualsiasi momento.

    Inoltre, per il trattamento dei dati dei minori, il GDPR richiede il consenso esplicito dei genitori (o tutori) se l’età del minore è inferiore ai 16 anni.

    Vedi anche: È necessario il consenso? Sei basi giuridiche per il trattamento dei dati in conformità con il GDPR.

    5) Violazioni dei dati personali

    Le organizzazioni devono mantenere un Registro delle Violazioni dei Dati Personali e, in base alla gravità, il regolatore e l’interessato devono essere informati entro 72 ore dall’identificazione della violazione.

    Vedi anche: 5 fasi per gestire una violazione dei dati secondo il GDPR.

    6) Privacy by design

    Le aziende devono incorporare meccanismi organizzativi e tecnici per proteggere i dati personali nella progettazione di nuovi sistemi e processi; cioè, gli aspetti relativi alla privacy e alla protezione dei dati devono garantiti per default.

    Vedi anche: How cybersecurity solutions can help with GDPR compliance.

    7) La Valutazione dell’Impatto sulla Protezione dei Dati

    Per valutare l’impatto di cambiamenti o azioni nuove, è necessario condurre una Valutazione dell’Impatto sulla Protezione dei Dati quando si avvia un nuovo progetto, cambiamento o prodotto. La Valutazione dell’Impatto sulla Protezione dei Dati è una procedura che deve essere eseguita quando viene introdotta una modifica significativa nel trattamento dei dati personali. Questa modifica potrebbe essere un nuovo processo o una modifica a un processo esistente che altera il modo in cui i dati personali vengono trattati.

    Vedi anche: Le 5 fasi della Valutazione d’Impatto sulla Protezione dei Dati del GDPR dell’UE.

    8) Trasferimenti di dati

    Il controllore1) dei dati personali ha la responsabilità di garantire che i dati personali siano protetti e che i requisiti GDPR siano rispettati, anche se il trattamento viene eseguito da una terza parte. Ciò significa che i controllori hanno l’obbligo di garantire la protezione e la riservatezza dei dati personali quando tali dati vengono trasferiti all’esterno della società, a una terza parte e / o un’altra funzione all’interno della stessa società.

    Vedi anche: Implementing 3 main accountability principles under the EU GDPR.

    9) Il Responsabile della Protezione dei Dati

    In caso di trattamento significativo di dati personali all’interno di un’organizzazione, l’organizzazione deve nominare un Responsabile della Protezione dei Dati. Una volta nominato, il Responsabile della Protezione dei Dati ha la responsabilità di consultare la società sulla conformità ai requisiti del GDPR dell’UE.

    Vedi anche: Il ruolo del Responsabile della Protezione dei Dati alla luce del regolamento Generale sulla Protezione dei Dati.

    10) Consapevolezza e formazione

    Le organizzazioni devono creare consapevolezza tra i dipendenti sui principali requisiti del GDPR, e condurre corsi di formazione regolari per garantire che i dipendenti rimangano consapevoli delle proprie responsabilità in merito alla protezione dei dati personali e all’identificazione delle violazioni dei dati personali nel più breve tempo possibile.

    Conclusione: i principi del GDPR sono fondamentali per comprendere il GDPR

    Per concludere, esiste un numero significativo di requisiti relativi al GDPR dell’UE. È importante comprendere tali requisiti e le loro implicazioni per la tua azienda e implementarli nel contesto della tua azienda. Tale implementazione richiede uno sforzo dedicato, equivalente a quello necessario per sviluppare un progetto.

    Per scoprire come essere conformi in modo ottimale a questo regolamento, puoi scaricare questo Diagramma del processo di implementazione del GDPR dell’UE.


    1) Si utilizza qui e di seguito il termine non ufficiale “Controllore” al posto del termine uffficiale “Titolare del trattamento” come riportato nel testo dell’UE.

    Advisera Punit Bhatia
    Autore
    Punit Bhatia
    Punit Bhatia is a senior professional with more than 18 years of experience in executing change and leading transformation initiatives. Across three continents, Punit has led projects and programs of varying complexity in business and technology. He has experience on both sides of the table in a variety of industries, serving as a consultant who worked for IT consulting companies, and as a key influencer and driver who has defined and delivered change for large enterprises.