Cos'è il GDPR, la legge di protezione dati europea

A partire da maggio 2018, l’Unione europea (EU) ha dichiarato che tutte le aziende dell’Unione, così come quelle ce usano dati di cittadini EU, sono tenute a seguire il Regolamento generale sulla protezione dei dati. Questa legislazione è stata messa in atto per proteggere gli interessi dei dati utenti e di limitare l’uso che le aziende ne facevano senza che i consumatori ne erano al corrente o accondiscendenti. La legge mira a dare più controllo dei loro dati personali ai cittadini, mentre questi erano utilizzate dalle società che li raccoglievano, in maniera indiscriminata.

Nota Bene: questa legge si applica ai paesi dell’EU appartenenti all’area economica europea, detta EEA. La differenza tra questi due concetti consta nel fatto che le società dell’area EEA non sono necessariamente membri degli stati EU.


GDPR - Significato

Il Regolamento generale sulla protezione dei dati (General Data Protection Regulation o GDPR) è il nuovo insieme di regolamentazioni europee inerenti alla protezione dei dati personali e della privacy. Esso si compone di due parti, il GDPR e la Direttiva sulla protezione dati.

GDPR: normativa

Il GDPR rimpiazza la Direttiva sulla protezione dati 95/46/EC del 1995 affrontando il tema del trattamento delle informazioni personali identificabili dei consumatori (PII). Dalla creazione di questa direttiva, la complessità del nostro ambiente ipertecnologico si è evoluta. I dati usati dai moderni smartphone e social media non sono coperti dalla direttiva della protezione dei dati del 1995.

GDPR: a chi si applica

Il GDPR definisce l'imputabilità e la responsabilità incondizionata alle società definendo quali aziende possono e quali devono astenersi nel raccogliere i dati personali, richiedendo che la violazione dei dati sia segnalata entro le 72 ore, fissando standard di crittografia, definendo chiaramente il consenso da parte dei consumatori, stabilendo la durata del possesso dei dati da parte della società in questione e stabilendo il periodo entro il quale i dati possono restare in possesso e richiedendo la protezione dati by design e by default.


Sotto il GDPR, alcuni tipi di organizzazioni hanno l’obbligo di eleggere un Responsabile per la protezione dati. Questa figura è ritenuta responsabile della gestione dei dati presso una determinata organizzazione e funge da primo punto di contatto con l’autorità regolatrice. Questi nuovi requisiti hanno un forte impatto sul modo in cui le aziende e i consumatori comunicano tra di loro e su come i dati personali sono gestiti una volta in loro possesso.

Per i consumatori EU, il GDPR provvede al controllo dei loro dati personali. I dati considerati sotto la nuova normativa include: nomi, indirizzi IP (localizzazione), immagini, indirizzi mail, indirizzi di residenza, attività di social media, informazioni bancarie e dettagli medici. Questo regolamento concede ai consumatori il diritto di richiedere una copia dei loro dati, il diritto di rinuncia in ogni momento e il diritto di richiedere che i loro dati personali siano cancellati, anche se quest’ultimo diritto non sia un diritto universale.

Rispetto del GDPR

Il rispetto del GDPR è rinforzato dall’Unione Europea con la direttiva di protezione dati. Questa fornisce il supporto legale necessario a sostenere la riforma, garantendo che i diritti dei consumatori al controllo diretto dei loro dati personali e le loro infrazioni siano rispettate e punite, onde sia reputato necessario.

La normativa

La regolamentazione è da ritenersi applicabile ad ogni organizzazione che gestisce dati personali dei residenti EU. Questo include compagnia situate negli USA e in altri paesi fuori dall’area economica Schengen che abbiano accesso ai dati dei consumatori europei.


Il GDPR del 2018 consta di una normativa onnicomprensiva con l’obiettivo di armonizzare le regole in merito alla privacy e all’utilizzo dei dati personali in tutta l’Unione europea e allo spazio economico libero da essa costituita. Questo semplifica il panorama normativo delle aziende riducendo i costi totali inerenti alla legge di conformità. Secondo alcuni, questa regolamentazione potrebbe rendere il mercato europeo ancora più competitivo (per altri analisti, invece, questa legge potrebbe rivelarsi troppo restrittiva e mettere l’EU in una condizione economica globale retrograda rispetto al resto del mondo finanziario).

GDPR: testo ufficiale

Ecco una versione del testo ufficiale in lingua inglese.

Scadenza di implementazione

La data di scadenza per la regolamentazione entro la quale essa risulterà effettiva è il 25 maggio 2018, tuttavia alcune aziende si sono trovate nella situazione di non aver rispettato la data di scadenza a causa della vasta portata delle modifiche richieste. L’impatto della nuova normativa ha avuto un livello sostanziale sui modelli operativi di alcune società. Tra queste i giganti della tecnologia Google, Facebook e Amazon hanno dovuto affrontare vere e proprie sfide per potersi adattare alla nuova riforma.

Protezione dati in Italia

L’Italia, membro della Comunità economica europea (CEE) dal 1958 (divenuta Unione europea nel 1992 con la firma del trattato di Maastricht) e aderente alla zona economica europea, ha applicato in data 25.05.2018 il nuovo Regolamento per la protezione dei dati personali GDPR. Per ulteriori informazioni e relativi dettagli inerenti all’attuazione della normativa per la legge italiana, si rimanda al sito ufficiale del Garante della privacy italiana.

Sanzioni previste per la non conformità

La nuova regolamentazione impone multe amministrative per la non attuazione, dopo che viene emesso un primo avviso di reato. A seconda della natura dell’infrazione è possibile applicare una pena che varia dai 10 milioni di euro alla possibilità di rendere il 2% del fatturato complessivo.

GDPR per Facebook

Facebook è la prima società messa sotto esame per la sua conformità alla norma GDPR e potrebbe essere soggetta ad una multa molto alta. Facebook, come altre piattaforme di social media, come Instagram, usano il consenso preselezionato, mentre il GDPR richiede che al consumatore abbia chiara l’azione di opt-in prima di condividere i dati personali.


Facebook chiarisce che, in linea con la nuova legge, ha reso l’uso dei dati degli utenti in totale trasparenza e che ha dato loro il totale controllo di essi, in modo tale che gli utenti sappiano come l’azienda li riutilizzi. Facebook, inoltre chiarisce che la sua rappresentanti incontrino i regolatori, i responsabili di queste politi e gli esperti di privacy per garantire la conformità del GDPR e le leggi sulla privacy ad esso affini.

GDPR per Google

Google per avere un’impronta sostanziale in EU è indagato per aver infranto la normativa GDPR. Come Facebook, Google utilizza una casella di controllo di consenso preselezionato all’uso dei dati personali. Se verrà giudicato colpevole di questa non-implementazione la sua ammenda potrebbe raggiungere i 4 miliardi di euro.


Tuttavia, Google sostiene che il suo lavoro è conforme alla legge citando il processo di audit e certificazione per siti di terzi che estraggono i dati degli utenti, a mo’ d’esempio. Esso, inoltre, sostiene di mettere in pratica una certa trasparenza nei confronti degli utenti e di informare loro chiaramente sul modo in cui i dati vendono usati per gli annunci pubblicitari, in caso di violazione, Google mette in chiaro che avviserà gli utenti.

Foto: © Tatyana Merkusheva - 123RF.com
L'articolo originale è stato scritto da Daniel_CCM. Tradotto da e-claudia. Ultimo aggiornamento 11 giugno 2018 alle 08:25 da AntonelloCCM.
Il documento intitolato «Cos'è il GDPR, la legge di protezione dati europea» dal sito CCM (https://it.ccm.net/) è reso disponibile sotto i termini della licenza Creative Commons. È possibile copiare, modificare delle copie di questa pagina, nelle condizioni previste dalla licenza, finché questa nota appaia chiaramente.
Visualizzazione 3D su Google Earth
Come rilevare il proprio indirizzo IP