Il RGPD è un regolamento europeo adottato il 27 aprile 2016 ed entrato in vigore il 25 maggio 2018. È oggetto di chiarimenti tramite linee guida interpretative e decisioni della Corte di giustizia dell'Unione europea.
Persegue tre obiettivi principali: rafforzare i diritti delle persone sui propri dati personali, responsabilizzare i titolari del trattamento e i loro subappaltatori e armonizzare le norme per promuovere un mercato unico digitale dei dati.
Il RGPD si applica al trattamento dei dati personali, ovvero a qualsiasi operazione relativa alle informazioni riguardanti una persona fisica identificata o identificabile.
Si applica agli operatori con sede nell'Unione europea, indipendentemente dal luogo di trattamento, nonché agli operatori non residenti nell'UE quando si rivolgono a persone che si trovano nel territorio dell'Unione europea.
| COME ESSERE CONFORMI | |
|---|---|
| Legalità, correttezza, trasparenza | Ogni trattamento deve essere giustificato da una base giuridica chiara (ad es. consenso, contratto, obbligo legale, interesse legittimo). Gli interessati devono essere informati in modo chiaro, completo e comprensibile. |
| Maggiore responsabilizzazione degli attori | I responsabili del trattamento e i loro subappaltatori devono attuare un approccio proattivo alla conformità («accountability»), ad esempio: tenere un registro dei trattamenti, effettuare analisi d'impatto sulla privacy (AIPD) nei casi a rischio, designare un DPO in determinati casi, attuare misure tecniche e organizzative adeguate per garantire la riservatezza, l'integrità e la disponibilità dei dati. |
| Diritti delle persone rafforzati | Diritto di accesso, rettifica, cancellazione, opposizione, portabilità, limitazione del trattamento e diritto di non essere oggetto di una decisione automatizzata. |
| Autorità di protezione dei dati (APD) | In Francia, è la Commissione nazionale per l'informatica e le libertà (CNIL). Ha il compito di controllare la conformità, informare, sensibilizzare, accompagnare gli organismi nel processo di adeguamento, ricevere e trattare i reclami, sanzionare le violazioni del RGPD e partecipare alla cooperazione europea. |
| Notifica delle violazioni | Obbligo di notifica alla CNIL entro 72 ore in caso di violazione dei dati personali e alle persone interessate se il rischio è elevato. |
Il GDPR ha rappresentato una svolta fondamentale per la protezione dei dati, introducendo il principio della responsabilità. Ora ogni trattamento deve essere giustificato, documentato e controllato. Questo requisito di rigore ha reso il regolamento uno standard di riferimento a livello internazionale.
La proposta di regolamento “Digital Omnibus” potrebbe comportare adeguamenti del GDPR, in particolare chiarendo alcune definizioni, riducendo gli obblighi per i piccoli operatori e facilitando l'utilizzo dei dati per l'intelligenza artificiale e la ricerca scientifica. Si tratta tuttavia solo di ipotesi potenziali, in attesa di una formale adozione da parte delle istituzioni dell'UE.