Il Regolamento Generale sulla Protezione dei Dati (GDPR) \u00e8 senza dubbio uno degli esempi pi\u00f9 noti e di maggiore influenza tra le leggi sulla protezione dei dati a livello mondiale. Esso continua ad esercitare la sua influenza sulle regolamentazioni in Europa e nel resto del mondo. In Italia, rimane la normativa pi\u00f9 importante in questo ambito. <\/p>\n\n\n\n
Entrato in vigore nel 2018, il GDPR si applica a tutti i 27 Paesi membri dell\u2019UE e agli altri tre stati facenti parte del SEE (Spazio Economico Europeo), ossia l\u2019Islanda, il Liechtenstein e la Norvegia. Dal 2018, sono state promulgate altre normative spesso pensate per rafforzare le disposizioni del GDPR (come nel caso della Direttiva ePrivacy<\/a> o del Digital Markets Act<\/a>).<\/p>\n\n\n\n A livello internazionale, altre leggi importanti in questo ambito sono il POPIA in Sudafrica<\/a>, la LGDP in Brasile<\/a> e la LPD in Svizzera<\/a>. Tuttavia, diversamente dal GDPR che assume un carattere di extraterritorialit\u00e0, queste ultime si applicano spesso solamente al territorio di riferimento ed in maniera circoscritta.<\/p>\n\n\n\n Il Regolamento generale sulla protezione dei dati (GDPR) \u00e8 una legge sulla privacy che mira a tutelare la protezione dei dati degli utenti dell\u2019UE e del SEE. Il GDPR \u00e8, dunque, un regolamento vasto e dettagliato, incentrato sul diritto alla privacy dei cittadini dell\u2019UE e sulla salvaguardia dei loro dati personali che vengono raccolti o processati.<\/p>\n\n\n\n Il GDPR ha sostituito la Direttiva sulla protezione dei dati del 1995<\/a>, che diede origine a leggi a protezione della privacy su base nazionale. Ci\u00f2 risult\u00f2 in un insieme di regolamentazioni europee dal carattere poco coeso. Pertanto, il GDPR si pose l\u2019obiettivo di offrire un\u2019unica cornice interpretativa valida per tutti gli Stati membri. <\/p>\n\n\n\n L\u2019intensa regolamentazione del GDPR richiede l\u2019applicazione di sette principi sulla protezione dei dati e facilita otto diritti sulla privacy dei consumatori. Gli Stati membri dispongono di organismi interni per far valere l\u2019applicazione del GDPR; dunque, questo non \u00e8 regolato da un’autorit\u00e0 centrale. In Italia, il Garante italiano per la privacy ha lo scopo di supervisionare che vengano applicati i principi e i requisiti del GDPR. <\/p>\n\n\n\n Come riportato nell\u2019articolo 3<\/a>, il GDPR si applica alle organizzazioni che processano i dati personali nel territorio dell\u2019UE, \u201cindipendentemente dal fatto che il trattamento sia effettuato o meno nell\u2019Unione\u201d. Inoltre, vige il principio per cui non vi \u00e8 l\u2019obbligo per la societ\u00e0 di risiedere nel territorio dell\u2019UE.<\/p>\n\n\n\n Dunque, una societ\u00e0 con sede negli USA che raccoglie e tratta i dati dei cittadini UE per via digitale (senza dunque disporre di una sede fisica nell\u2019UE) \u00e8 ugualmente tenuta a rispettare il GDPR. <\/p>\n\n\n\n Inoltre, il considerando 25<\/a> stabilisce che: <\/p>\n\n\n L\u2019articolo 4 del GDPR<\/a> fornisce una lista completa di definizioni che spiegano i termini importanti usati nella regolamentazione stessa. Per aiutare le organizzazioni e i singoli individui a comprendere il GDPR cos\u2019\u00e8 e i suoi requisiti, abbiamo di seguito incluso alcune tra le definizioni pi\u00f9 rilevanti e pi\u00f9 spesso utilizzate <\/p>\n\n\n\n Il termine \u201cinformazioni personali identificabili\u201d (in inglese, Personally Identifiable Information, spesso abbreviato in \u201cPII\u201d) proviene dagli Stati Uniti e indica quelle informazioni che si possono usare, da sole o insieme ad altri dati, per identificare, contattare o localizzare una persona specifica.<\/p>\n\n\n\n Insomma, si tratta di qualsiasi informazione relativa ad \u201cuna persona fisica identificata o identificabile\u201d e di cui, attraverso i suoi dati personali, si pu\u00f2 direttamente o indirettamente risalire all\u2019identit\u00e0. I dati personali possono riguardare informazioni ovvie come nomi, numeri di carte d\u2019identit\u00e0, numeri di telefono o indirizzi email, ma anche indirizzi IP, informazioni raccolte mediante l\u2019uso di cookie come le abitudini di consumo o i comportamenti su un sito web, o informazioni personali sensibili come il genere, gli orientamenti religiosi o la vicinanza a partiti politici. <\/p>\n\n\n\n Il GDPR mira a proteggere qualunque informazione personale che possa identificare in modo chiaro e univoco una persona. Dato che queste informazioni possono ricondurre direttamente all\u2019individuo in questione, la loro protezione \u00e8 rafforzata, poich\u00e9 qualora finissero nelle mani sbagliate potrebbero comportare dei danni significativi. Il GDPR si pone l\u2019obiettivo di tutelare proprio questo tipo di informazioni altamente sensibili. <\/p>\n\n\n\n Qualunque azione eseguita sulla base di dati personali, sia essa automatizzata o manuale, \u00e8 un processamento di dati, che pu\u00f2 includere azioni quali: operazioni di \u201craccolta, registrazione, organizzazione, strutturazione, archiviazione, adattamento o alterazione, recupero, consultazione, utilizzo, diffusione mediante trasmissione, disseminazione o diffusione in pubblico, allineamento o combinazione, restrizione, cancellazione o distruzione\u201d di dati personali. <\/p>\n\n\n\n Se stai gi\u00e0 processando dei dati personali, o hai intenzione di farlo, dovrai necessariamente essere in conformit\u00e0 con i regolamenti che tutelano la privacy dei dati, in particolare il GDPR. <\/p>\n\n\n\n Il GDPR definisce come \u201cinteressato al trattamento\u201d una persona fisica i cui dati personali vengono processati da un titolare o da un responsabile del trattamento.<\/p>\n\n\n\n Per le aziende che hanno una presenza online, gli \u201cinteressati\u201d sono solitamente i visitatori di un sito web, i clienti o gli utenti dell\u2019app.<\/p>\n\n\n\n Un titolare del trattamento \u00e8 \u201cla persona fisica o giuridica, l\u2019autorit\u00e0 pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalit\u00e0 e i mezzi del trattamento di dati personali\u201d.<\/p>\n\n\n\n Solitamente il titolare del trattamento \u00e8 un\u2019azienda o un\u2019organizzazione internazionale. Inoltre, il titolare del trattamento intrattiene delle relazioni e interagisce con il responsabile del trattamento dei dati, qualora quest\u2019ultimo sia un organismo di terze parti.<\/p>\n\n\n\n Quando due o pi\u00f9 titolari del trattamento dei dati uniscono le forze e decidono le finalit\u00e0 e i mezzi con cui vengono processati i dati, individualmente o congiuntamente, essi si definiscono come \u201ccontitolari del trattamento\u201d (spesso, viene usata l\u2019espressione inglese \u201cjoint controllers\u201d).<\/p>\n\n\n\n L\u2019articolo 26 del GDPR <\/a>(l\u2019acronimo \u00e8 anche disponibile nella sua versione italiana \u201cRGPD\u201d) fornisce una spiegazione dettagliata di cos\u2019\u00e8 la contitolarit\u00e0 del trattamento e impone alle parti coinvolte di avere un accordo scritto (contrattuale) tra di loro. In questo contratto vanno specificati ruoli e responsabilit\u00e0, in particolare riguardo l\u2019esercizio dei dati degli interessati e i doveri dei contitolari al trattamento, insieme alle informazioni da dover fornire ai sensi del GDPR. <\/p>\n\n\n\n Una terza parte che processa i dati personali per conto del responsabile del trattamento dei dati \u00e8 essa stessa responsabile del trattamento. Potrebbe trattarsi di un\u2019ampia variet\u00e0 di enti, tra cui persone fisiche o giuridiche, autorit\u00e0 pubbliche, agenzie o altro ancora. <\/p>\n\n\n\n Gli impiegati e i collaboratori di un titolare del trattamento sono considerati agenti del titolare del trattamento, non responsabili di esso. I responsabili del trattamento possono essere fornitori di server basati sul cloud, partner ad tech, aziende che utilizzano tecnologie di marketing o altro ancora. <\/p>\n\n\n\n Facciamo un esempio. Il proprietario di una determinata azienda \u00e8 anche il titolare del trattamento, poich\u00e9 \u00e8 il soggetto su cui ricade la responsabilit\u00e0 legale. Il responsabile del trattamento, invece, pu\u00f2 essere il RPD (Responsabile della protezione dei dati) designato, oppure una societ\u00e0 terza ingaggiata per occuparsi del trattamento dei dati (si pu\u00f2 quindi trattare di societ\u00e0 di marketing che utilizzano ad tech come Google Ads). <\/p>\n\n\n\n L\u2019articolo 5 del GDPR delinea i principi del GDPR<\/a> a cui le organizzazioni devono risultare in conformit\u00e0 durante tutte le attivit\u00e0 di processamento dei dati personali. <\/p>\n\n\n\n Le societ\u00e0 devono avere una base giuridica legale per processare i dati personali, ad esempio attraverso il consenso dell\u2019utente e devono trattarli in modo lecito, corretto e trasparente nei confronti dell\u2019interessato. <\/p>\n\n\n\n I dati personali possono essere raccolti solo per finalit\u00e0 specifiche, esplicite e legittime. I dati personali non possono essere trattati incompatibilmente a tali finalit\u00e0. Se la finalit\u00e0 (o le finalit\u00e0) cambiano, dovr\u00e0 essere richiesto nuovamente il consenso sulla base di tali cambiamenti.<\/p>\n\n\n\n Solamente i dati personali finalizzati al raggiungimento della finalit\u00e0 del trattamento possono essere trattati. I dati vanno condivisi esclusivamente con le sole entit\u00e0 necessarie a completare il trattamento.<\/p>\n\n\n\n I dati personali vanno conservati soltanto per il tempo necessario per il raggiungimento delle finalit\u00e0 del trattamento. Una volta raggiunte queste finalit\u00e0, i dati devono essere restituiti, cancellati o resi anonimi per prevenire qualsiasi archiviazione non necessaria delle informazioni personali. Questa limitazione si applica anche ai titolari del trattamento di terze parti. <\/p>\n\n\n\n I dati personali vanno conservati soltanto per il tempo necessario per il raggiungimento delle finalit\u00e0 del trattamento. Una volta raggiunte queste finalit\u00e0, i dati devono essere restituiti, cancellati o resi anonimi per prevenire qualsiasi archiviazione non necessaria delle informazioni personali. Questa limitazione si applica anche ai titolari del trattamento di terze parti. <\/p>\n\n\n\n I dati personali devono essere corretti e aggiornati. I dati inesatti devono essere corretti o cancellati tempestivamente. Gli interessati hanno il diritto di richiedere la rettifica dei dati.<\/p>\n\n\n\n I dati personali devono essere processati in modo che ne venga garantita la sicurezza, compresa la protezione da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali. \u00c8 responsabilit\u00e0 del titolare del trattamento essere in conformit\u00e0 al GDPR. Questo deve, inoltre, poter dimostrare di rispettare tutti i principi. I responsabili del trattamento di terze parti hanno altres\u00ec responsabilit\u00e0 di conformit\u00e0 e sicurezza, ma in ultima analisi la responsabilit\u00e0 ricade sul titolare del trattamento. Avere dei contratti validi e una visione d\u2019insieme pronta all\u2019uso \u00e8 di fondamentale importanza.<\/p>\n\n\n\n L\u2019articolo 6 del GDPR<\/a> copre la \u201cliceit\u00e0 del trattamento\u201d, o la base giuridica, come spesso viene chiamata. In questo articolo vengono delineate le condizioni alle quali il trattamento dei dati da parte di un titolare si considera \u201clecito\u201d. <\/p>\n\n\n\n Sebbene il consenso dell\u2019utente sia una delle condizioni che quasi tutti conoscono, ce ne sono 6 in totale: <\/p>\n\n\n\n In passato i titolari dei dati hanno affermato che il consenso per la raccolta dei dati fosse \u201cimplicito\u201d dato il legittimo interesse che l\u2019azienda aveva riguardo l\u2019utilizzo dei dati. Tuttavia i legislatori non erano d\u2019accordo sulla legittimit\u00e0 di tale interesse, poich\u00e9 in aperto contrasto con la protezione dei dati personali.<\/p>\n\n\n\n Con il GDPR, \u00e8 diventato obbligatorio dover dimostrare alle autorit\u00e0 di aver ottenuto esplicitamente il consenso, specificando che i motivi di legittimo interesse<\/a> \u201csono stati sostituiti dagli interessi o diritti fondamentali degli interessati che richiedono la protezione dei dati personali, in particolare nel caso in cui l\u2019interessato sia un bambino\u201d.<\/p>\n\n\n\n L\u2019interesse legittimo ha subito un ridimensionamento anche con il IAB TCF v2.2<\/a>, il framework sulla Trasparenza e il Consenso in Europa. Sebbene il TCF non sia una legge, rimane comunque un quadro normativo importante a cui aderire per qualsiasi CMP di qualit\u00e0. <\/p>\n\n\n\n L\u2019interesse legittimo non pu\u00f2 pi\u00f9 essere utilizzato come base legale per la pubblicit\u00e0 mirata e i contenuti personalizzati; pertanto, ottenere il consenso esplicito rimane l\u2019unica opzione disponibile. <\/p>\n\n\n\n Determinate situazioni prevedono che, per adempiere agli obblighi contrattuali, i titolari del trattamento condividano i dati con terze parti. Ci\u00f2 riguarda per esempio gli ecommerce, che spesso collaborano con terze parti per processare i pagamenti e spedire i prodotti. <\/p>\n\n\n\n Ai sensi del GDPR, i titolari del trattamento possono condividere i dati personali con queste terze parti, in quanto il trattamento risulta \u201cnecessario per l\u2019adempimento del contratto\u201d, come stabilito dall\u2019art. 6 del GDPR. I titolari del trattamento devono assicurarsi che anche queste terze parti agiscano in conformit\u00e0 ai requisiti di protezione dei dati imposti dal GDPR. <\/p>\n\n\n\n Il considerando 32 del GDPR<\/a> definisce il consenso in questo modo:<\/p>\n\n\n Prendiamo in considerazione i siti web: questi sollecitano i consumatori online ad esprimere le proprie preferenze circa la raccolta e il trattamento dei propri dati personali attraverso i banner per i cookie, che richiedono il consenso per iscritto. <\/p>\n\n\n\n Alcuni banner per i cookie offrono l\u2019opzione di categorizzare i cookie in base alle tipologie di dati che raccolgono (marketing, analytics, statistici, e cos\u00ec via). In questo modo gli utenti possono prendere decisioni pi\u00f9 granulari riguardo come i propri dati vengono utilizzati ed opporsi ad alcune finalit\u00e0. Tuttavia, molti banner per i cookie non sono ancora in conformit\u00e0 al GDPR. <\/p>\n\n\n\n Tornando a quanto riportato nel Considerando 32 del GDPR, esso stabilisce le condizioni di validit\u00e0 del consenso e fornisce indicazioni su come descrivere con precisione le finalit\u00e0 per cui viene richiesto il consenso:<\/p>\n\n\n\n Presta attenzione ai \u201cdark patterns\u201d, o modelli di progettazione ingannevole. Si tratta di interfacce o banner per i cookie che manipolano o inducono gli utenti a fornire il consenso. Un esempio di dark pattern \u00e8 un sito che ti costringe ad accettare una richiesta o ti impedisce di usare i servizi, o anche solo accedere al contenuto. <\/p>\n\n\n\n I legislatori e gli organi di regolamentazione stanno sempre di pi\u00f9 contrastando tali attivit\u00e0 e penalizzando i siti web o app che le utilizzano. Inoltre, alcune regolamentazioni ne vietano esplicitamente l\u2019uso .<\/p>\n\n\n\n L\u2019art. 7 del GDPR<\/a> stabilisce le condizioni per il consenso di responsabilit\u00e0 del titolare del trattamento:<\/p>\n\n\n\n Il GDPR utilizza dei modelli opt in<\/em> per il consenso dell\u2019utente, il che significa che non si possono raccogliere o trattare i dati finch\u00e9 l\u2019utente (sia esso un acquirente online, un visitatore del sito web, un utente dell\u2019app, o altro ancora) dia il consenso esplicito al trattamento. Questo requisito riguarda sia i dati personali come nome e indirizzo email, ma anche i dati che possono identificare la persona, come l\u2019et\u00e0, la provenienza geografica e le abitudini di consumo. <\/p>\n\n\n\n \u00c8 importante evidenziare che ai sensi del GDPR gli utenti devono necessariamente ed esplicitamente acconsentire al trattamento dei dati prima che i servizi di raccolta delle informazioni (come i cookie) possano essere attivati, tracciando di conseguenza i loro dati . Il discorso \u00e8 diverso per i modelli di opt out.<\/em> In questi casi, non esiste l\u2019obbligo di ottenere il consenso prima di iniziare a raccogliere i dati (eccezion fatta per alcune tipologie, come per esempio nel caso di bambini o soggetti sensibili). Tuttavia, l\u2019ottenimento del consenso rimane obbligatorio prima di poter vendere o utilizzare i dati per finalit\u00e0 pubblicitarie o di profilazione. Tale modello \u00e8 in vigore in alcuni Stati degli Stati Uniti d\u2019America. In Europa, non \u00e8 cos\u00ec: il GDPR impone il modello di opt in<\/em>. Prima si ottiene il consenso e soltanto poi si pu\u00f2 cominciare a raccogliere i dati.<\/p>\n\n\n\n Il GDPR riconosce agli interessati otto diritti inclusi nel Capo 3<\/a>. Questi sono la colonna portante dei diritti dei consumatori in materia di protezione dei dati.<\/p>\n\n\n\n Ecco alcuni punti salienti che rendono il GDPR una normativa completa a cui \u00e8 talvolta difficile adeguarsi: <\/p>\n\n\n\nChe cos\u2019\u00e8 il Regolamento generale sulla protezione dei dati (GDPR)?<\/strong><\/h2>\n\n\n\n
Extraterritorialit\u00e0 del GDPR: un tema particolarmente rilevante per le aziende extra-UE<\/strong><\/h2>\n\n\n\n
Definizioni importanti che il GDPR fornisce<\/strong><\/h2>\n\n\n\n
Cos\u2019\u00e8 il GDPR: definizione di dati personali<\/h3>\n\n\n\n
Cos\u2019\u00e8 il GDPR: il processamento dei dati<\/h3>\n\n\n\n
Cos\u2019\u00e8 il GDPR: l\u2019interessato al trattamento<\/h3>\n\n\n\n
Cos\u2019\u00e8 il GDPR: il titolare del trattamento<\/h3>\n\n\n\n
Cos\u2019\u00e8 il GDPR: i contitolari del trattamento<\/h3>\n\n\n\n
Cos\u2019\u00e8 il GDPR: il responsabile del trattamento dei dati<\/h3>\n\n\n\n
Sette principi per trattare i dati in conformit\u00e0 alla legislazione vigente e al GDPR<\/h2>\n\n\n\n
1. Liceit\u00e0, correttezza e trasparenza<\/h3>\n\n\n\n
2. Limitazione della finalit\u00e0<\/h3>\n\n\n\n
3. Minimizzazione dei dati<\/h3>\n\n\n\n
4. Limiti nell\u2019archiviazione<\/h3>\n\n\n\n
4. Minimizzazione dei dati<\/h3>\n\n\n\n
5. Correttezza<\/h3>\n\n\n\n
6. Integrit\u00e0 e riservatezza (sicurezza)<\/h3>\n\n\n\n
<\/p>\n\n\n\n7. Responsabilizzazione<\/h3>\n\n\n\n
Base legale e interesse legittimo: cosa dice il GDPR a riguardo<\/strong><\/h2>\n\n\n\n
\n
Il consenso: come viene definito dal GDPR<\/h2>\n\n\n\n
\n
\n
Opt-in vs. opt-out<\/h3>\n\n\n\n
Il GDPR riassunto: privacy e diritti degli interessati<\/strong><\/h2>\n\n\n\n
\n