LA SICUREZZA DELLE APPLICAZIONI WEB NELL'ERA DELLA DIGITAL TRANSFORMATION.

LA GDPR PER I SITI WEB

Cos'è la GDPR e cosa comporta per i siti web?

La GDPR (General Data Protection Regulation) è una legge europea che regolamenta il trattamento dei dati personali, in tutte le sue forme. È stata approvata e adottata dal Parlamento Europeo nell'aprile del 2016 ed è entrata in vigore il 25 maggio 2018. 

La GDPR è stata emanata con i seguenti scopi:

  • Armonizzare la legge sulla protezione dei dati in tutti i paesi dell'UE

  • Proteggere e rafforzare la privacy dei dati di tutti i cittadini dell'UE

  • Migliorare il modo in cui le aziende gestiscono i dati personali


La legge si applica oltre che alle aziende con sede in UE anche a tutte quelle che acquisicono e gesticono i dati personali di soggetti residenti nella UE.


— DATI PERSONALI E DATI SENSIBILI

La GDPR amplia la definizione di "Dati Personali" aggiornandoli agli stili di vita moderni e al cambiamento tecnologico.

In linea generale per Dati Personali si intendono tutte quelle informazioni che possono aiutare direttamente o indirettamente ad identificare una persona. In riferimento all'identificazione online viene estesa la privacy ad informazioni digitali come l'indirizzo IP, ai cookies o ai numeri idenficiativi dei dispositivi mobile.

Alcune informazioni sensibili godono di maggior protezione. Con la GDPR per ottenere e gestire i Dati Sensibili di una persona è necessario un esplicito consenso da parte del soggetto interessato.

 

Personal data

Sensitive personal data

  • Nome
  • Indirizzo
  • Numeri e codici identificativi
  • Indirizzo IP
  • Cookie data
  • RFID tag
  • Dati sulla saluti
  • Dati genetici e biometrici
  • Razza o Origine etnica
  • Orientamento politico
  • Preferenze sessuali
  • Adesioni sindacali


— TITOLARE DEL TRATTAMENTO VS RESPONSABILE DEL TRATTAMENTO

In ottemperanza al GDPR le organizzazioni devono innanzitutto comprendere la differenza tra il "Titolare del trattamento" e il "Responsabile del trattamento". In base alla categoria di appartenenza di un'organizzazione, la GDPR stabilisce obblighi e limiti precisi sull'utilizzo dei dati personali e i loro responsabili ovvero:

Titolare del trattamento - "persona fisica o giuridica, autorità pubblica, agenzia o altro ente che, da solo o congiuntamente con altri, determina le finalità e le modalità del trattamento dei dati personali". 

Responsabile del trattamento - "persona fisica o giuridica, autorità pubblica, agenzia o altro ente che elabora i dati personali per conto del responsabile del trattamento" .

È importante sottolineare che il responsabile del trattamento dei dati non controlla i dati ed è limitato all'elaborazione dei dati secondo le istruzioni e le finalità fornite dal responsabile del trattamento.
Una raccomandazione comune nel trattamento dei dati è quella di assicurarsi che ci sia un accordo di elaborazione dei dati chiaro e specifico prima di consegnare il trattamento a terzi.

 

— DIRITTI PREVISTI DAL GDPR

La GDPR prevede per i cittadini europei otto diritti fondamentali:

  1. Diritto di essere informato. Questo diritto prevede che i soggetti possano chiedere ad un'organizzazione di conoscere di quali informazioni personali sono in possesso e il loro scopo
  2. Diritto di accesso. I soggetti hanno diritto di vedere o visualizzare i propri dati personali ed eventualmente chiedere copia di essi
  3. Diritto di rettifica. Le organizzazioni devono modificare le informazioni errate o incomplete quando richiesto da un cliente, in modo tempestivo
  4. Diritto all'oblio. Si applica generalmente alle situazioni in cui è terminata una relazione con il cliente. Le organizzazioni devono soddisfare le richieste dei clienti di eliminare le loro informazioni personali da tutti i sistemi. È importante notare che questo non è un diritto assoluto e dipende dal programma di conservazione e dal periodo di conservazione in linea con le altre leggi applicabili
  5. Diritto di limitare il trattamento dei propri dati personali. Le persone possono impedire l'uso dei propri dati per un determinato scopo o funzione.
  6. Diritto alla portabilità dei dati. Le persone possono richiedere che i loro dati vengano condivisi tra altre società. Nel fare ciò, i loro dati personali devono essere forniti o trasferiti gratuitamente, in un formato elettronico leggibile dalla macchina comunemente usato e nel periodo di un mese.
  7. Diritto di opposizione. Gli individui possono opporsi all'utilizzo dei propri dati per un motivo particolare e possono revocare il consenso precedente.
  8. Diritto di opporsi al trattamento automatizzato. I cittadini dell'UE hanno la possibilità di opporsi a una decisione basata sul trattamento automatizzato. Ad esempio, in una situazione in cui una banca ha rifiutato di fornire un mutuo al proprio cliente, potrebbe chiedere di rivedere nuovamente la sua richiesta manualmente (poiché l'elaborazione automatizzata potrebbe non considerare tutti gli aspetti).


— IL RESPONSABILE DELLA PROTEZIONE DEI DATI (DPO)

Il GDPR introduce l'obbligo per le aziende di nominare un responsabile della protezione dei dati (DPO) se sono:

  • autorità o enti pubblici,
  • organizzazioni impegnate nel monitoraggio sistematico su larga scala, o
  • società che trattano dati personali sensibili.

Se un'organizzazione non rientra in una di queste categorie, non è necessario nominare un responsabile della protezione dei dati.

I DPO assistono nel monitoraggio della conformità interna, informano e forniscono consulenza sugli obblighi in materia di protezione dei dati, forniscono consulenza in merito alle valutazioni di impatto sulla protezione dei dati (DPIA) e fungono da punto di contatto per gli interessati e l'autorità di controllo.

Un DPO può essere un dipendente della società o un soggetto nominato esternamente, deve essere indipendente, un esperto in protezione dei dati e riferire all'alta direzione.
 

— SANZIONI IN CASO DI GDPR NON-COMPLIANCE

L'art. 83 definisce le sanzioni per aìinadempienza che possono essere:

  • fino a € 20 milioni
  • fino al 4% del fatturato globale

Le sanzioni per violazione del GDPR possono essere dure in quanto le organizzazioni possono essere multate fino al 4% del fatturato globale annuo per violazione della legge GDPR o 20 milioni di euro, a seconda di quale sia maggiore. Questa è la sanzione massima che può essere imposta per le infrazioni più gravi e in senso generale è l'ammenda è sempre proporzionata alla gravità della violazione.

 

Ogni giorno, senza saperlo, hai un contatto
diretto con il risultato del nostro lavoro


Exetera è partner digitale di aziende che fanno parte della tua vita quotidiana. Scopri i clienti che hanno già scelto Exetera.
 

say hello
inviaci la tua richiesta