Era essenziale introdurre nuove leggi e l’Unione Europea ha tracciato una normativa che dà ai suoi cittadini il pieno controllo sui propri dati personali.
Il GDPR, il regolamento generale di protezione dei dati della UE, è entrato in vigore il 25 maggio 2018, sostituendo la direttiva del 1995. Da allora il mondo è cambiato in modo incredibile, soprattutto a causa della rivoluzione di Internet e dell’avvento dei social media.
Erano essenziali nuove leggi per dare ai cittadini europei pieno controllo sui propri dati personali. Il GDPR si applica automaticamente a ogni stato membro della UE oltre che dello Spazio Economico Europeo (EEA). Deve rispettarlo qualsiasi azienda o organizzazione presente in tutto il mondo che monitora il comportamento dei residenti nella UE, offre beni o servizi, gratuitamente o a pagamento, e utilizza i loro dati personali. Le imprese globali vanno incontro a severe sanzioni in caso di violazioni, per le quali possono essere multate per importi fino al 4% del loro fatturato globale o fino a 20 milioni di euro.
Il GDPR definisce come dati personali qualsiasi informazione relativa a una persona o che può essere utilizzata per identificarla. I dati includono nome, foto, indirizzo email, coordinate bancarie, aggiornamenti sui social network, dettagli sulla localizzazione, informazioni sulla salute, e anche l’indirizzo IP del computer. La norma si riferisce alla singola persona indipendentemente dal ruolo pubblico o privato. I dati personali sensibili comprendono ad esempio la fede religiosa, le origini razziali o etniche, l’orientamento sessuale o l’appartenenza a un sindacato e sono soggetti a norme più stringenti e protezioni aggiuntive.
Devono quindi rispettarla anche le aziende attive su mercati B2B, che prevedono l’interazione e la condivisione tra individui di informazioni su e tra loro.
I sette principi del GDPR
- Liceità, equità e trasparenza – i dati personali devono essere trattati in modo lecito, equo e trasparente in relazione all’individuo.
- Limitazione di scopo - i dati personali devono essere raccolti per uno scopo specifico, esplicito e legittimo.
- Minimizzazione dei dati – I dati personali trattati devono essere adeguati, rilevanti e limitati al necessario.
- Accuratezza – Gli individui hanno il diritto di richiedere che i dati siano cancellati o rettificati se sono inaccurati o incompleti
- Limitazione della conservazione – i dati personali devono essere cancellati quando lo scopo dell’utilizzo è stato raggiunto.
- Integrità e confidenzialità (sicurezza) – i dati personali devono essere protetti da trattamenti illegali o non autorizzati, perdita accidentale, distruzione e danni.
- Assunzione di responsabilità – le aziende devono dimostrare di mantenere la registrazione dei dati in modo accurato.
La raccolta dati, la perdita di privacy e il rischio per la sicurezza sono temi all’ordine del giorno in tutto il mondo e il GDPR rappresenta attualmente il più solido regime di protezione al mondo, marcando il ‘gold standard’ per le altre giurisdizioni.
Hanno adottato legislazioni paragonabili Paesi come Brasile, Australia, Giappone, Corea del Sud e Tailandia. Negli USA, il California Consumer Privacy Act (CCPA) è la più severa legge sulla privacy in vigore, ma non è stata implementata alcuna legge valida a livello federale e applicabile a tutti i settori. È possibile consultare un confronto tra le leggi di protezione dei dati nel mondo qui: https://www.dlapiperdataprotection.com/