Nella giornata di ieri, abbiamo pubblicato un articolo sul secondo anniversario dall’introduzione del GDPR. A distanza di due anni ci siamo chiesti se il Regolamento generale sulla protezione dei dati avesse avuto riflessi negativi nelle strategie di Digital Marketing.

Ci siamo quindi preoccupati di pubblicare un nuovo articolo che elencasse le principali tappe  e principi che hanno portato alla nascita e applicazione del GDPR. 

Cos’è il GDPR?

La Direttiva 2016/679, nota come Direttiva sulla protezione dei dati personali ha iniziato il suo processo legislativo al Parlamento europeo nell’ottobre 1995. L’obiettivo dell’iter era di regolamentare la raccolta dei dati personali e il libero flusso di tali dati all’interno dell’UE.

Secondo la direttiva, gli Stati membri devono tutelare i diritti e le libertà fondamentali delle persone fisiche. In particolare il loro diritto alla privacy nel trattamento dei dati personali.

Gli Stati membri non devono inoltre imporre restrizioni o divieti alla libera circolazione dei dati personali tra di loro.

I principi della direttiva sulla sicurezza dei dati sono stati concepiti per proteggere i diritti umani e le libertà nel trattamento dei dati personali.

A causa della complessità di questo argomento, il processo legislativo ha richiesto più di vent’anni. Di fatto, il Regolamento generale sulla protezione dei dati (GDPR) è stato pubblicato nel marzo aprile 2016 ed è entrato in vigore il 25 maggio 2018, sostituendo la precedente direttiva sulla protezione dei dati 95/46/CE.

I principali principi del GDPR

Esistono sei principali standard di protezione dei dati che possiamo ricapitolare per semplificare la comprensione delle diverse disposizioni del Regolamento:

  • Liceità, correttezza e trasparenza: le imprese devono garantire che le loro attività di trattamento dei dati non violino la normativa e che nulla sia nascosto agli interessati.
  • Limitazione dello scopo: l’azienda può raccogliere dati personali solo per un motivo particolare, dichiarare tale scopo in modo esplicito e raccogliere dati solo per il tempo richiesto da tale scopo.
  • Minimizzazione dei dati: le aziende devono anche gestire i dati personali necessari per raggiungere i propri obiettivi di trattamento.
  • Accuratezza: la sicurezza dei dati dipende dall’accuratezza delle informazioni personali. Secondo il GDPR, deve essere adottata “qualsiasi misura razionale” per eliminare o correggere dati errati o mancanti.
  • Limitazione dell’archiviazione: quando i dati personali non sono più necessari, le organizzazioni devono rimuoverli.
  • Integrità e riservatezza: secondo il GDPR, i dati personali devono essere trattati in modo da garantire un’adeguata sicurezza, compresa la protezione da trattamenti non autorizzati o illeciti, nonché da perdite accidentali, degrado o danni, attraverso l’uso di misure tecnologiche o organizzative appropriate.

Le sanzioni previste dal Regolamento generale sulla protezione dei dati

Le organizzazioni devono inoltre prestare particolare attenzione all’applicazione del GDPR se non vogliono incorrere in multe. In effetti, le sanzioni GDPR hanno lo scopo di rendere la non conformità un errore costoso sia per le grandi che per le piccole imprese.

Esistono due tipi di sanzioni GDPR: infrazioni minori e infrazioni maggiori.

  • Le Infrazioni meno gravi potrebbero comportare una multa fino a 10 milioni di euro, o il 2% delle vendite operative globali dell’azienda rispetto all’anno finanziario precedente, qualunque sia il maggiore.
  • Le infrazioni più gravi potrebbero comportare una multa fino a 20 milioni di euro, o il 4% delle vendite operative globali della società rispetto all’anno finanziario precedente, a seconda di quale sia maggiore.

Per approfondimenti What are the GDPR Fines?