Get 4 FREE months of Conformio to implement ISO 27001

Un riassunto dei 10 requisiti chiave del GDPR

Il Regolamento Generale sulla Protezione dei Dati dell’Unione europea (GDPR) è un insieme di regole su come le aziende debbano trattare i dati personali degli interessati. Il GDPR definisce le responsabilità delle organizzazioni per garantire la privacy e la protezione dei dati personali, fornisce agli interessati determinati diritti e assegna poteri ai regolatori per chiedere dimostrazioni di responsabilità o persino imporre sanzioni nei casi in cui un’organizzazione non rispetti i requisiti del GDPR. Comprendere i requisiti del GDPR a volte può essere un compito arduo, quindi comprendi i requisiti chiave attraverso questa sintesi del GDPR facile da seguire.

1) Trattamento lecito, equo e trasparente

Alle aziende che trattano dati personali viene richiesto di trattare i dati personali in modo lecito, equo e trasparente. Cosa significa? Cerchiamo di capirlo:

  • Lecito significa che tutti i trattamenti devono essere basati su uno scopo legittimo.
  • Equo indica che le aziende si assumono la responsabilità e non trattano i dati per scopi diversi da quelli legittimi.
  • Trasparente significa che le società devono informare gli interessati delle attività di trattamento dei loro dati personali.

2) Limitazione di scopo, dati e archiviazione

Ci si aspetta che le aziende limitino il trattamento, raccolgano solo i dati necessari e non conservino i dati personali una volta completato lo scopo del trattamento. Ciò comporta soddisfare i seguenti requisiti:

  • vietare il trattamento di dati personali al di fuori degli scopi legittimi per i quali tali dati personali sono stati raccolti
  • imporre che non vengano richiesti dati personali diversi da quelli necessari
  • chiedere che i dati personali siano cancellati una volta raggiunto lo scopo legittimo per il quale sono stati raccolti

Un riassunto dei 10 requisiti chiave del GDPR - Advisera

3) I Diritti degli interessati

Agli interessati è stato dato il diritto di chiedere all’azienda quali informazioni questa abbia su di loro e cosa faccia con queste informazioni. Inoltre, l’interessato ha il diritto di chiederne la rettifica, opporsi al trattamento, presentare un reclamo o anche chiedere la cancellazione o il trasferimento dei propri dati personali.

Vedi anche: Gli 8 diritti degli interessati secondo il GDPR.

4) Il Consenso

Se e quando la società intende trattare i dati personali oltre allo scopo legittimo per cui sono stati raccolti tali dati, è necessario che sia richiesto un consenso chiaro ed esplicito all’interessato. Una volta raccolto, questo consenso deve essere documentato e l’interessato è autorizzato a ritirare il proprio consenso in qualsiasi momento.

Inoltre, per il trattamento dei dati dei minori, il GDPR richiede il consenso esplicito dei genitori (o tutori) se l’età del minore è inferiore ai 16 anni.

Vedi anche: È necessario il consenso? Sei basi giuridiche per il trattamento dei dati in conformità con il GDPR.

5) Violazioni dei dati personali

Le organizzazioni devono mantenere un Registro delle Violazioni dei Dati Personali e, in base alla gravità, il regolatore e l’interessato devono essere informati entro 72 ore dall’identificazione della violazione.

Vedi anche: 5 fasi per gestire una violazione dei dati secondo il GDPR.

6) Privacy by design

Le aziende devono incorporare meccanismi organizzativi e tecnici per proteggere i dati personali nella progettazione di nuovi sistemi e processi; cioè, gli aspetti relativi alla privacy e alla protezione dei dati devono garantiti per default.

Vedi anche: How cybersecurity solutions can help with GDPR compliance.

7) La Valutazione dell’Impatto sulla Protezione dei Dati

Per valutare l’impatto di cambiamenti o azioni nuove, è necessario condurre una Valutazione dell’Impatto sulla Protezione dei Dati quando si avvia un nuovo progetto, cambiamento o prodotto. La Valutazione dell’Impatto sulla Protezione dei Dati è una procedura che deve essere eseguita quando viene introdotta una modifica significativa nel trattamento dei dati personali. Questa modifica potrebbe essere un nuovo processo o una modifica a un processo esistente che altera il modo in cui i dati personali vengono trattati.

Vedi anche: Le 5 fasi della Valutazione d’Impatto sulla Protezione dei Dati del GDPR dell’UE.

8) Trasferimenti di dati

Il controllore1) dei dati personali ha la responsabilità di garantire che i dati personali siano protetti e che i requisiti GDPR siano rispettati, anche se il trattamento viene eseguito da una terza parte. Ciò significa che i controllori hanno l’obbligo di garantire la protezione e la riservatezza dei dati personali quando tali dati vengono trasferiti all’esterno della società, a una terza parte e / o un’altra funzione all’interno della stessa società.

Vedi anche: Implementing 3 main accountability principles under the EU GDPR.

9) Il Responsabile della Protezione dei Dati

In caso di trattamento significativo di dati personali all’interno di un’organizzazione, l’organizzazione deve nominare un Responsabile della Protezione dei Dati. Una volta nominato, il Responsabile della Protezione dei Dati ha la responsabilità di consultare la società sulla conformità ai requisiti del GDPR dell’UE.

Vedi anche: Il ruolo del Responsabile della Protezione dei Dati alla luce del regolamento Generale sulla Protezione dei Dati.

10) Consapevolezza e formazione

Le organizzazioni devono creare consapevolezza tra i dipendenti sui principali requisiti del GDPR, e condurre corsi di formazione regolari per garantire che i dipendenti rimangano consapevoli delle proprie responsabilità in merito alla protezione dei dati personali e all’identificazione delle violazioni dei dati personali nel più breve tempo possibile.

Conclusione: i principi del GDPR sono fondamentali per comprendere il GDPR

Per concludere, esiste un numero significativo di requisiti relativi al GDPR dell’UE. È importante comprendere tali requisiti e le loro implicazioni per la tua azienda e implementarli nel contesto della tua azienda. Tale implementazione richiede uno sforzo dedicato, equivalente a quello necessario per sviluppare un progetto.

Per scoprire come essere conformi in modo ottimale a questo regolamento, puoi scaricare questo Diagramma del processo di implementazione del GDPR dell’UE.


1) Si utilizza qui e di seguito il termine non ufficiale “Controllore” al posto del termine uffficiale “Titolare del trattamento” come riportato nel testo dell’UE.

Advisera Punit Bhatia

Punit Bhatia

Punit Bhatia is a senior professional with more than 18 years of experience in executing change and leading transformation initiatives. Across three continents, Punit has led projects and programs of varying complexity in business and technology. He has experience on both sides of the table in a variety of industries, serving as a consultant who worked for IT consulting companies, and as a key influencer and driver who has defined and delivered change for large enterprises.
Leggi altri articoli di Punit Bhatia