DATI PERSONALI

GDPR: General Data Protection Regulation

Il GDPR è l’acronimo di General Data Protection Regulation, ovvero è il Regolamento Generale sulla Protezione dei Dati personali. È entrato in vigore nel 2016, è pienamente operativo dal 25 maggio 2018 e coinvolge tutte le imprese UE e quelle, anche non dell’unione che trattano informazioni personali di cittadini europei.

Il Regolamento si pone obiettivi ambiziosi:

  1. Armonizzare le norme sulla protezione dei dati in tutta Europa.
  2. Potenziare la responsabilità delle imprese promuovendo l’autocontrollo.
  3. Rinforzare i diritti delle persone, tra cui il diritto di accesso, il diritto all’oblio e il diritto alla portabilità, tra gli altri.

In questa analisi introduttiva al GDPR, esamineremo gli aspetti fondamentali, definiremo il suo campo di applicazione e analizzeremo le numerose modifiche introdotte da questo regolamento europeo rispetto alla legge sulla tutela dei dati personali.

Globalcom ti supporta nell’adempiere alle normative del GDPR.

La Tua Guida per la Conformità al GDPR

Il GDPR è sempre stato un argomento di discussione importante per le aziende di tutte le dimensioni, ma ora, più che mai, è fondamentale agire e mettersi in regola. L’autorità di controllo non mostra più la stessa tolleranza che aveva all’inizio dell’entrata in vigore del regolamento. Già molte sanzioni sono state comminate per violazione della privacy, alcune delle quali hanno fatto scalpore sui media.

Non dimentichiamoci che le nuove disposizioni del GDPR non riguardano solo le grandi aziende, ma coinvolgono tutte le aziende che trattano dati personali. Le PMI ne sono coinvolte. Le microimprese ne sono coinvolte.

I nostri consulenti esperti nella protezione dei dati personali hanno guidato diverse organizzazioni nei loro progetti di adeguamento al GDPR, sia a livello strategico, operativo che tecnico. Grazie al nostro supporto continuo le aziende sono protette 24 ore su 24 e restano aggiornate sulle novità normative ed evoluzioni tecnologiche. Le assistiamo in ogni fase del loro progetto con la nostra consulenza privacy:

1. Definizione dell’ambito di applicazione del GDPR
Prima di tutto, è fondamentale stabilire quali parti del tuo business sono soggette al GDPR. Non tutti i dati e processi aziendali potrebbero rientrare nell’ambito del regolamento.

2. Mappatura delle attività e dei trattamenti
È essenziale capire quali sono le attività che vengono svolte, quali sono i trattamenti in atto e come vengono trattati i dati personali. Questo permetterà di individuare le aree che necessitano di adeguamenti per essere conformi al GDPR.

3. Priorità e Pianificazione delle Attività
La pianificazione è cruciale per raggiungere la conformità. Identifica quali azioni sono necessarie e stabilisci un piano dettagliato per implementarle.

4. Fase di Implementazione Graduale
Non cercare di risolvere tutto in una volta. La conformità al GDPR è un processo complesso, quindi è meglio affrontare gli aspetti prioritari uno alla volta.

Oggi, alcune delle domande più frequenti che riceviamo dai nostri clienti riguardano argomenti importanti che trovi di seguito.

La Trasparenza e il consenso

La trasparenza è al centro del GDPR e ciò su cui si basa la fiducia delle persone nelle organizzazioni. Con la vigente normativa il consenso diventa residuale a meno che non si intenda trattare i dati per finalità ulteriori e diverse rispetto a quelle iniziali. Anche se il consenso è quasi scomparso rimane l’obbligo di informare le persone relativamente al trattamento dei loro dati che viene effettuato dal titolare ed è anche obbligatorio dimostrare che l’informativa sia stata vista dagli interessati.

L’Esercizio dei Diritti

Il GDPR ha ampliato il campo dei diritti delle persone rispetto ai loro dati personali e ne ha istituiti di nuovi. Diritto di accesso, diritto all’oblio, diritto alla limitazione del trattamento, diritto alla portabilità dei dati, diritto opposizione, diritto di non essere sottoposto ad un processo decisionale automatizzato.

Sicurezza dei Dati

Affianchiamo le organizzazioni a governare il trattamento dei dati, analizzarne i rischi e a identificare le misure di sicurezza e mitigazione idonee a mitigare i rischi identificati. Per fare ciò effettuiamo audit di sicurezza, verifiche sull’applicazione di crittografia e pseudonimizzazione, vulnerability assessment e penetration test. Inoltre, aiutiamo nella definizione e nella documentazione delle procedure da seguire in caso di violazione dei dati.

Documentazione dei Trattamenti

Aiutiamo le aziende a creare la documentazione richiesta, come il registro dei trattamenti del titolare e il registro dei trattamenti del responsabile.

Offriamo soluzioni personalizzate. Adattiamo la nostra metodologia alle esigenze specifiche di ciascun cliente. Lavoriamo sia con aziende B2B che B2C.

Per saperne di più sulle nostre offerte di consulenza o semplicemente per parlare con i nostri esperti riguardo alle tue esigenze in materia di GDPR, non esitare a contattarci.

Definizione e Campo di Applicazione del GDPR

Il GDPR (General Data Protection Regulation), rappresenta il riferimento principale per la tutela dei dati personali in Europa. Il Regolamento è stato pubblicato il 27 aprile 2016, dopo un lungo processo di elaborazione. La versione definitiva del testo, che conta più di 99 articoli e 173 considerando ed è consultabile a questo indirizzo (Testo GDPR).

Il GDPR è però diventato operativo solo dal 25 maggio 2018. Poiché si tratta di un Regolamento Europeo e non di una direttiva, è entrato in vigore in modo immediato e uniforme in tutti gli Stati membri dell’Unione Europea, senza necessità di adattamenti legislativi per la quasi totalità delle sue previsioni.

Il Regolamento ha abrogato la direttiva 95/46/CE del 1995, che ha costituito la base della legislazione in materia di protezione dei dati personali. Tuttavia, è evidente che dal 1995 il panorama tecnologico e digitale è notevolmente cambiato. Il GDPR è stato creato proprio per adeguare e modernizzare il quadro giuridico relativo alla tutela dei dati. Nel complesso, il GDPR mira a “ripristinare il controllo dei cittadini sui propri dati personali, semplificando al contempo il contesto regolamentare per le imprese”.

Il GDPR è un regolamento completo che richiede un’attenta valutazione delle politiche aziendali e un impegno costante nella protezione dei dati personali. La sua applicazione ha profondamente influenzato le pratiche commerciali e la gestione delle informazioni in tutta Europa. È essenziale che le aziende si adeguino pienamente al GDPR per evitare sanzioni e proteggere la privacy dei cittadini.

Chi è soggetto al GDPR?

Il Regolamento Generale sulla Protezione dei Dati (GDPR) è una normativa europea che si applica a una vasta gamma di aziende, sia pubbliche che private, all’interno dei 27 Stati membri dell’Unione europea. Ecco un’analisi dettagliata delle categorie di aziende interessate dal GDPR.

1. Imprese che offrono beni e servizi nell’UE

Il GDPR si applica in modo diretto a tutte le imprese che operano sul mercato dell’Unione europea. Questo significa che qualsiasi azienda, indipendentemente dalla sua sede principale, è tenuta a conformarsi alle disposizioni del GDPR se sta offrendo beni o servizi ai cittadini europei.

2. Aziende che raccolgono e trattano dati personali dei residenti UE

Un altro criterio fondamentale per determinare l’applicabilità del GDPR è la raccolta e il trattamento dei dati personali dei residenti dell’Unione europea. Le aziende che acquisiscono, memorizzano o elaborano informazioni personali di individui all’interno dell’UE devono rispettare le regole del GDPR.

 

3. Aziende fuori dall’UE che trattano dati personali dei residenti UE

È importante notare che il GDPR non si limita a interessare solo le aziende con sede nell’Unione europea. Anche le aziende al di fuori dell’UE devono conformarsi alle disposizioni del GDPR se raccolgono e trattano dati personali di residenti dell’Unione europea.

Ambito di applicazione del GDPR

Il GDPR disciplina il trattamento dei dati personali, sia esso automatizzato o manuale. Lo scopo principale del GDPR è rafforzare le regole relative alla raccolta e all’uso dei dati personali. Il regolamento fornisce una definizione precisa di “dati personali”, che comprende qualsiasi informazione relativa a una persona fisica identificata o identificabile, direttamente o indirettamente.

Una persona fisica identificabile è definita come “una persona che può essere identificata, direttamente o indirettamente, attraverso un identificativo come il nome, un numero di identificazione, dati di localizzazione, un identificatore online o uno o più elementi specifici relativi alla sua identità fisica, fisiologica, genetica, psicologica, economica, culturale o sociale”.

Il GDPR si concentra esclusivamente sulla protezione dei dati personali relativi alle persone fisiche e non si applica alle informazioni riguardanti persone giuridiche. Tuttavia, se un’azienda raccoglie dati su rappresentanti legali di persone giuridiche, il GDPR sarà applicabile.

Per essere più chiari, la raccolta di dati su rappresentanti legali di un’azienda, ad esempio tramite biglietti da visita, rientra nell’ambito di applicazione del GDPR. D’altra parte, la raccolta di informazioni sull’azienda stessa, come la ragione sociale, l’oggetto sociale e il numero di partita IVA, non è soggetta al GDPR.

Il termine “trattamento dei dati” ai sensi del GDPR comprende la raccolta, l’accesso, la memorizzazione, la manipolazione, la distruzione e la consultazione a distanza dei dati. In pratica, qualsiasi azienda che affidi a terzi la raccolta e la memorizzazione dei dati è soggetta al GDPR quando consulta tali dati. Alla fine, la stragrande maggioranza delle aziende è coinvolta nelle disposizioni del GDPR.

I 4 principi chiave del GDPR e le relative misure

Le disposizioni del GDPR si basano su 4 principi chiave: il consenso, i diritti delle persone, la trasparenza e la responsabilità.

 

Il Consenso “si e no” nel GDPR

Il doppio binario su cui si muove il Regolamento Europeo viene spesso ignorato. Viene spesso data maggiore importanza alla protezione dei dati a discapito del libero scambio delle informazioni su cui si basa e sempre più avrà valore in futuro, l’economia. Il GDPR assegna pari dignità e valore tanto alla protezione delle persone, attraverso la protezione dei loro dati, quanto al libero scambio delle informazioni che muove l’economia globale. Sarebbe un fallimento se la protezione prevalesse sul libero flusso di informazioni o viceversa.
Pertanto il consenso non è più necessario per numerose finalità legittime sia per dati personali che i dati meglio conosciuti come sensibili che oggi appartengono a categorie particolari di dati, come ad esempio i dati sulla salute, sulle convinzioni religiose o politiche e sui reati o condanne. Tali dati, se ne ricorrono i presupposti di liceità previsti dagli articoli 6 e 9 del GDPR possono essere scambiati senza consenso dai soggetti autorizzati.
Il consenso entra in gioco quanto i dati devono essere trattati per ulteriori scopi come ad esempio la pubblicità nel campo aziendale o ad esempio la ricerca scientifica e gli studi clinici nella sanità. Negli esempi posti l’organizzazione previa opportuna informazione può chiedere il consenso di una finalità diversa per la quale inizialmente una persona si è rivolta a loro. Quindi mentre nel primo caso non è necessario dare il consenso per acquistare un bene o un servizio da un’azienda, questa deve acquisire un consenso esplicito e libero per inviare pubblicità al suo acquirente. Parimenti un’azienda sanitaria non ha bisogno del consenso per trattare i dati sulla salute di persona che si reca in clinica per un controllo o per una cura, mentre il consenso si rende necessario ad esempio per il ritiro del referto on line o per la compilazione di un questionario di gradimento dei servizi sanitari.
Parimenti sarà necessario un consenso esplicito se un’organizzazione intende trasferire i dati ad altre aziende. Ciò avviene molto spesso in modo non corretto o perlomeno non trasparente durante la navigazione su internet quando visitiamo i siti web che tentano di profilare i nostri dati per venderli ad altre aziende.
Per fare ciò lo strumento principe sono i cookies, ovvero pezzi di noi, o per meglio dire, pezzi di nostre informazioni che vengono intercettate dai siti che visitiamo e che vengono vendute ad altri siti più e più volte.
Di fatto ciò non può avvenire a nostra insaputa o per essere più chiari, non potrebbe avvenire senza un nostro consenso consapevole. Ma di fatto quando arriviamo su un sito e veniamo bloccati da un banner e “ACCETTIAMO TUTTO”, clicchiamo su “OK” o “VAI AVANTI”, stiamo di fatto acconsentendo alla vendita dei nostri dati a terzi.
Il GDPR ha introdotto importanti cambiamenti nella gestione dei cookie. Ora è richiesta la menzione di informazioni chiave, tra cui la finalità del cookie e il diritto di opposizione dell’utente. Inoltre, il consenso dell’utente per l’uso dei cookie deve essere esplicito e deve essere ottenuto prima che l’utente prosegua nella navigazione. Il banner informativo dei cookie deve rimanere visibile finché l’utente non decide di continuare la navigazione, ad esempio, aprendo una nuova pagina. Inoltre, è importante notare che nessun cookie può essere depositato se l’utente abbandona la pagina, a meno che non sia strettamente necessario per il funzionamento del sito. Questo aspetto deve essere tenuto in considerazione nei progetti di DMP (Data Management Platform) o nella condivisione dei dati dei clienti.
Il GDPR ha anche introdotto regole più rigorose per la profilazione. Sebbene la profilazione non sia proibita, è ora soggetta a una regolamentazione più severa. È necessario ottenere un consenso esplicito dalle persone tramite una casella da spuntare prima di procedere con la profilazione dell’utente. Inoltre, la profilazione è soggetta, così come ogni consenso, al diritto di opposizione dell’utente, il che significa che le persone hanno il diritto di opporsi al trattamento dei loro dati per scopi di profilazione in ogni momento. Ciò include che in caso di revoca del consenso o di opposizione al trattamento il gestore del sito deve essere in grado ed è obbligato dalla legge a comunicare tale revoca ed opposizione a tutti i soggetti a cui ha comunicato i dati ed essi sono obbligati a rispettare tali scelte delle persone.
Ma quanti siti sono progettati per rispettare tali requisiti di legge?

 

La Trasparenza nel GDPR

Il GDPR, (Regolamento Generale sulla Protezione dei Dati), ha introdotto una serie di principi fondamentali per garantire la privacy e la sicurezza dei dati personali degli individui. Tra questi principi, la trasparenza gioca un ruolo cruciale. Vediamo il significato della trasparenza nel contesto del GDPR e i diritti delle persone che ne derivano.

Il significato della trasparenza

La trasparenza è il secondo grande principio sottolineato dal GDPR. Si integra con il consenso, poiché la trasparenza è la condizione per un consenso esplicito e informato. Le aziende sono ora obbligate, fin dalla fase di raccolta, a fornire agli individui informazioni chiare e non ambigue su come verranno trattati i loro dati a prescindere che essi saranno trattati secondo una base legale o in forza di un consenso. Queste informazioni devono essere fornite in modo conciso, comprensibile e accessibile a tutti (ad esempio, nei moduli di raccolta, nei documenti contrattuali, sulla pagina del sito relativa alla “privacy”, ecc.), secondo la regola della nonna.
Ebbene si ancora una volta la nonna ha sempre ragione. Se la nonna capisce l’informativa allora essa rispetta il GDPR. Vi ho mai raccontato della sanzione comminata all’Istituto italiano Ciechi che non ha reso “visibile” l’informativa delle telecamere ai propri pazienti?

I Diritti delle Persone

1. Diritto di Accesso Facilitato

Il titolare del trattamento deve facilitare l’esercizio di questo diritto, mediante la messa a disposizione di processi e strumenti adeguati. Se l’esercizio di un diritto avviene tramite un sito web, ad esempio, è necessario prevedere una soluzione di protezione della comunicazione per trasmettere i dati in modo sicuro. In caso di richiesta di accesso da parte di un utente, l’azienda ha un mese per soddisfarla.

2. Diritto all’Oblio

Il contributo principale della normativa consiste nell’estensione delle condizioni per l’esercizio di questo diritto. Le aziende hanno ora un periodo di un mese, per cancellare i dati in seguito a una richiesta. Tutte le copie e le riproduzioni dei dati devono essere cancellate. È chiaro che ogni richiesta sarà presa in considerazione valutando se possano essere lesi altri diritti.

3. Diritto alla Limitazione del Trattamento

Questo diritto è applicabile in alcuni casi specifici e offre agli individui un maggiore controllo sulla gestione dei loro dati personali.

4. Diritto alla Portabilità dei Dati

Questo diritto consente a una persona di recuperare i dati che ha fornito in una forma facilmente riutilizzabile e, se del caso, di trasferirli a un terzo (ad esempio, in caso di cambio di fornitore di servizi).

Le aziende devono garantire i diritti delle persone attraverso l’adozione di misure, strumenti e procedure appropriate. Ciò ci porta al quarto principio del GDPR: la responsabilità.

La Responsabilità (Accountability) nel Trattamento dei Dati Personali: Il Ruolo Chiave del GDPR

Il GDPR (Regolamento Generale sulla Protezione dei Dati) è una normativa europea progettata per rendere le aziende più responsabili nel trattamento dei dati personali dei cittadini. Questo regolamento ha introdotto una serie di importanti cambiamenti nel panorama normativo relativo alla protezione dei dati personali. Vediamo come il GDPR ha influenzato la responsabilità delle aziende nel trattamento dei dati personali e quali misure le imprese devono adottare per garantire la conformità a questa legge.

 

1. Documentazione delle Misure di Sicurezza dei Dati

Una delle principali disposizioni del GDPR è l’obbligo per le aziende di documentare tutte le misure e le procedure in materia di sicurezza dei dati personali. Questo significa che le aziende devono essere in grado di dimostrare la loro conformità alla normativa in caso di controllo da parte dell’autorità competente. Per adempiere a questa richiesta, le imprese devono anche mantenere un registro dei trattamenti dei dati. Questo registro non solo consente di costituire un database dei trattamenti ma può anche essere utilizzato per centralizzare e monitorare tutte le azioni di conformità attuate dall’azienda.

 

2. Rafforzamento delle Misure di Sicurezza

Il GDPR rende le aziende pienamente responsabili della sicurezza dei dati che trattano. Di conseguenza, devono adottare misure adeguate a garantire questa sicurezza. Queste misure possono includere la pseudonimizzazione dei dati, valutazioni dell’impatto sulla protezione dei dati, test di penetrazione e altre azioni volte a proteggere le informazioni personali dei cittadini.

 

3. Privacy by Design

Un altro aspetto fondamentale del GDPR è l’enfatizzazione del principio del “Privacy by Design”. Questo significa che le aziende devono adottare misure per proteggere i diritti delle persone fin dalla fase di progettazione di un prodotto o di un servizio e durante l’intero ciclo di vita dei dati, dalla raccolta alla cancellazione. Questa proattività nella protezione dei dati è essenziale per garantire la conformità al GDPR.

4. Regolamentazione dei Subappaltatori

Le aziende spesso si affidano a subappaltatori per il trattamento dei dati personali. Il GDPR impone alle imprese di selezionare subappaltatori che offrano garanzie adeguate sulla sicurezza dei dati. In caso di violazione della sicurezza da parte del subappaltatore, sarà l’azienda cliente, cioè il responsabile del trattamento, a essere ritenuta responsabile. Pertanto, le aziende devono rivedere i contratti stipulati con i subappaltatori includendo clausole relative ai dati personali. Il GDPR istituisce un regime di corresponsabilità dei subappaltatori.

 

5. Notifica delle Violazioni della Sicurezza

Il GDPR impone alle aziende l’obbligo di notificare le violazioni della sicurezza dei dati personali, quando queste sono passibili di comportare rischi per gli interessati. Questo significa che se si verifica una violazione che comporta la distruzione, la perdita, l’alterazione o la divulgazione non autorizzata dei dati, l’azienda deve notificarla all’autorità di regolamentazione competente entro 72 ore. Le persone fisiche interessate devono essere informate “nel minor tempo possibile” se la violazione o la divulgazione dei dati comporta un rischio elevato per i diritti e le libertà.

6. Responsabile della Protezione dei Dati (DPO)

Una delle innovazioni introdotte dal GDPR è l’obbligo di designare un Responsabile della Protezione dei Dati (DPO) per alcune aziende. Questo ruolo è di grande importanza e implica la responsabilità della governance dei dati, del controllo della conformità aziendale al GDPR e della consulenza al responsabile del trattamento. L’obbligo di designare un DPO si applica alle pubbliche amministrazioni ed alle aziende che effettuano trattamenti di dati sensibili e/o su larga scala.

7. Eliminazione dell’Obbligo di notificazione dei trattamenti dei dati

Con il GDPR, è stato eliminato l’obbligo di notificazione dei trattamenti dei dati prevista dall’art. 37, comma 4, del decreto legislativo n. 196/2003, ormai abrogato.
Questa misura riflette il principio che guida il GDPR: responsabilizzare le aziende, sviluppando l’autosorveglianza. Tuttavia, ciò non significa che le aziende siano esenti da responsabilità; al contrario, sono chiamate a essere più proattive nella protezione dei dati personali.
Il GDPR ha apportato importanti cambiamenti nel modo in cui le aziende gestiscono i dati degli interessati. La conformità a questa legge è diventata una delle chiavi per il successo nella gestione dei dati personali, garantendo che le aziende trattino le informazioni personali con la massima responsabilità e sicurezza.

Comprendere il GDPR: 7 Parole Chiave Essenziali

Il GDPR (Regolamento Generale sulla Protezione dei Dati) è una legge relativa alla protezione delle persone e dei loro dati e al libero scambio delle informazioni. Per comprenderlo a fondo, è importante conoscere alcune parole chiave. Quali sono i sette termini più ricorrenti del GDPR?

1. DPO – Data Protection Officer

Il DPO, o Data Protection Officer o in italiano RPD, ovvero Responsabile della Protezione dei Dati, è una figura chiave nel mondo del GDPR. Questa persona o questo team ha il compito di monitorare, supportare e fornire consulenza al titolare nel perseguire la conformità al GDPR. Le pubbliche amministrazioni e le aziende che trattano dati sensibili o su vasta scala sono obbligate per legge a designare un DPO. Questo soggetto svolge un ruolo cruciale nel monitoraggio sul rispetto dei titolari delle norme sulla protezione dei dati.

2. Dati Personali

Secondo il GDPR, i Dati Personali, comprendono “tutte le informazioni relative a una persona fisica identificata o identificabile, direttamente o indirettamente”. Questi dati possono includere nomi, cognomi, identificatori, numeri di identificazione, numeri di telefono, indirizzi e-mail, indirizzi IP e dati comportamentali, purché possano essere collegati a un individuo. La protezione di queste informazioni è al centro del GDPR.

3. Trattamento dei Dati

Il termine “Trattamento dei Dati” si riferisce praticamente a qualsiasi operazione analogica o digitale applicata ad informazioni personali. Includeuna vasta gamma di operazioni legate ai dati personali dalla creazione alla distruzione, passando modifica, trasmissione, raffronto, diffusione. Sono veramente poche le operazioni effettuate sui dati che non comportano trattamento. Il GDPR ha una definizione molto ampia di trattamento dei dati e richiede che queste operazioni siano gestite con estrema cura e conformità alle norme.

4. Profilazione

Anche la “Profilazione” è di fatto una forma di trattamento, a volte anche automatizzato, dei dati personali che mira a valutare aspetti personali e comportamentali, come ad esempio la produttività sul lavoro o alcune preferenze. Il GDPR impone restrizioni rigorose su questa pratica, al fine di proteggere la privacy delle persone e prevenire l’abuso dei dati personali.

5. GPDP – Garante della Protezione dei Dati Personali

Il GPDP, o Garante per la Protezione dei Dati Personali, è l’autorità di controllo che supporta il Parlamento e il Governo Italiano e collabora con le altre autorità di controllo e prestare assistenza reciproca al fine di garantire l’applicazione e l’attuazione coerente del Regolamento. Spesso il GPDP formula pareri su proposte di leggi, adotta provvedimenti nei confronti delle organizzazioni e cura l’informazione, la sensibilizzazioni e la consapevolezza delle organizzazioni e dei cittadini sulle previsioni del GDPR e della normativa nazionale vigente in materia di protezione dei dati personali.

6. Privacy by Design

Il concetto di “Privacy by Design” è una prescrizione che prevede la protezione dei diritti delle persone fin dalla fase di progettazione di un prodotto, di un servizio e di qualsiasi trattamento. Questo approccio è una delle colonne portanti del GDPR e rafforza l’importanza di rendere la privacy una parte integrante di ogni aspetto del processo di progettazione delle attività che comportano trattamento di dati personali. Le aziende devono essere responsabili sin dall’inizio per conseguire la riservatezza, integrità e disponibilità dei dati personali.

7. GDPR Data Breach

Una violazione dei dati che può comportare rischi per le persone viene definita dal GDPR un “data breach”. Un data breach si verifica quando i dati personali perdono la riservatezza, l’integrità o la disponibilità a meno che sia improbabile che tale violazione presenti un rischio per i diritti e le libertà delle persone. Nei casi citati le organizzazioni sono tenute a notificare senza ingiustificato ritardo queste violazioni al GPDP e, nei casi più gravi, anche alle persone interessate.