Glossario · Diritto UE sulla privacy GDPR (General Data Protection Regulation)
Il regolamento europeo, in vigore dal maggio 2018, che protegge i dati personali dei residenti UE e definisce il modo in cui ogni azienda nel mondo gestisce tali dati.
## Cosa fa concretamente il GDPR
Il Regolamento generale sulla protezione dei dati (Regolamento (UE) 2016/679) è entrato in vigore il 25 maggio 2018, sostituendo la Direttiva sulla protezione dei dati del 1995. Si applica a qualsiasi organizzazione che tratti dati personali di persone nell'UE, indipendentemente da dove ha sede l'organizzazione.
I dati personali ai sensi del GDPR comprendono qualsiasi informazione che possa identificare una persona, direttamente o indirettamente: nome, e-mail, indirizzo IP, ID dispositivo, posizione, dati biometrici, identificatori online — la definizione è volutamente ampia.
## I sette principi
Il GDPR stabilisce sette principi che ogni trattamento di dati personali deve rispettare:
1. **Liceità, correttezza e trasparenza** — trattare i dati solo con valida base giuridica, spiegata chiaramente
2. **Limitazione delle finalità** — raccogliere dati solo per finalità specifiche e dichiarate
3. **Minimizzazione dei dati** — raccogliere solo ciò che è effettivamente necessario
4. **Esattezza** — mantenere i dati aggiornati e correggere gli errori
5. **Limitazione della conservazione** — conservare i dati solo per il tempo necessario
6. **Integrità e riservatezza** — proteggere i dati da accessi non autorizzati
7. **Responsabilità** — essere in grado di dimostrare la conformità
## I diritti che il GDPR conferisce ai residenti UE
I residenti UE hanno otto diritti specifici riguardo ai propri dati personali:
- **Diritto di accesso** (Articolo 15) — richiedere una copia dei propri dati
- **Diritto di rettifica** (Articolo 16) — correggere dati inesatti
- **Diritto alla cancellazione / diritto all'oblio** (Articolo 17) — richiedere la cancellazione
- **Diritto alla limitazione del trattamento** (Articolo 18) — limitare l'uso dei dati
- **Diritto alla portabilità dei dati** (Articolo 20) — ricevere i dati in formato leggibile da macchina
- **Diritto di opposizione** (Articolo 21) — opporsi al trattamento, incluso il marketing diretto
- **Diritti relativi al processo decisionale automatizzato** (Articolo 22) — limiti alle decisioni basate su IA/algoritmi
- **Diritto a essere informato** — sapere come i dati vengono trattati
## Perché il GDPR ha plasmato la tecnologia globale
L'ambito territoriale del GDPR (Articolo 3) implica un'applicazione extraterritoriale: qualsiasi azienda che offra beni/servizi a residenti UE o ne monitori il comportamento deve conformarsi, indipendentemente dalla propria sede.
Il risultato: la maggior parte delle aziende tecnologiche globali ha costruito infrastrutture conformi al GDPR per gli utenti UE, e molte hanno esteso tali tutele a livello globale piuttosto che mantenere sistemi separati.
La struttura sanzionatoria ha reso credibile l'applicazione: multe fino a 20 milioni di euro o il 4% del fatturato annuo globale, a seconda di quale sia il valore più alto. Meta, Amazon e decine di altre grandi aziende tecnologiche hanno ricevuto sanzioni a nove cifre.
## Perché il GDPR è importante per la scelta degli strumenti
Per le aziende europee che scelgono software, il GDPR genera due pressioni di conformità:
1. **Sovranità dei subprocessori** — se il tuo strumento utilizza subprocessori con sede negli USA, i trasferimenti transatlantici di dati richiedono ulteriori garanzie (SCC, TIA)
2. **Soddisfazione dei diritti degli interessati** — i tuoi strumenti devono supportare richieste di esportazione, cancellazione e accesso ai dati; alcuni strumenti USA gestiscono male questo aspetto
Gli strumenti EU-native hanno questi requisiti integrati nell'architettura; gli strumenti USA tipicamente adattano la conformità tramite configurazione. Entrambi possono tecnicamente raggiungere la conformità, ma l'attrito differisce significativamente.
## Sviluppi recenti
- **Sentenza Schrems II (2020)** ha invalidato il Privacy Shield UE-USA, complicando i trasferimenti transatlantici
- **Clausole contrattuali standard** aggiornate nel 2021 per affrontare le preoccupazioni di Schrems II
- **EU-US Data Privacy Framework** (2023) ha sostituito il Privacy Shield ma affronta sfide legali in corso
- **Revisione del GDPR** in corso fino al 2025-2026 — possibile 'GDPR 2.0' che affronterà le incoerenze nell'applicazione e l'onere di conformità per le PMI
Ti è stato utile?
Grazie per il tuo feedback!