Cos'è il Regolamento (UE) 2016/679, a chi si applica (anche fuori dall'UE), i principi e le basi giuridiche, i diritti degli interessati, le sanzioni e come ci si mette in regola. Una guida informativa.
Il GDPR (General Data Protection Regulation) è il Regolamento (UE) 2016/679: la legge europea sulla protezione dei dati personali, applicabile dal 25 maggio 2018. Non è uno standard volontario e non è una certificazione: è legge. Non si “ottiene” il GDPR e non esiste un “certificato GDPR” ufficiale: si è conformi rispettandone i requisiti.
In Italia il GDPR è integrato dal Codice Privacy (D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018) e l'autorità di controllo è il Garante per la protezione dei dati personali.
Il GDPR si applica al trattamento di dati personali (qualsiasi informazione su una persona fisica identificata o identificabile). E ha portata extraterritoriale: si applica anche a chi è stabilito fuori dall'UE quando offre beni o servizi a persone che si trovano nell'UE (anche gratuiti) oppure ne monitora il comportamento.
È il motivo per cui un'azienda statunitense, del Golfo o asiatica che vende a clienti europei (o che si espande in Italia/UE) deve rispettare il GDPR, spesso designando un rappresentante nell'UE. Per l'azienda estera in ingresso, il GDPR è quasi sempre il primo adempimento da chiudere.
Titolare del trattamento (data controller): chi decide finalità e mezzi del trattamento. È il principale responsabile della conformità. Responsabile del trattamento (data processor): chi tratta i dati per conto del titolare (es. un fornitore SaaS); va regolato con un accordo (DPA) ai sensi dell'art. 28. Interessato (data subject): la persona fisica a cui i dati si riferiscono.
Capire quale ruolo ricopri in ogni trattamento è il punto di partenza: cambia gli obblighi.
Ogni trattamento deve poggiare su una delle basi giuridiche dell'articolo 6: consenso dell'interessato (libero, specifico, informato, revocabile); esecuzione di un contratto di cui l'interessato è parte; obbligo legale a cui è soggetto il titolare; interesse vitale dell'interessato o di un terzo; interesse pubblico o esercizio di pubblici poteri; legittimo interesse del titolare (con bilanciamento documentato).
Per le categorie particolari di dati (salute, biometrici, opinioni, ecc., art. 9) servono condizioni più stringenti. Scegliere la base giuridica giusta, e saperla documentare, è uno dei punti dove si sbaglia di più.
Tradotto in cosa devi effettivamente avere: un registro delle attività di trattamento (art. 30), cioè chi tratta cosa, perché, dove, per quanto; informative privacy chiare per gli interessati; DPA, gli accordi con i responsabili/fornitori (art. 28); una DPIA, valutazione d'impatto (art. 35), per i trattamenti ad alto rischio; un DPO, Responsabile della protezione dei dati (art. 37), quando obbligatorio (es. monitoraggio sistematico su larga scala, trattamento su larga scala di categorie particolari).
Inoltre: misure di sicurezza adeguate (art. 32), dove la ISO 27001 aiuta molto; gestione del data breach con notifica al Garante entro 72 ore quando dovuta, e agli interessati se c'è rischio elevato; trasferimenti extra-UE governati (clausole contrattuali standard, decisioni di adeguatezza). Devi avere processi per ricevere e rispondere alle richieste degli interessati nei tempi previsti (di norma entro un mese): la mancata gestione è un classico motivo di reclamo al Garante.
Il GDPR prevede sanzioni amministrative su due fasce: fino a 10 milioni di euro o, se superiore, il 2% del fatturato annuo mondiale totale dell'esercizio precedente, per violazioni di obblighi “organizzativi” (es. registri, DPO, sicurezza ex art. 32); fino a 20 milioni di euro o, se superiore, il 4% del fatturato annuo mondiale totale, per le violazioni più gravi (principi, basi giuridiche, diritti degli interessati, trasferimenti).
Si applica l'importo più alto tra cifra fissa e percentuale. Oltre alla sanzione, contano il danno reputazionale e i possibili risarcimenti agli interessati.
1) Mappatura dei trattamenti: quali dati, per quali finalità, con quali basi giuridiche, dove finiscono (data flow). 2) Definizione dei ruoli (titolare/responsabile) e contratti (DPA) con i fornitori. 3) Registro dei trattamenti, informative e gestione del consenso. 4) Valutazione del rischio e DPIA dove serve. 5) Misure di sicurezza (art. 32): accessi, crittografia, logging, backup, gestione fornitori (qui la ISO 27001 è un acceleratore). 6) Processi per i diritti degli interessati e per il data breach (incluse le 72 ore). 7) Governance continua: il GDPR è accountability permanente, non un progetto “una tantum”.
Confine fermo: il GDPR non si “rilascia” e non si “certifica”. Noi ti accompagniamo alla conformità (con il supporto legale dove necessario). Per gli aspetti propriamente legali (pareri, contratti) ci si appoggia a professionisti abilitati: lo diciamo chiaro.
Si sentono spesso insieme, ma non sono la stessa cosa e non vanno venduti come un blocco indistinto. GDPR: protezione dei dati personali; si applica (con portata extraterritoriale) a chiunque tratti dati di persone nell'UE, è il perimetro di questa pagina.
NIS2: Direttiva UE sulla cybersicurezza di settori e soggetti “essenziali” e “importanti”; in Italia è recepita dal D.Lgs. 138/2024 (in vigore da ottobre 2024); l'autorità è l'ACN (Agenzia per la Cybersicurezza Nazionale), con obblighi di registrazione e misure/notifiche scaglionate. Riguarda la sicurezza delle reti e dei sistemi, non la privacy in sé, e solo per i soggetti in perimetro.
DORA: Regolamento UE sulla resilienza operativa digitale del settore finanziario (banche, assicurazioni, fintech e loro fornitori ICT), applicabile da gennaio 2025; perimetro settoriale: non riguarda tutti. Possono sovrapporsi (es. la sicurezza ex art. 32 GDPR e le misure NIS2), ma ognuno ha il suo ambito. Capire quali ti riguardano davvero è il primo passo, e l'unico onesto.
Sì. Ha portata extraterritoriale: si applica anche a titolari e responsabili stabiliti fuori dall'UE quando offrono beni o servizi a persone nell'UE o ne monitorano il comportamento.
Fino a 20 milioni di euro o, se superiore, il 4% del fatturato annuo mondiale, per le violazioni più gravi. Per altre violazioni il massimale è 10 milioni di euro o il 2% del fatturato (art. 83).
No. È un regolamento di legge: non si “ottiene” e non esiste un “certificato GDPR” ufficiale. Si è conformi rispettandone i requisiti.
Nei casi dell'art. 37 (es. monitoraggio sistematico su larga scala, trattamento su larga scala di categorie particolari, autorità pubbliche).
No, ma aiuta molto sulle misure di sicurezza (art. 32). Sono cose distinte.
Scopri il nostro servizio Compliance UE (GDPR · NIS2 · DORA): ognuno con il suo perimetro, senza calderoni.