9 modi in cui il GDPR cambia la privacy dei nostri dati

Come è cambiata la nostra vita da quando il GDPR è entrato in vigore? Gli esperti del Technology and Research BCD Travel analizzano i dettagli del GDPR, illustrando sinteticamente nove grandi cambiamenti che coinvolgeranno i nostri dati personali.

Da quando il Regolamento Generale sulla Protezione dei Dati dell’Unione europea – meglio conosciuto come GDPR – è diventato realtà, il modo in cui le aziende raccolgono e utilizzano le informazioni personali sui residenti nell’UE sta cambiando radicalmente. Gli esperti del dipartimento Technology and Research di BCD Travel hanno analizzato i dettagli del GDPR, illustrando sinteticamente nove grandi cambiamenti che coinvolgeranno i nostri dati personali:

1. Maggiore coerenza normativa in Europa

Il GDPR è un regolamento Europeo e, come tale, è direttamente applicabile negli ordinamenti dei singoli Stati membri. Ciò significa che, anche se uno Stato membro non emana alcun atto di recepimento, il GDPR dal 25 maggio scorso è entrato direttamente in vigore nella normativa dei paesi UE come fosse una legge nazionale.

In particolare nel caso dell’Italia, in virtù del principio di primazia del diritto dell’Unione europea, il GDPR prevale su una norma nazionale italiana incompatibile. Per questo motivo, il GDPR punta a un maggior grado di armonizzazione legislativa relativa alla protezione e la privacy dei dati.

2. Ambito di applicazione del GDPR

Il GDPR si inserisce in un ambito di ampia applicazione. Quelli che comunemente consideriamo “dati personali” saranno definiti in modo più ampio e includono un identificativo online come il protocollo Internet o gli indirizzi IP dei naviganti.

Infatti secondo il Considerando n.30 del GDPR “le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza“.

3. Effetti extra-UE del GDPR

Effetto del GDPR si estende oltre il continente europeo. Il regolamento, oltre ad applicarsi alle entità stabilite nell’UE – quelle che offrono beni e servizi all’interno della Comunità Europea o monitorano il comportamento delle persone nell’UE – si rivolge anche a quelle società che, pur senza una presenza fisica nell’Unione europea, operano in Europa.

4. Consenso esplicito

Un consenso più chiaro è uno dei punti forti stabiliti dal GDPR. Un elevato standard di consenso per l’elaborazione (raccolta, utilizzo e archiviazione) dei dati personali è contenuto nel nuovo regolamento generale sulla protezione dei dati. Il consenso deve essere inequivocabile e comportare un’azione chiara e affermativa.

Ciò significa che, silenzio, caselle pre-spuntate, inattività, mancanza di informativa, non possono essere valide pratiche per ottenere il consenso dell’utente. Inoltre, qualora il trattamento dei dati preveda più finalità, il consenso dovrebbe essere prestato per tutte queste. Infine, gli interessati devono anche essere in grado di revocare facilmente il consenso.

5. Data breach e notifica di violazione

Il GDPR impone che la violazione dei dati personali sia segnalata all’autorità di controllo competente “senza indebito ritardo” e, ove possibile, entro 72 ore dalla verifica di violazione, a meno che la violazione stessa non sia tale da mettere in pericolo diritti e libertà delle persone colpite dal rischio. In determinate circostanze – ossia quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche – le persone colpite devono essere informate senza indebito ritardo.

6. Nuovi diritti per l’interessato

Espansione dei diritti degli interessati: il nuovo regolamento generale sulla protezione dei dati dell’Unione europea rafforza i diritti già esistenti degli interessati e ne introduce di nuovi, come il diritto all’oblio e il diritto alla portabilità dei dati (trasferimento di dati a un altro gestore).

7. Privacy by design e privacy by default

La tutela dei dati personali deve essere considerata fin dall’inizio quando vengono progettate nuove piattaforme online e tecnologie (privacy by design). Le aziende che trattano dati personali mettono in atto misure tecniche e organizzative adeguate a garantire che siano trattati, per impostazione predefinita (privacy by default) solo i dati personali necessari per ogni specifica finalità del trattamento.

Le aziende che utilizzano i dati delle persone devono effettuare valutazioni sull’impatto della privacy per qualsiasi raccolta, utilizzo e archiviazione di dati potenzialmente “ad alto rischio”.

8. Il responsabile della protezione dei dati  (il Data Protection Officer – DPO)

Il GDPR richiede la nomina di un Responsabile della protezione dei dati in alcuni specifici casi:

  • se le “attività principali” dell’impresa comportano un’elaborazione o un monitoraggio regolare su larga scala dei dati delle persone;
  • se le attività “principali” dell’impresa consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di in particolare dati relativi a condanne penali o reati;
  • se il trattamento è effettuato da un’autorità pubblica, eccettuate le autorità giurisdizionali.

9. Multe salate ai trasgressori

Il mancato rispetto dei requisiti del GDPR può portare a multe fino a 20 milioni di euro (circa 23,6 milioni di dollari) o fino al 4% del fatturato globale annuale dell’esercizio precedente. Questo crea un concreto deterrente verso possibili violazioni della normativa sulla protezione dei dati personali.

Condividi:

Rimani informato,
anche in viaggio.

Non vuoi mai perderti le novità?
In una sola newletter mensile riceverai le ultime notizie, le tendenze, gli approfondimenti sul mondo del business travel e non solo, direttamente nella tua casella email.