GDPR: cos’è, principi, obblighi, dati personali e sanzioni
Il GDPR, General Data Protection Regulation, è il Regolamento (UE) 2016/679 sulla protezione dei dati personali. È applicabile dal 25 maggio 2018 e rappresenta il principale riferimento europeo per la gestione corretta dei dati personali da parte di aziende, professionisti, enti pubblici, associazioni e organizzazioni che trattano informazioni riferite a persone fisiche.
Il suo obiettivo è rafforzare la tutela delle persone e rendere più responsabili i soggetti che raccolgono, usano, conservano o comunicano dati personali. Per un’azienda, adeguarsi al GDPR non significa soltanto predisporre informative o moduli di consenso, ma costruire un sistema organizzato di gestione dei dati: conoscere quali dati vengono trattati, per quali finalità, con quale base giuridica, per quanto tempo, con quali misure di sicurezza e con quali soggetti coinvolti.
Il GDPR si fonda sul principio di responsabilizzazione, o accountability. Il titolare del trattamento deve non solo rispettare le regole, ma anche essere in grado di dimostrare di aver adottato misure adeguate. Questo rende essenziale un approccio documentato, aggiornato e proporzionato al rischio, soprattutto in presenza di dati sensibili, trattamenti digitali, fornitori esterni, sistemi cloud, marketing, videosorveglianza, gestione del personale o servizi rivolti a clienti e utenti.
In questo articolo analizziamo cos’è il GDPR, a chi si applica, quali principi regolano il trattamento dei dati, quali dati personali tutela, quali obblighi devono rispettare le aziende, quali diritti spettano agli interessati, quando serve il consenso, quali sono le sanzioni e come impostare un percorso concreto di adeguamento.
Cos’è il GDPR e a chi si applica
Il GDPR è il regolamento europeo che disciplina la protezione delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati. Essendo un regolamento dell’Unione europea, è direttamente applicabile negli Stati membri, pur dovendo essere coordinato con la normativa nazionale, in Italia principalmente con il Codice in materia di protezione dei dati personali, D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018 e da successivi interventi normativi.
Il regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento di un titolare o di un responsabile nell’Unione europea. Si applica anche, in determinate condizioni, a soggetti non stabiliti nell’Unione quando offrono beni o servizi a persone che si trovano nell’UE oppure monitorano il loro comportamento.
Il trattamento è un concetto molto ampio. Comprende raccolta, registrazione, organizzazione, conservazione, consultazione, modifica, uso, comunicazione, diffusione, cancellazione e distruzione dei dati. In pratica, quasi ogni attività aziendale che utilizza dati riferiti a persone fisiche può rientrare nell’ambito del GDPR.
Sono coinvolti, ad esempio, trattamenti relativi a clienti, dipendenti, candidati, fornitori persone fisiche, utenti del sito web, iscritti alla newsletter, partecipanti a corsi, pazienti, visitatori, utenti di app, contatti commerciali e persone riprese da sistemi di videosorveglianza.
Il GDPR non si applica ai dati anonimi, cioè informazioni che non consentono di identificare una persona fisica e che non possono essere ricondotte a un interessato con mezzi ragionevoli. Si applica invece ai dati pseudonimizzati, perché in questo caso la persona può ancora essere identificata attraverso informazioni aggiuntive.
I principi fondamentali del trattamento dei dati
Il GDPR non si limita a indicare singoli adempimenti, ma stabilisce principi generali che devono guidare ogni trattamento. Questi principi sono il punto di partenza per decidere come raccogliere, usare e conservare i dati personali.
Il principio di liceità, correttezza e trasparenza richiede che ogni trattamento abbia una base giuridica valida, sia svolto in modo leale e venga spiegato all’interessato con informazioni chiare. Il principio di limitazione delle finalità impone di raccogliere dati per scopi determinati, espliciti e legittimi. La minimizzazione richiede di trattare solo i dati necessari rispetto alle finalità dichiarate.
Il principio di esattezza comporta che i dati siano corretti e aggiornati quando necessario. La limitazione della conservazione impone di non conservare i dati più a lungo del tempo necessario. Integrità e riservatezza richiedono misure tecniche e organizzative adeguate a proteggere i dati da accessi non autorizzati, perdita, distruzione o divulgazione indebita. Infine, l’accountability impone al titolare di dimostrare il rispetto di tutti questi principi.
| Principio | Cosa significa | Impatto operativo |
| Liceità, correttezza e trasparenza | Il trattamento deve avere una base giuridica valida ed essere comprensibile | Informative chiare e basi giuridiche documentate |
| Limitazione delle finalità | I dati devono essere raccolti per finalità determinate ed esplicite | Evitare usi successivi incompatibili |
| Minimizzazione | Trattare solo i dati necessari | Ridurre campi, accessi e raccolte superflue |
| Esattezza | I dati devono essere corretti e aggiornati | Prevedere procedure di aggiornamento e rettifica |
| Limitazione della conservazione | I dati non vanno conservati oltre il necessario | Definire tempi di conservazione e cancellazione |
| Integrità e riservatezza | I dati devono essere protetti con misure adeguate | Gestire accessi, backup, cifratura e sicurezza informatica |
| Accountability | Il titolare deve dimostrare la conformità | Mantenere registri, procedure, evidenze e controlli |
Quali dati personali tutela il GDPR
Il GDPR tutela i dati personali, cioè qualsiasi informazione riguardante una persona fisica identificata o identificabile. Una persona può essere identificata direttamente, ad esempio tramite nome e cognome, oppure indirettamente, attraverso elementi come codice fiscale, numero di telefono, indirizzo email, dati di localizzazione, identificativi online, immagini, voce o altri elementi riconducibili alla sua identità.
Non tutti i dati hanno lo stesso livello di rischio. Il GDPR distingue tra dati comuni e categorie particolari di dati personali. Le categorie particolari comprendono dati che rivelano origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, dati biometrici usati per identificare in modo univoco una persona, dati relativi alla salute, alla vita sessuale o all’orientamento sessuale.
Il trattamento di queste categorie particolari è vietato come regola generale, salvo che ricorra una delle condizioni specifiche previste dal regolamento, ad esempio consenso esplicito, obblighi in materia di diritto del lavoro, medicina preventiva, interesse pubblico rilevante o altre basi previste dalla normativa.
Particolare attenzione deve essere posta anche ai dati relativi a condanne penali e reati, ai dati dei minori, ai dati trattati su larga scala, ai dati raccolti tramite strumenti digitali e ai dati utilizzati per profilazione o decisioni automatizzate.
| Tipo di dato | Esempi | Livello di attenzione |
| Dati identificativi | Nome, cognome, codice fiscale, documento | Sempre da proteggere |
| Dati di contatto | Email, telefono, indirizzo | Rilevanti per clienti, fornitori e marketing |
| Dati online | IP, cookie ID, identificativi dispositivo | Importanti per siti, app e tracciamenti |
| Dati economici | IBAN, pagamenti, fatture | Richiedono sicurezza e tempi di conservazione corretti |
| Categorie particolari | Salute, biometria, opinioni politiche, sindacato | Tutela rafforzata e condizioni specifiche |
| Dati di minori | Account, immagini, dati scolastici | Richiedono particolare cautela |
| Dati giudiziari | Condanne, reati, carichi pendenti | Trattamento ammesso solo nei casi previsti |
Ruoli e responsabilità: titolare, responsabile e autorizzati
Per applicare correttamente il GDPR è essenziale distinguere i ruoli. Il titolare del trattamento è il soggetto che determina finalità e mezzi del trattamento. In ambito aziendale, di solito coincide con l’impresa, l’ente o il professionista che decide perché e come trattare i dati.
Il responsabile del trattamento è invece il soggetto esterno che tratta dati personali per conto del titolare. Può essere, ad esempio, un consulente paghe, un fornitore cloud, una società informatica, un’agenzia marketing, un provider di newsletter, una piattaforma software o un outsourcer che accede a dati personali per erogare un servizio.
Il rapporto tra titolare e responsabile deve essere disciplinato da un contratto o altro atto giuridico conforme all’art. 28 del GDPR. Questo documento deve stabilire, tra le altre cose, oggetto, durata, natura e finalità del trattamento, categorie di dati, categorie di interessati, obblighi del responsabile, misure di sicurezza, regole sui sub-responsabili, assistenza al titolare e restituzione o cancellazione dei dati al termine del servizio.
Gli autorizzati al trattamento sono invece persone fisiche che operano sotto l’autorità del titolare o del responsabile e trattano dati secondo istruzioni ricevute. Rientrano in questa categoria dipendenti, collaboratori, addetti amministrativi, HR, commerciali, operatori di segreteria, tecnici e altre persone interne che accedono ai dati per ragioni di lavoro.
| Ruolo | Chi è | Responsabilità principali |
| Titolare del trattamento | Decide finalità e mezzi | Definisce basi giuridiche, informative, misure e governance |
| Responsabile del trattamento | Tratta dati per conto del titolare | Agisce su istruzioni e applica misure adeguate |
| Autorizzato | Persona interna o collaboratore che accede ai dati | Tratta i dati secondo istruzioni ricevute |
| DPO | Figura di controllo e consulenza quando obbligatoria o nominata | Informa, consiglia, sorveglia e coopera con il Garante |
Obblighi per le aziende e documentazione richiesta
Gli obblighi GDPR non sono identici per tutte le organizzazioni. Devono essere valutati in base a natura, dimensione, contesto, finalità del trattamento e rischi per i diritti e le libertà delle persone. Tuttavia, esistono alcuni adempimenti ricorrenti che molte aziende devono presidiare.
L’informativa privacy è uno dei documenti principali. Deve spiegare agli interessati chi tratta i dati, per quali finalità, su quale base giuridica, per quanto tempo, a chi possono essere comunicati, se vengono trasferiti fuori dallo Spazio economico europeo, quali diritti possono essere esercitati e come contattare il titolare o il DPO quando presente.
Il registro delle attività di trattamento è un altro elemento fondamentale di accountability. L’art. 30 del GDPR prevede la tenuta del registro da parte del titolare e, ove applicabile, del responsabile. Il registro permette di mappare trattamenti, finalità, categorie di dati, destinatari, tempi di conservazione e misure di sicurezza.
Altri adempimenti possono riguardare nomine a responsabile del trattamento, istruzioni agli autorizzati, procedure per la gestione dei diritti degli interessati, valutazione d’impatto sulla protezione dei dati, gestione dei data breach, misure di sicurezza, formazione del personale, policy interne, informative web, cookie, videosorveglianza, marketing e conservazione documentale.
| Area | Documento o procedura | Quando serve |
| Trasparenza | Informative privacy | Quando si raccolgono dati da interessati |
| Mappatura | Registro dei trattamenti | Per documentare attività, finalità, dati, destinatari e misure |
| Fornitori | Nomine a responsabile del trattamento | Quando un soggetto esterno tratta dati per conto dell’azienda |
| Personale interno | Istruzioni agli autorizzati | Quando dipendenti o collaboratori accedono ai dati |
| Rischio elevato | DPIA | Quando il trattamento può presentare rischio elevato |
| Sicurezza | Misure tecniche e organizzative | Sempre, proporzionate al rischio |
| Violazioni | Procedura data breach | Per valutare e notificare violazioni entro i termini |
| Formazione | Piano formativo privacy | Per ridurre errori operativi e dimostrare accountability |
Consenso, basi giuridiche e diritti degli interessati
Uno degli errori più frequenti è pensare che il consenso sia sempre necessario. In realtà, il consenso è solo una delle basi giuridiche previste dall’art. 6 del GDPR. Un trattamento può essere lecito anche quando è necessario per eseguire un contratto, adempiere un obbligo legale, tutelare interessi vitali, eseguire un compito di interesse pubblico o perseguire un legittimo interesse del titolare, purché siano rispettate le condizioni previste.
Il consenso è necessario quando non esiste un’altra base giuridica adeguata o quando specifiche norme lo richiedono. Deve essere libero, specifico, informato e inequivocabile. Per le categorie particolari di dati, quando il trattamento si basa sul consenso, questo deve essere esplicito. Non sono ammessi consensi taciti, caselle preselezionate o formule generiche.
Gli interessati hanno diritti specifici: accesso ai dati, rettifica, cancellazione, limitazione del trattamento, portabilità, opposizione, revoca del consenso e, nei casi previsti, diritto a non essere sottoposti a decisioni basate unicamente su trattamenti automatizzati, compresa la profilazione.
Il titolare deve agevolare l’esercizio dei diritti e rispondere alle richieste entro un mese, termine che può essere esteso fino a tre mesi nei casi di particolare complessità, informando comunque l’interessato entro un mese.
| Base giuridica | Quando si usa | Esempio |
| Consenso | Quando l’interessato sceglie liberamente | Newsletter promozionale non collegata a un contratto |
| Contratto | Quando il trattamento serve a eseguire un contratto | Gestione ordine, consegna, assistenza |
| Obbligo legale | Quando una legge impone il trattamento | Fatturazione, libri contabili, adempimenti lavoro |
| Interesse vitale | Per tutelare la vita o l’incolumità | Emergenza sanitaria |
| Compito pubblico | Per funzioni pubbliche o interesse pubblico | Trattamenti di enti pubblici |
| Legittimo interesse | Quando l’interesse del titolare è bilanciato con i diritti dell’interessato | Sicurezza IT, tutela diritti, alcune comunicazioni B2B |
Sanzioni GDPR e come adeguarsi
Il GDPR prevede sanzioni amministrative significative. Le violazioni meno gravi possono arrivare fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore. Le violazioni più gravi possono arrivare fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo, se superiore.
Le sanzioni non sono automatiche nel massimo importo. L’autorità di controllo valuta diversi elementi, tra cui natura, gravità e durata della violazione, carattere doloso o colposo, misure adottate per attenuare il danno, grado di responsabilità, precedenti violazioni, categorie di dati coinvolti, cooperazione con l’autorità e modalità con cui la violazione è venuta a conoscenza dell’autorità.
Oltre alle sanzioni economiche, l’azienda può subire conseguenze operative e reputazionali: reclami, provvedimenti correttivi, blocco di trattamenti, perdita di fiducia da parte di clienti e utenti, contenziosi, danni d’immagine e costi di gestione delle non conformità.
Un percorso concreto di adeguamento dovrebbe partire da un audit iniziale, seguito dalla mappatura dei trattamenti, dalla verifica delle basi giuridiche, dall’aggiornamento delle informative, dalla predisposizione o revisione del registro, dalla nomina dei responsabili, dalla formazione del personale, dalla definizione delle procedure per diritti e data breach, dalla valutazione delle misure di sicurezza e dal monitoraggio periodico.
| Fase | Attività | Risultato atteso |
| 1 | Audit iniziale | Capire quali dati vengono trattati e dove sono le criticità |
| 2 | Mappatura e registro | Documentare finalità, dati, destinatari, conservazione e misure |
| 3 | Aggiornamento documentale | Informative, nomine, istruzioni, policy e procedure |
| 4 | Misure di sicurezza | Ridurre rischio di accessi non autorizzati, perdita o data breach |
| 5 | Formazione | Rendere il personale consapevole degli obblighi |
| 6 | Monitoraggio | Mantenere il sistema aggiornato nel tempo |
Domande frequenti
Cos’è il GDPR e quali aziende e professionisti devono adeguarsi?
Il GDPR è il Regolamento UE 2016/679 sulla protezione dei dati personali. Devono adeguarsi aziende, professionisti, enti, associazioni e organizzazioni che trattano dati personali nell’Unione europea o che, anche da fuori UE, offrono beni o servizi a persone nell’UE o ne monitorano il comportamento.
Quali sono i principi fondamentali del GDPR nel trattamento dei dati personali?
I principi fondamentali sono liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità, riservatezza e responsabilizzazione del titolare.
Quali dati personali tutela il GDPR e quali sono considerati dati sensibili?
Il GDPR tutela ogni informazione relativa a una persona fisica identificata o identificabile. Le categorie particolari, spesso chiamate dati sensibili, comprendono dati sulla salute, dati biometrici, dati genetici, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, vita sessuale e orientamento sessuale.
Quali obblighi deve rispettare un’azienda per essere conforme al GDPR?
L’azienda deve individuare basi giuridiche corrette, fornire informative trasparenti, mappare i trattamenti, adottare misure di sicurezza, gestire fornitori e autorizzati, rispettare i diritti degli interessati, predisporre procedure per data breach e, quando necessario, effettuare DPIA e nominare un DPO.
Quando serve il consenso al trattamento dei dati?
Il consenso serve quando il trattamento si basa su una scelta libera dell’interessato e non esiste un’altra base giuridica più adeguata. Non serve, ad esempio, quando il trattamento è necessario per eseguire un contratto, adempiere un obbligo legale o perseguire un legittimo interesse correttamente bilanciato.
Quali diritti hanno gli interessati nel GDPR?
Gli interessati possono chiedere accesso, rettifica, cancellazione, limitazione, portabilità, opposizione e revoca del consenso. Possono inoltre proporre reclamo al Garante se ritengono che il trattamento violi la normativa.
Chi è il titolare del trattamento?
Il titolare del trattamento è il soggetto che decide finalità e mezzi del trattamento. In azienda coincide normalmente con la società, l’ente o il professionista che determina perché e come usare i dati personali.
Chi è il responsabile del trattamento?
Il responsabile del trattamento è il soggetto esterno che tratta dati personali per conto del titolare, sulla base di istruzioni documentate e di un contratto conforme all’art. 28 del GDPR.
Quali sono le sanzioni previste dal GDPR?
Le sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato mondiale annuo per alcune violazioni, e fino a 20 milioni di euro o al 4% del fatturato mondiale annuo per le violazioni più gravi, se superiore.
Come adeguarsi al GDPR in modo pratico?
Un percorso efficace parte da audit e mappatura dei trattamenti, prosegue con registro, informative, nomine, procedure, misure di sicurezza e formazione, e deve essere mantenuto aggiornato con controlli periodici.
