Regolamento generale sulla protezione dei dati (GDPR)

PUNTI CHIAVE

Diritti delle persone

Il GDPR rafforza i diritti esistenti, prevede nuovi diritti e dà alle persone un maggiore controllo sui loro dati personali. Esso prevede:

• un migliore accesso ai propri dati, compresa la fornitura di maggiori informazioni su come i dati vengono trattati e la garanzia che tali informazioni siano chiare e comprensibili;
• un diritto alla portabilità dei dati, che agevola la trasmissione dei dati personali tra prestatori di servizi;
• un diritto alla cancellazione (diritto all’oblio). Quando un soggetto non vuole più che i suoi dati vengano trattati e non vi è alcuna ragione legittima per conservarli, i dati saranno cancellati;
• il diritto di sapere se i propri dati personali sono stati violati. Le aziende e le organizzazioni sono tenute a informare l’autorità di controllo competente in materia di protezione dei dati e, in caso di violazione dei dati grave, anche gli interessati.

Regole per le imprese

Il GDPR crea condizioni di parità per tutte le aziende che operano nel mercato interno dell’Unione, adotta un approccio neutrale dal punto di vista tecnologico e stimola l’innovazione attraverso una serie di passi, tra cui:

• un unico complesso di norme a livello di Unione. Una normativa unica a livello dell’UE in materia di protezione dei dati aumenta la certezza del diritto e riduce gli oneri amministrativi.
• un responsabile della protezione dei dati. Le autorità pubbliche e le imprese che trattano dati su larga scala o la cui attività principale è il trattamento di categorie speciali di dati, come i dati relativi alla salute, devono designare una persona responsabile della protezione dei dati;
• uno sportello unico. Le imprese devono confrontarsi con una sola autorità di controllo (nello Stato membro dell’Unione in cui hanno il loro stabilimento principale); le autorità di controllo competenti collaborano nell’ambito del comitato europeo per la protezione dei dati per i casi transfrontalieri, secondo le norme procedurali supplementari in materia di applicazione transfrontaliera stabilite nel regolamento (UE) 2025/2518.
• Norme dell’Unione per le aziende extra unionali. Le aziende con sede al di fuori dell’Unione devono applicare le stesse norme quando offrono servizi o beni, o quando monitorano i comportamenti delle persone all’interno dell’Unione;
• norme favorevoli all’innovazione. Una garanzia del fatto che la protezione dei dati sia incorporata nei prodotti e nei servizi fin dalle primissime fasi di sviluppo (protezione dei dati fin dalla progettazione e per impostazione predefinita);
• tecniche rispettose della privacy. È incoraggiato ad esempio il ricorso alla pseudonimizzazione (quando i campi identificativi all’interno di un set di dati sono sostituiti da uno o più identificatori artificiali) e alla cifratura (quando i dati sono codificati in modo tale che possano leggerli solo gli utenti autorizzati), al fine di limitare l’invasività del trattamento;
• eliminazione delle notifiche. Il GDPR ha eliminato la maggior parte degli obblighi di notifica e i costi ad essi associati. Uno degli obiettivi è quello di rimuovere gli ostacoli che condizionano la libera circolazione dei dati personali all’interno dell’Unione. Ciò faciliterà l’espansione delle imprese nel mercato unico digitale.
• valutazioni d’impatto sulla protezione dei dati. Le organizzazioni dovranno effettuare valutazioni d’impatto qualora il trattamento dei dati presentasse un rischio elevato per i diritti e le libertà delle persone;
• tenuta dei registri. Le piccole e medie imprese non sono tenute alla registrazione delle attività di trattamento dei dati, a meno che il trattamento sia abituale o possa comportare un rischio per i diritti e le libertà della persona i cui dati sono in fase di elaborazione o riguardi categorie di dati sensibili;
• un moderno pacchetto di strumenti per il trasferimento internazionale dei dati. Il GDPR offre vari strumenti per trasferire i dati al di fuori dell’Unione, tra cui le decisioni in materia di adeguatezza adottate dalla Commissione europea laddove il paese terzo offra un adeguato livello di protezione, clausole contrattuali (tipo) pre-approvate, norme vincolanti d’impresa, codici di condotta e certificazione.

Applicazione del GDPR nei casi transfrontalieri

Il regolamento (UE) 2025/2518 (adottato il 26 novembre 2025 e pubblicato nella Gazzetta ufficiale il 12 dicembre 2025) stabilisce norme procedurali per l’applicazione del GDPR nei casi transfrontalieri (in cui è coinvolta più di un’autorità dell’UE / dello Spazio economico europeo). L’obiettivo è rendere le indagini e la gestione delle denunce più rapide e coerenti tra gli Stati membri.

Il regolamento rafforza e standardizza procedure quali le modalità di presentazione e di valutazione dei reclami, la cooperazione tra l’autorità di controllo capofila e le altre autorità interessate e diritti procedurali più chiari per le parti principali (reclamanti e parti oggetto di indagine). L’obiettivo è migliorare l’efficienza e la certezza del diritto nell’applicazione transfrontaliera del RGPD, sostenendo nel contempo un coordinamento più agevole tra le autorità di controllo.

Riesame

La Commissione ha pubblicato la prima relazione sulla valutazione e la revisione del regolamento nel giugno 2020. Una seconda relazione è stata pubblicata nel luglio 2024 e la prossima è prevista per il 2028.