Il Regolamento generale sulla protezione dei dati (GDPR, dall’inglese General Data Protection Regulation) è un regolamento europeo che disciplina il modo in cui le aziende e le altre organizzazioni trattano i dati personali.

È il provvedimento più significativo degli ultimi 20 anni in materia di protezione dei dati e ha implicazioni importanti per qualsiasi organizzazione al mondo che si rivolga ai cittadini dell’Unione Europea.

La legislazione punta a dare a ogni individuo il controllo sull’utilizzo dei propri dati, tutelando “i diritti e le libertà fondamentali delle persone fisiche”: con questa finalità, stabilisce requisiti precisi e rigorosi per il trattamento dei dati, la trasparenza, la documentazione da produrre e conservare e il consenso degli utenti.

Ogni organizzazione deve documentare e monitorare le attività di trattamento dei dati personali.
In quanto titolare del trattamento, ogni organizzazione deve registrare e monitorare le attività di trattamento dei dati personali.

Ciò include i dati personali trattati non soltanto all’interno dell’organizzazione, ma anche da terzi – i cosiddetti responsabili del trattamento.



Tra i responsabili del trattamento ci possono essere figure di diversa natura, dai fornitori di Software-as-a-Service ai servizi incorporati appartenenti a terzi parte, che tracciano e profilano i visitatori del sito web dell’organizzazione.

Sia i titolari che i responsabili del trattamento devono essere in grado di rendere conto delle tipologie di dati trattati, dello scopo della loro elaborazione, così come dei paesi e delle terze parti a cui i dati vengono trasmessi.
Se i dati personali sono inviati a organizzazioni o giurisdizioni che non rientrano nel campo di applicazione del GDPR o che non vengono considerati “adeguati” dal GDPR stesso, è necessario che l’utente sia informato in modo specifico su di questo e sui rischi a ciò connessi. 
Tutti i consensi devono essere registrati come prova del fatto che il consenso è stato prestato.
Il 4 maggio 2020 il Comitato europeo per la protezione dei dati (EDPB) ha adottato delle linee guida sul consenso valido ai sensi del GDPR.
Il consenso valido deve essere un’indicazione libera, specifica, informata e inequivocabile delle intenzioni dell’utente, vale a dire un’azione chiara e affermativa da parte di quest’ultimo.
Le linee guida dell’EDPB chiariscono che lo scorrimento o la continuazione della navigazione su un sito web non costituisce un consenso valido e che i cookie banner non possono avere caselle preselezionate.

Anche i cookie wall (consenso forzato) sono giudicati non conformi.
L’ EDPB, massima autorità di controllo responsabile dell’applicazione del GDPR in tutta l’UE, è composto dai rappresentanti delle autorità di protezione dei dati di ogni paese membro dell’UE. Le sue linee guida e le sue decisioni sono alla base dell’attuazione del GDPR a livello nazionale.
Ogni individuo ha ora il “diritto alla portabilità dei dati”, il “diritto a un migliore accesso ai propri dati”, insieme al “diritto all’oblio”, e può revocare il proprio consenso in qualsiasi momento. In tal caso, il titolare del trattamento deve cancellare i dati personali dell’interessato se non sono più necessari allo scopo per il quale sono stati raccolti.
In caso di violazione dei dati, l’azienda deve essere in grado di informare le autorità di protezione dei dati e le persone interessate entro 72 ore.
Inoltre, il GDPR prevede l’obbligo per le amministrazioni pubbliche, le organizzazioni con più di 250 dipendenti e le imprese che trattano dati personali sensibili su larga scala, di assumere o formare un responsabile della protezione dei dati (RPD). L’RPD deve adottare misure per garantire la conformità al GDPR in tutta l’organizzazione.
Per quanto riguarda la Brexit, il governo britannico, dopo il periodo di transizione in cui le leggi dell’UE sono ancora in vigore, prevede di introdurre una legislazione equivalente che ricalchi sostanzialmente il GDPR europeo e che prenderà il nome di UK-GDPR