Gli obiettivi del GDPR sono fondamentalmente due:
- fornire ai cittadini europei un maggiore controllo sui propri dati personali
- semplificare il quadro normativo e stabilire regole per le imprese che gestiscono tali dati.
Tra le principali novità del GDPR rispetto alla norma vigente ormai dal 1995 (Direttiva 95/46/EC sulla Protezione dei Dati), ci sono:
oltre i confini nazionali: il regolamento tutela i dati personali dei cittadini europei e viene applicato a tutte le aziende che operano all’interno dell’Unione Europea e che gestiscono i dati personali di individui residenti nell’UE.
chiarezza e consenso: tutte le aziende sono tenute a spiegare in maniera chiara e senza possibilità di equivoco, tutte le condizioni che regolano la raccolta e il trattamento dei dati. È inoltre obbligatorio dichiarare all’utente come verranno elaborati i suoi dati. Quando si raccolgono i dati personali di qualcuno, già adesso c’è bisogno di ottenere un consenso. Tuttavia questo aspetto viene spesso aggirato attualmente, ad esempio, attraverso clausole fumose. Con il GDPR, le regole su come ottenere questo consenso saranno ferree e saranno basate proprio sull’inequivocabilità: il consenso deve essere “dato liberamente, specifico, informato e chiaramente indicato”. Questo significa che è improbabile che la clausola standard di "consenso al trattamento dei dati" presente nella maggior parte dei contratti (anche quelli di lavoro) sia sufficiente dopo l'entrata in vigore del GDPR. Bisogna prestare inoltre attenzione se si fa affidamento su caselle pre-barrate o su altri simili approcci “opt-out” per ottenere il consenso. Affinché il consenso sia legittimo per l'elaborazione dei dati ai sensi del GDPR, l'individuo deve effettuare una scelta informata e i tipo “opt-in”.
multe se non rispetti il regolamento: uno degli aspetti più discussi sono proprio le sanzioni per chi non applica in maniera corretta le disposizioni del GDPR. Tali sanzioni possono arrivare fino al 4% del fatturato annuale o a 20 milioni di euro. Ad esempio, può essere multata un’azienda che non ha policy adeguate per il trattamento dei dati personali dei propri dipendenti o viola il concetto di data protection by design per i servizi/prodotti che vende e/o utilizza. Secondo le nuove regole, l’utente dovrà segnalare tempestivamente una "violazione dei dati personali" al Commissario per l'informazione e, se possibile, entro 72 ore. Se non la effettua in questo lasso di tempo, bisogna fornire una "giustificazione motivata" per il ritardo.
Uno dei principi fondamentali introdotti dal GDPR è l’accountability. Tradotto come “principio di responsabilità”, l’accountability coinvolge anche aspetti quali l’affidabilità e la competenza aziendale nella gestione dei dati personali.