GDPR IN BREVE

Il GDPR entrato in vigore il 25 Maggio 2018 è una normativa piuttosto complessa che introduce alcuni nuovi cocetti in materia di gestione della privacy . Quali sono le figure ed i ruoli centrali nell’economia del regolamento? Cosa si intende quando si parla di Dati Dersonali, Data Breach, DPO e Diritto all’Oblio? Di seguito troverete una breve guida  agli aspetti più salienti del regolamento; leggendola riuscirete a formare uno sguardo complessivo sul GDPR e sulle novità che esso introduce.

GENERAL DATA PROTECTION REGULATION

Il GDPR è destinato a tutte quelle aziende che raccolgono e/o elaborano dati personali di cittadini europei. Il regolamento viene applicato anche a quelle aziende che hanno sede al di fuori dell’UE se queste possiedono tali dati.

Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;

La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

La persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;

La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;

Persone fisiche autorizzate a compiere operazioni di trattamento dal Titolare o dal Responsabili.

Gli interessati al trattamento sono le persona fisiche cui si riferiscono i dati trattati.

Qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

Qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;

Qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;

DATI PERSONALI

La normativa amplia la definizione di dato personale e sensibile. Con questo termine non si indicano più solamente I classici dati sensibili (indirizzo, telefono…) ma anche gli identificativi online (email, IP, cookie…).

Relativamente ai dati personali, nel regolamento vengono individuate 4 macro categorie:

  • Dati personali: qualsiasi informazione che possa identificare la persona, incluso nome, cognome, caratteristiche fisiche e anche identificativi online;
  • Dati genetici: dati ottenuti tramite analisi di DNA o RNA da un campione biologico;
  • Dati biometrici: qualsiasi caratteristica fisica identificativa della persona
  • Dati sulla salute: qualsiasi dato relativo alla salute, fisica o mentale

RACCOLTA e TRATTAMENTO DATI

Un’azienda che raccoglie dati, per poter essere considerata a norma deve osservare alcuni punti:

  • Permettere all’utente di fornire il proprio consenso in modo esplicito e tracciabile;
  • Predisporre un’informativa sul trattamento dei dati personali che sia trasparente, chiara e facilmente accessibile;
  • Garantire che i dati raccolti siano pertinenti, adeguati e limitati alle finalità per cui vengono richiesti e trattati.

Pertanto, al fine di trattare i dati personali, le società dovranno ricevere esplicito consenso degli utenti .

Bisogna inoltre garantire all’utente il diritto di revocare il proprio consenso in qualsiasi momento e di esprimere nuovamente il consenso esplicito in caso di modifica del trattamento dei dati., o di implemento con nuovi servizi o funzioni.

Ne consegue che, i dati potranno essere raccolti e utilizzati solo per gli scopi indicati esplicitamente nel consenso, e non più “per ogni altra iniziativa”.

Il regolamento introduce, relativamente al trattamento dei dati, il principio di responsabilizzazione per le aziende le quali devono garantire la massima sicurezza in tutte le fasi del trattamento (raccolta, elaborazione e conservazione).

PORTABILITÀ DEI DATI

Nel Regolamento viene introdotto il diritto alla “portabilità” dei propri dati personali, con cui si è inteso dare la possibilità a qualsiasi utente di trasferire i dati da un titolare del trattamento a un altro. Il cittadino deve, infatti, poter ottenere facilmente una copia dei propri dati personali, in un formato leggibile e facilmente trasferibile.

Inoltre, è vietato il trasferimento di dati personali verso Paesi extra Ue o organizzazioni internazionali che non rispondono agli standard di sicurezza in materia di tutela della privacy.

ACCOUNTABILITY

Il Regolamento prescrive che il Titolare e il Responsabile del trattamento non debbano garantire solamente il rispetto delle regole fissate per il trattamento dei dati personali, ma dovranno adottare, e dimostrare di aver adottato, una serie di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali.

Secondo il principio di accountability, si richiede non solo il rispetto degli obblighi iniziali previsti nel Regolamento, ma anche una continua attività di controllo e verifica delle proprie attività di trattamento.

DATA BREACH

Il Regolamento dispone l’obbligo, per il titolare del trattamento, di comunicare eventuali violazioni di dati personali (data breach) all’ Autorità Garante e, in alcuni casi, anche ai soggetti interessati. Il mancato o ritardato adempimento della comunicazione espone alla possibilità di sanzioni amministrative.

È fondamentale, per le aziende adoperarsi per garantire il corretto funzionamento di questo meccanismo: il primo passo per ottemperare alla normativa è l’adozione del Registro dei trattamenti di dati personali.

Il titolare, poi, dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare i danni.

DPO (DATA PROTECTION OFFICER)

Tra i principali obblighi previsti dal nuovo regolamento europeo sulla privacy c’è quello di inserire all’interno dell’organigramma la figura del DPO, acronimo di Data Protection Officer il quale ha il compito di assicurare una gestione corretta dei dati personali.

Il compito principale del DPO è l’osservazione, la valutazione e la gestione del trattamento dei dati personali allo scopo di far rispettare le normative europee e nazionali in materia di privacy.

Importante è garantire l’autonomia decisionale e l’estraneità del DPO rispetto alla determinazione delle finalità e delle modalità del trattamento dei dati: non può essere istruito da nessuno riguardo alle sue attività. Inoltre il responsabile della protezione dati non può svolgere altre mansioni o compiti in conflitto di interessi con quelle proprie del DPO.

DIRITTO ALL'OBLIO

Con l’espressione “diritto all’oblio” , si fa riferimento ad una particolare forma di garanzia che prevede la non diffondibilità, senza particolari motivi, di precedenti pregiudizievoli per l’onore di una persona.

Di conseguenza, deve essere garantito all’interessato,il diritto di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali, qualora non siano più necessari per le finalità per le quali sono stati raccolti e trattati.

Con il nuovo GDPR si è introdotto, all’art.17, una norma apposita dedicata al “diritto alla cancellazione o diritto all’oblio”, nel quale viene stabilito che ogni interessato ha diritto ad ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo.

Se desideri ulteriori informazioni sul GDPR, sui cambiamenti che apporta e su quello che la tu o la tua azienda deve fare peressere a norma non esitare a contattarci.

Risponderemo a tutte le tue domande

Dichiaro di aver letto e accettato l'informativa sulla privacy

Chiudi il menu
Chiama Ora