Il regolamento generale sulla protezione dei dati, meglio noto comeย GDPRย (General Data Protection Regulation), รจ la principale norma europea sulย trattamento dei dati personali, un atto che ha il compito di radunare e armonizzare tutte le precedentiย norme (comunitarie e non) e assicurare la libera circolazione dei dati personali tra gli Stati membri.
Il GDPR รจ entrato in vigore nel maggio del 2016, ma diventerร effettivo soloย dal prossimo 25 maggio, data in cui terminerร il periodo di transizione (il regolamento a differenza della direttiva non va recepito dai singoli Paesi ma รจ giร di per sรฉ vincolante e vigente).
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Da quella data in pratica,ย le precedenti disposizioniย in materia – per lโItaliaย la Direttiva 95/46/EC sulla protezione dei dati e il codice per la protezione dei dati personali dlgs.n. 196/2003 – verranno sostituiti dalla nuova norma, anche se non รจ esclusa la possibilitร di una norma locale che funga da raccordo fra vecchio e nuovo ordinamento.
GDPR: cosa definisce il nuovo regolamento
In linea generale, si puรฒ dire che il nuovo regolamento (GDPR 2016/679) intervenga su sei puntiย chiave della disciplina sul trattamento dei dati. E cioรฉ:
Ambitoย diย applicazione del regolamento
Categorie di datiย soggette alle nuove norme
Consenso:ย ovvero come si esplicita lโautorizzazione al trattamento dei dati da parte dellโinteressato
Responsabilitร :ย intesa come insieme di obblighi delย titolare del trattamento nei confronti degli interessati (e delle autoritร )
Sicurezza:ย norme (tecniche e procedurali) per garantire lโinviolabilitร dei dati
Controlli e sanzioni:ย chi vigila sul corretto trattamento dei dati e quali sono le pene in caso di inadempienze
GDPR:ย quando si applica (eย quando no)
Il nuovo regolamento europeo disciplina ilย trattamento dei dati personali relativi alle persone nell’UE, da parte di persone, societร o organizzazioni. Nello specifico, si legge nel documento ufficiale pubblicato sulla Gazzetta dell’UE, si applica alย “trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi”.
Ovviamente, trattandosi di regolamento europeo, lโatto vale solo per il trattamento dei dati personali di interessati che si trovanoย all’interno dell’Unione Europeaย (ma, attenzione, non รจ necessario che il trattamento avvenga all’interno dei confini europei), oppure quando le attivitร di trattamento riguardano:
Offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietร di un pagamento dell’interessato;
Monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.
Ilย GDPR non si applica al trattamento dei dati personali di persone decedute o di persone giuridiche. Non rientrano nel regolamento neppure i dati trattati per motivi strettamente personali o perย attivitร svolte in casaย (come nel caso di un individuoย che utilizza la propria rubrica privata per invitare gli amici via e-mail a una festa), a condizione che non vi sia alcun legame con attivitร professionali o commerciali.
Quali dati possono essere definiti personali
Il dato personale viene definito comeย qualsiasi informazione riguardante una persona fisica identificata o identificabile. Per “identificabile” si intende la persona fisica che puรฒ essere riconosciuta, direttamente o indirettamente, attraverso attributi come nome, numero di identificazione, dati relativi all’ubicazione, identificativo online o a uno o piรน elementi caratteristici della sua identitร fisica, fisiologica, genetica, psichica, economica, culturale o sociale. In aggiunta al dato personale in senso stretto vanno considerati altre tre specifiche tipologie di dati (anch’essi soggetti al regolamento):
Dati genetici:ย ereditati o acquisiti, ottenuti tramite analisi di DNA ed RNA da un campione biologico della persona fisica;
Dati biometrici:ย come lโimmagine facciale, grazie ai quali รจ possibile identificare una ed una sola persona fisica;
Dati sulla salute:ย sia fisica che mentale, passata, presente o futura, ma anche informazioni su servizi di assistenza sanitaria, laddove presenti, indipendentemente dalla fonte, quale, ad esempio, un medico.
Come va espresso ilย consenso
Il consenso – si legge nel GDPR – dovrebbe essere espresso medianteun atto positivo inequivocabileย con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano. Ciรฒ puรฒ tradursiย in unaย dichiarazione orale o scritta, anche attraverso mezzi elettronici. In quest’ultimo caso,ย la richiesta deve essereย “chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso รจ espresso”: la selezione di apposite casella in un sito web รจ accettata, non altrettanto il silenzio, l’inattivitร o la preselezione di caselle.
Intermezzo promozionale ... continua la lettura dopo il box:
Il regolamento precisa anche che il consenso dovrebbe applicarsiย a tutte le attivitร di trattamento svolte per la stessa o le stesse finalitร . Qualora il trattamento abbia piรน finalitร , insomma, il consenso dovrebbe essere prestato per ciascuna di queste.
Un caso a sรจ riguarda iย dati provenienti da minori, soggetti di etร inferiore a 16 anni (o, in casi specifici, di 13 anni) cheย “possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonchรฉ dei loro diritti in relazione al trattamento dei dati personali” eย per i quali si parla diย specifica protezione.ย Questa condizione speciale – che sul piano dell’autorizzazione si deve tradurre in un intervento del genitore (a meno che non si tratti di servizi di prevenzione o di consulenza forniti direttamente al minore)ย – dovrebbe riguardare, in particolare, l’utilizzo dei dati personali a fini di marketing o di creazione di profili di personalitร o di utente.
Responsabilitร
Il titolare del trattamento – si legge ancora nel testo del GDPR – mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita,ย solo i dati personali necessari per ogni specifica finalitร del trattamento. Tale obbligo vale per la quantitร dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilitร . In particolare, le misure garantiscono cheย di default non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.
Un interessato dovrebbe anche avere ilย diritto di accedere ai dati personali raccoltiย che lo riguardano, per essere consapevole del trattamento e verificarne la liceitร , e di chiederne laย rettificaย o laย cancellazione. Ciรฒ include il diritto di accedere ai dati relativi alla salute (ad esempio cartelle mediche contenenti informazioni quali diagnosi, risultati di esami, pareri di medici curanti o eventuali terapie o interventi praticati) e l’informativa sulla finalitร per cui i dati personali sono trattati, ove possibile al periodo in cui i dati personali sono trattati, ai destinatari dei dati personali, alla logica cui risponde qualsiasi trattamento automatizzato dei dati e, almeno quando รจ basato sullaย profilazione, alle possibili conseguenze di tale trattamento.
Tale diritto – puntualizza l’UE – non dovrebbe ledere i diritti e le libertร altrui, compresoย il segreto industriale e aziendale e la proprietร intellettuale, segnatamente i diritti d’autore che tutelano il software. Tuttavia, tali considerazioni non dovrebbero condurre a un diniego a fornire all’interessato tutte le informazioni. Se il titolare del trattamento tratta una notevole quantitร d’informazioni riguardanti l’interessato, il titolare in questione dovrebbe poter richiedere che l’interessato precisi, prima che siano fornite le informazioni, l’informazione o le attivitร di trattamento cui la richiesta si riferisce.
E’ importante notare che con il nuovo GDPR i titolari non devono solo garantire l’osservanza delle norme, ma anche dimostrare di metterle in pratica. Per questo motivo si introduce il concetto diย “accountability”, una vera e propria responsabilitร sull’attuazione delle misure che prevede fra le altre cose unaย valutazione d’impatto della protezione dei datiย (una valutazione del rischio a tutti gli effetti). Correlato ad essa รจ ilย Responsabile della protezione dei datiย (DPO – Data Protecion Officer), una nuova figura cheย ha il compito di accertarsi che il titolare o il responsabile al trattamento dei dati osservino gli obblighi previsti.
Cosโรจ il diritto allโoblio
Il nuovo testo introduce il cosiddettoย diritto allโoblio, che consiste nella facoltร da parte dellโinteressato di ottenere dal titolare del trattamento la cancellazione delle informazioni personali se:
Iย dati personali non sono piรน necessari rispetto alle finalitร per le quali sono stati raccolti o altrimenti trattati;
Lโinteressato revoca il consenso su cui si basa il trattamento e se non sussiste altro fondamento giuridico per il trattamento;
Lโinteressato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;
Iย dati personali sono stati trattati illecitamente;
Iย dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dellโUnione o dello Stato membro cui รจ soggetto il titolare del trattamento;
Iย dati personali sono stati raccoltiย quando l’interessato era minore e dunque non pienamente consapevole dei rischi derivanti dal trattamento.
Registro delle attivitร
Oltre a dotarsi di unย Responsabile della protezione dei dati, il titolare del trattamento, sia esso unโazienda o una pubblica amministrazione, deve e stilare unย Registro delle attivitร ย di trattamento svolte sotto la propria responsabilitร . Tale registro, che puรฒ essere utilizzato dalle autoritร competenti per unโeventuale attivitร di controllo,ย deve contenere:
Il nome e i dati di contatto del titolare del trattamento;
Le finalitร del trattamento;
Una descrizione delle categorie di interessati e delle categorie di dati personali;
Ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e la documentazione delle garanzie adeguate;
I termini ultimi previsti per la cancellazione delle diverse categorie di dati;
Una descrizione generale delle misure di sicurezza adottate.
Quali misure devono essere utilizzate per garantire la sicurezza dei dati
In base allo specifico caso – ovvero in baseย alla natura dell’oggetto, del contesto e delle finalitร del trattamento, come anche del rischio di varia probabilitร e gravitร per i diritti e le libertร delle persone fisiche – il titolare e il responsabile del trattamento devono garantire alcuneย norme basilari di sicurezza. Rientrano fra queste:
La pseudonimizzazione e la cifratura dei dati personali;
La capacitร di assicurare su base permanente la riservatezza, l’integritร , la disponibilitร e la resilienza dei sistemi e dei servizi di trattamento;
La capacitร di ripristinare tempestivamente la disponibilitร e l’accesso dei dati personali in caso di incidente fisico o tecnico;
Una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative.
Nel valutare l’adeguato livello di sicurezza, si legge nel testo del GDPR, occorre tenere conto deiย “rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati”.
Il trasferimento di dati personali verso unย Paese terzoย o un’organizzazione internazionale รจ ammesso solo nel caso in cui sussistanoย adeguate condizioni di protezione. Tale conformitร viene valutata dalla Commissione Europea sulla base di alcuni elementi fondamentali – come stato di diritto, rispetto dei diritti umani e delle libertร fondamentali, legislazione generale e settoriale – nonchรฉ sugli impegni internazionali assunti dal paese terzo o dall’organizzazione internazionale e sull’esistenza e l’effettivo funzionamento di una o piรน autoritร di controllo indipendenti.
Chi controlla
ร compito di ogni Stato membro nominare una o piรน autoritร pubbliche indipendenti preposte all’applicazione del regolamento, definitaย come autoritร di controllo. Nello specifico:ย โLโautoritร di controllo deve essere nominata dal parlamento, dal governo, dal capo di stato oppure da un on organismo indipendente incaricato della nomina a norma del diritto dello Stato membroโ. Ogni stato deve provvedere a definire la durata del mandato (che non deve essere inferiore ai quattro anni) e lโeventuale rinnovabilitร della carica.
LโUE ha inoltre stabilito che le singole autoritร nazionali possano cooperare tra loro ed eventualmente con la Commissione stessa al fine di migliorare il livello di coerenza dell’applicazione, e ha istituito unย Comitato Europeoย (composto dalla figura di vertice di un’autoritร di controllo per ciascuno Stato membro e dal garante europeo della protezione dei dati o dai rispettivi rappresentanti) con funzioni specialiย di orientamento e disciplinaย delle controversie.
Cosa succede in caso di violazione da parte di terzi
In caso di violazione dei dati personali, il titolare del trattamento deve notificare l’accaduto all’autoritร di controllo competenteย entro 72 oreย dal momento in cui ne รจ venuto a conoscenza.
La notifica dovrebbe includere:
Una descrizione della natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativoย di interessati in questione nonchรฉ le categorie e il numero approssimativo di registrazioni dei dati personali inย questione;
La comunicazione conย il nome e i dati di contatto del responsabile della protezione dei dati;
Unaย descrizione delle probabili conseguenze della violazione dei dati personali;
Una spiegazione dele misure adottate (o in via di adozione) da parte del titolare del trattamento per porre rimedioย alla violazione o per attenuarne i possibili effetti negativi.
Sanzioni
Alle autoritร di controllo viene concessa la facoltร di:
Condurre indagini sotto forma di attivitร di revisione sulla protezione dei dati;
Ottenere dal titolare del trattamento o dal responsabile del trattamento l’accesso a tutti i dati personali e a tutte le informazioni necessarie per l’esecuzione dei propri compiti;
Imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento, la rettifica e la cancellazione degli stessi.
Le sanzioni sono inflitte in funzione delle singole circostanze e in ogni caso tenendo conto di fattori quali natura, gravitร , durata, categorie dati trattati, carattere doloso o colposo della violazione, misura adottate dal titolare o dal responsabile del trattamento. Sul piano pecuniario,ย le multe non possono superare iย 10 milioni di euro, o fino al 2% del volume d’affariย globale registrato nell’anno precedente, oppureย fino a 20 milioni di euro o fino al 4% del volume d’affari.
https://mytech.panorama.it/gdpr-regolamento-europeo-protezione-dati-personali/
