Che cos’è e a cosa serve il Regolamento Generale sulla Protezione dei Dati?
Il testo del Regolamento Generale sulla Protezione dei Dati, anche noto come GDPR (General Data Protection Regulation) è stato approvato con Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio il 27 aprile 2016. Operativo dal 25 maggio 2018, è stato pubblicato sulla Gazzetta ufficiale dell’Unione europea il 4 maggio 2016 ed è entrato in vigore il 24 maggio dello stesso anno.
L’applicazione del nuovo regolamento europeo mira a rafforzare la protezione dei dati personali dei cittadini dell’Unione europea e dei residenti nell’UE.
L’obiettivo del GDPR è di armonizzare ed uniformare la normativa a livello europeo al fine di creare un insieme unico di regole comuni a tutti Paesi membri dell’Unione Europea per favorire la circolazione dei dati dei cittadini europei.
Il GDPR ha sostituito i contenuti della direttiva sulla protezione dei dati (Direttiva 95/46/CE) e, in Italia, ha abrogato gli articoli del codice per la protezione dei dati personali (d.lgs. n. 196/2003) con esso incompatibili.
Ma cosa s’intende con il termine “trattamento”? Il riferimento a qualsiasi operazione o insieme di operazioni, compiute con o senza l’aiuto di processi automatizzati e applicate a dati personali o insiemi di dati personali, come: la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
5 cose da sapere sul GDPR
Scopriamo quali sono le dieci cose che devi assolutamente sapere sul nuovo Regolamento Generale sulla Protezione dei Dati:
1) Quali dati protegge?
Il regolamento disciplina il trattamento dei dati personali delle persone fisiche compresi quelli di persone fisiche trattati in ambito professionale o associativo o situazioni similari ovvero nei rapporti tra imprese, enti e associazioni.
L’art. 4 paragrafo 1 specifica che per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Oltre ai dati personali, il GDPR si applica anche ai:
- Dati personali particolari o sensibili, in cui rientrano informazioni sull’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati relativi alla vita sessuale o all’orientamento sessuale della persona, nonché:
- Dati genetici
- Dati biometrici
- Dati sulla salute
- Dati personali relativi a condanne penali o reati (art.10)
2) Come devono essere trattati i dati raccolti?
L’articolo 5 del GDPR stabilisce che i dati personali devono essere:
- trattati in modo lecito, corretto e trasparente nei confronti del soggetto interessato;
- raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con le finalità previste;
- adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
- esatti e, se quando necessario, aggiornati;
- conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
- trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
3) Che cos’è l’informativa sulla privacy?
L’informativa è il documento con il quale il titolare del trattamento, in forma scritta o orale, informa il soggetto interessato circa le finalità e le modalità del trattamento medesimo. Il documento ha un duplice obiettivo: assicurare la trasparenza e la correttezza del trattamento e permettere all’interessato di rendere valido il consenso.
4) Chi è e cosa fa il data protection officer (DPO)?
Il Responsabile per la protezione dei dati è una nuova figura prevista dal GDPR le cui responsabilità di informare, controllare e cooperare sono descritte nell’art.39 del regolamento. Il DPO è un consulente tecnico e legale con potere esecutivo che deve possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse e operare alle dipendenze del titolare o del responsabile del trattamento oppure sulla base di un contratto di servizio. La designazione del Data Protection Officer è obbligatoria nei seguenti casi:
- amministrazioni, enti pubblici e autorità giudiziarie nell’esercizio delle loro funzioni;
- tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- tutti i soggetti la cui attività principale consiste nel trattamento di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.
5) Cosa prevede il sistema sanzionatorio?
L’art.83 del GDPR disciplina due diversi gruppi di sanzioni amministrative:
- violazioni che prevedono un’ammenda fino a 10 milioni di euro o fino al 2% del fatturato dell’anno precedente per le imprese che, ad esempio, non comunicano un data breach all’Autorità garante, violano le condizioni sul consenso dei minori oppure trattano in maniera illecita i dati personali degli utenti;
- violazioni che prevedono un’ammenda fino a 20 milioni di euro o 4% del fatturato per le imprese nei casi di trasferimento illecito di dati personali ad altri Paesi o di inosservanza di un ordine imposto dal Garante.
Ogni sanzione è commisurata alla gravità, alla natura o alla durata della violazione al GDPR, al numero di soggetti coinvolti e alla sostanza dolosa o colposa.
In Italia, le sanzioni penali sono disciplinate dal Codice della Privacy 2003.