Il Regolamento Ue 2016/679, meglio noto come GDPR (acronimo di General Data Protection Regulation o Regolamento Generale sulla Protezione dei Dati, in italiano) è entrato in vigore il 25 maggio 2018. In Italia, il decreto delegato di adeguamento della normativa nazionale alle nuove disposizioni comunitarie è stato pubblicato in Gazzetta Ufficiale il 4 settembre ed entrerà in vigore il 19 settembre.
Il GDPR nasce per garantire certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo.
Cosa si intende per dati personali
Il dato personale, come definito dal Gdpr, è “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
A chi si applica
Il regolamento si applica al trattamento “interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi”.
Riguarda, quindi, un amplissimo ventaglio di aziende o enti pubbliche e private – dalle aziende sanitarie alle federazioni sportive, dai social network alle società di telemarketing – che trattano dati personali “nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione”, ma anche a quelle aziende che, pur stabilite fuori dalla Ue offrono beni o servizi in Europa o monitorano il comportamento delle persone nell’UE.
Il GDPR, in sintesi:
- Introduce regole più chiare su informativa e consenso e definisce i limiti al trattamento automatizzato dei dati personali;
- Stabilisce criteri rigorosi per il trasferimento dei dati fuori dalla Ue e norme rigorose per i casi di violazione dei dati (data breach);
- Getta le basi per l’esercizio di nuovi diritti;
Il DPO, chi è cosa fa
Tra gli adempimenti di più ampio impatto del GDPR, c’è l’obbligo a nominare il responsabile della protezione dei dati personali ovvero del Data Protection Officer (DPO). Il DPO è un supervisore indipendente, incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti e individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati. La sua nomina è obbligatoria nel caso in cui “il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”.
Titolare del trattamento e Accountability
Tra i principali elementi di novità introdotti dal Regolamento, il principio di accountability, in base al quale il Titolare del trattamento dati deve non solo rispettare una serie di principi (articoli 5 e 6), ma anche essere in grado di dimostrarlo.
I dati personali devono essere trattati rispettando, tra le altre cose, i principi di:
- liceità, correttezza e trasparenza del trattamento
- limitazione della finalità del trattamento e minimizzazione dei dati
- esattezza e aggiornamento dei dati, compresa la opportuna cancellazione dei dati che risultino inesatti
- limitazione della conservazione
- integrità e riservatezza
Il titolare del trattamento dovrà individuare i rischi e le misure tecnico-organizzative atte a garantire un livello di sicurezza adeguato al rischio del trattamento e comunicare eventuali violazioni dei dati personali al Garante.
Titolare e responsabile del trattamento dovranno inoltre compilare e rendere disponibile per eventuali controlli dell’Autorità un Registro dei trattamenti in essere, con dei contenuti minimi stabiliti nell’art. 30 del Regolamento.
Per tutte le informazioni sul nuovo Regolamento Ue, vai all’articolo completo: GDPR, tutto ciò che c’è da sapere per essere in regola o a questa raccolta di articoli
