Indice dei contenuti
Che cos’è il Regolamento Generale sulla Protezione dei Dati?
Il testo del Regolamento Generale sulla Protezione dei Dati, anche noto come GDPR (General Data Protection Regulation) è stato approvato con Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio il 27 aprile 2016. Pubblicato sulla Gazzetta ufficiale dell’Unione europea il 4 maggio 2016, ed entrato in vigore il 24 maggio dello stesso anno, è operativo dal 25 maggio 2018.
L’applicazione del nuovo regolamento europeo mira a rafforzare la protezione dei dati personali dei cittadini dell’Unione europea e dei residenti nell’UE, sia all’interno che all’esterno dei confini dell’UE, e a semplificare il contesto normativo che riguarda gli affari internazionali, unificando i regolamenti dentro l’UE.
Il GDPR ha quindi l’obiettivo di armonizzare ed uniformare la normativa a livello europeo al fine di creare un insieme unico di regole comuni a tutti Paesi membri dell’UE per favorire, in maniera sicura, la circolazione dei dati dei cittadini europei.
Inoltre, il regolamento affronta il tema dell’esportazione di dati personali al di fuori dell’Unione europea e obbliga tutti i titolari del trattamento dei dati (anche con sede legale fuori dall’UE), che trattano dati di residenti nell’UE ad osservare e adempiere agli obblighi previsti.
Il GDPR ha sostituito i contenuti della direttiva sulla protezione dei dati (Direttiva 95/46/CE) e, in Italia, ha abrogato gli articoli del codice per la protezione dei dati personali (d.lgs. n. 196/2003) con esso incompatibili.
Trattamento dei dati personali: cosa significa?
Il GDPR specifica che con l’espressione “trattamento” si fa riferimento a qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come:
- la raccolta
- la registrazione
- l’organizzazione
- la strutturazione
- la conservazione
- l’adattamento o la modifica
- l’estrazione
- la consultazione
- l’uso
- la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione
- il raffronto o l’interconnessione
- la limitazione
- la cancellazione o la distruzione.
10 cose che bisogna sapere sul GDPR
Vediamo insieme quali sono le dieci cose che bisogna assolutamente sapere sul nuovo Regolamento Generale sulla Protezione dei Dati:
1) Quali dati protegge?
Il regolamento disciplina il trattamento dei dati personali delle persone fisiche compresi quelli di persone fisiche trattati in ambito professionale o associativo o situazioni similari ovvero nei rapporti tra imprese, enti e associazioni. Sono quindi esclusi dall’applicazione del GDPR i dati relativi a soggetti aventi personalità giuridica.
L’art. 4 paragrafo 1 specifica che per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Oltre ai dati personali, il GDPR si applica anche ai:
- Dati personali particolari o sensibili, disciplinati dall’art. 9 paragrafo 1, in cui rientrano informazioni sull’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati relativi alla vita sessuale o all’orientamento sessuale della persona, nonché:
- Dati genetici: ereditati o acquisiti, ottenuti tramite analisi di DNA ed RNA da un campione biologico della persona fisica in questione;
- Dati biometrici: come l’immagine facciale, grazie ai quali è possibile identificare una ed una sola persona fisica;
- Dati sulla salute: sia fisica che mentale, passata, presente o futura, ma anche informazioni su servizi di assistenza sanitaria, laddove presenti, indipendentemente dalla fonte, quale, ad esempio, un medico.
- Dati personali relativi a condanne penali o reati (art.10): l trattamento dei dati personali relativi a reati o condanne deve avvenire sotto il controllo dell’autorità pubblica o se è autorizzato dal diritto dell’Unione.
2) Come devono essere trattati i dati raccolti?
L’articolo 5 del GDPR stabilisce che i dati personali devono essere:
- trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
- raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;
- adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
- esatti e, se necessario, aggiornati; devono quindi essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
- conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
- trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
3) Che cos’è l’informativa sulla privacy?
L’informativa è il documento con il quale il titolare del trattamento, in forma scritta o orale, informa il soggetto interessato circa le finalità e le modalità del trattamento medesimo. Il documento, che deve essere fornito all’utente prima del trattamento dei dati personali, ha un duplice obiettivo: assicurare la trasparenza e la correttezza del trattamento e permettere all’interessato di rendere valido il consenso. I contenuti dell’informativa sono elencati negli articoli 13, paragrafo 1, e 14, paragrafo 1, del Regolamento UE 2016/679.
4) Quando è lecito il trattamento dei dati?
I fondamenti di liceità del trattamento sono indicati all’art. 6 del regolamento e coincidono con quelli previsti attualmente dal Codice della Privacy (D.Lgs. 196/2003) in particolare per quel che riguarda:
- il consenso;
- l’adempimento agli obblighi contrattuali;
- gli interessi vitali della persona interessata o di terzi;
- gli obblighi di legge a cui è soggetto il titolare;
- l’interesse pubblico o l’esercizio di pubblici poteri;
- l’interesse legittimo prevalente del titolare o dei terzi cui i dati vengono comunicati.
Il consenso deve essere, in tutti i casi, libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito o presunto. Il GDPR specifica che con il termine consenso si fa riferimento alla libera manifestazione dell’interessato ad acconsentire al trattamento dei suoi dati personali dopo essere stato informato sulle finalità e modalità dello stesso mediante l’informativa.
In caso di minori, il consenso è valido a partire dai 16 anni e prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.
L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento senza che l’azione pregiudichi la liceità del trattamento basata sul consenso prima della revoca.
5) Quali sono i casi in cui non si applica il regolamento?
Il GDPR non si applica ai trattamenti di dati personali:
- effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;
- effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, del Trattamento dell’Unione europea (TUE);
- effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico;
- effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.
6) Che cos’è lo sportello unico?
Il Regolamento Generale sulla Protezione dei Dati introduce il principio dello sportello unico (One Stop Shop) che garantisce la cooperazione tra le autorità per la protezione dei dati in caso di trattamento transfrontaliero. Le imprese che operano in più Stati UE possono rivolgersi al Garante Privacy del Paese dove hanno la loro sede principale.
7) Che cos’è il principio di “responsabilizzazione”?
La nuova normativa pone l’accento sulla cosiddetta “responsabilizzazione” (Accountability nell’accezione inglese) di titolari e responsabili, ovvero sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento. L’Accountability rappresenta una grande novità per la protezione dei dati poiché viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.
8) Che cos’è il Data protection officer (DPO)?
Il Responsabile per la protezione dei dati è una nuova figura prevista dal GDPR le cui responsabilità di informare, controllare e cooperare sono descritte nell’art.39 del regolamento. Il DPO è un consulente tecnico e legale con potere esecutivo che deve possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse e operare alle dipendenze del titolare o del responsabile del trattamento oppure sulla base di un contratto di servizio. La designazione del Data Protection Officer è obbligatoria nei seguenti casi:
- amministrazioni, enti pubblici e autorità giudiziarie nell’esercizio delle loro funzioni;
- tutti i soggetti la cui attività principale consiste
in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; - tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.
9) Che cosa si intende con portabilità dei dati?
La portabilità dei dati è un nuovo e importante diritto disciplinato dall’art. 20 del GDPR che consente all’interessato di ricevere, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali che lo riguardano forniti a un titolare del trattamento al fine di trasmetterli, senza impedimento, a un diverso titolare. In altre parole, la portabilità dei dati semplifica il passaggio da un fornitore di servizi all’altro e facilita la creazione di nuovi servizi in linea con la strategia dell’Ue per il mercato unico digitale. Altri diritti contenuti nel GDPR sono: il diritto alla cancellazione (art.17), il diritto alla limitazione del trattamento (art.18) e il diritto dell’interessato di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano (art.21).
10) Cosa prevede il sistema sanzionatorio?
L’art.83 del GDPR disciplina due diversi gruppi di sanzioni amministrative:
- violazioni che prevedono un’ammenda fino a 10 milioni di euro o fino al 2% del fatturato dell’anno precedente per le imprese (da intendersi come gruppo) che, ad esempio, non comunicano un data breach all’Autorità garante, violano le condizioni sul consenso dei minori oppure trattano in maniera illecita i dati personali degli utenti;
- violazioni che prevedono un’ammenda fino a 20 milioni di euro o 4% del fatturato per le imprese nei casi, ad esempio, di trasferimento illecito di dati personali ad altri Paesi o di inosservanza di un ordine imposto dal Garante.
Ogni sanzione è commisurata alla gravità, alla natura o alla durata della violazione al GDPR, al numero di soggetti coinvolti e alla sostanza dolosa o colposa.
In merito alle sanzioni penali, l’art.84 specifica che è compito degli Stati membri stabilire “altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive”.
In Italia, le sanzioni penali sono disciplinate da Codice della Privacy 2003.
