Dati personali: protezione più severa

imagazine massimiliano sinacori

Massimiliano Sinacori

24 Maggio 2018
Reading Time: 4 minutes
Condividi

Regolamento GDPR

Condividi

Il 25 maggio 2018 entra in vigore il Regolamento UE n. 679/2016 in materia di protezione, trattamento e libera circolazione dei dati personali relativi alle persone fisiche. Tale regolamento, meglio noto come GDPR (General Data Protection Regulation), va a sostituire la direttiva CE 95/46 fornendo una tutela più completa in merito alla protezione, trattamento, gestione, custodia e circolazione dei dati in un mondo sempre più digitale.

A distanza di oltre 20 anni, quindi, l’Unione europea interviene nuovamente in materia di protezione dei dati personali attraverso un atto di legislazione, il regolamento, caratterizzato per essere direttamente applicabile a tutti gli Stati membri, senza interventi nazionali che ne recepiscano il contenuto e lo rendano obbligatorio a tutti i cittadini. Ciò al fine di stabilire regole uniformi in tutti gli Stati membri.

L’obiettivo principale del GDPR è quello di dare all’individuo il controllo sulle informazioni che lo riguardano e, in secondo luogo, fornire agli operatori indicazioni certe e uniformi in relazione alla modalità di trattamento dei dati forniti dagli utenti. Oggetto di protezione del GDPR sono i dati personali, vale a dire tutte le informazioni che identificano una persona fisica, fornendo dettagli sullo stile di vita, sulle sue abitudini, sullo stato di salute…

I dati possono suddividersi in identificativi (riguardanti informazioni anagrafiche, dati biometrici, immagini), sensibili (relativi alle origini etniche, alle idee politiche o religiose, allo stato di salute), giudiziari (indicano l’esistenza di provvedimenti giudiziari soggetti a iscrizione nel casellario giudiziario, rivelano la qualità di indagato o di imputato in procedimenti penali).

In via esemplificativa, nell’esercizio di un’attività di impresa questi dati possono derivare da: servizio clienti (nomi, indirizzi, telefoni di clienti, fornitori, dipendenti, ecc.), elaborazione di ordini (codici IBAN o di carte di credito, storico di vendite, tipologie di merci acquistate), informazioni raccolte attraverso siti web, apps, cookies e altre modalità di raccolta dati che consentono di ottenere informazioni in merito a quando viene visitato un sito, che tipo di contenuti ha e in che modo l’utente interagisce con essi attraverso collegamenti contenenti materiale pubblicitario mirato.

Il regolamento, dunque, è rivolto a tutti quei soggetti (aziende, società, enti pubblici o privati) che, per il tipo di attività che svolgono, devono raccogliere, conservare, elaborare, trasmettere dati personali. In una parola “trattare” dati personali.

In tali contesti, il GDPR delinea due figure principali: il titolare del trattamento e il responsabile del trattamento. Il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; mentre il responsabile del trattamento è colui che tratta i dati personali per conto del titolare del trattamento e nel rispetto delle disposizioni del regolamento.

Alla base della legittimazione al trattamento di questi dati non può che esservi il consenso dell’interessato al quale sono attribuiti ex lege i diritti di accesso, rettifica, di cancellazione (oblio) e di portabilità dei dati che lo riguardano. Al titolare del trattamento (o al responsabile del trattamento), viene richiesta massima trasparenza in merito alla tipologia dei dati raccolti, al trattamento che questi dati ricevono e allo scopo per il quale vengono raccolti. Oneri di trasparenza che devono essere ben compresi non solo da parte dei propri clienti e fornitori ma anche dei propri dipendenti che nel concreto raccolgono e utilizzano le informazioni dei clienti.

Per garantire una tutela efficace dei dati personali, la normativa richiede ai titolari del trattamento, ovvero ai responsabili del trattamento, di compiere un’analisi costante e aggiornata che prenda in seria considerazione i rischi connessi al trattamento e conseguentemente di adottare adeguate misure tecniche e organizzative idonee a garantire la sicurezza nel trattamento. Misure che, in base alle dimensioni dell’organismo, alle tipologie di dati trattati e al volume degli stessi, possono prevedere la tenuta di particolari registri per il trattamento e/o la nomina di un soggetto terzo (cd. responsabile della protezione o data protection officer – DPO) con funzioni consulenziali, di vigilanza e di contatto con l’autorità di controllo.

Ulteriore e significativa novità contenuta nel GDPR è la sua efficacia anche oltre i confini dell’Unione europea: sebbene si tratti di un regolamento europeo, la sua efficacia si estende a qualunque trattamento di dati personali dall’UE verso un paese terzo, oppure al trattamento da parte di soggetti terzi con riferimento ai dati personali di soggetti interessati che si trovano nell’Unione. La condivisione di tali dati può aver luogo soltanto se il trattamento avviene nel rispetto delle disposizioni del GDPR. Non ultimo, aspetto affatto trascurabile è il pesante impianto sanzionatorio contenuto nel nuovo regolamento: l’accertamento di violazioni del GDPR comporta, a seconda della gravità della violazione, l’applicazione di sanzioni amministrative pecuniarie che variano dai 10 ai 20 milioni di euro ovvero, per le imprese, dal 2 al 4% del fatturato totale annuo dell’esercizio precedente.

Inoltre, se l’interessato ritiene che la modalità di trattamento dei propri dati non avvenga in conformità con il GDPR ha diritto di proporre reclamo dinanzi all’autorità di controllo, la quale svolgerà un’attività di indagine per accertare l’effettiva violazione e per verificarne l’entità. L’interessato potrà altresì proporre ricorso giurisdizionale sia avverso una decisione dell’autorità medesima che nei confronti del titolare del trattamento che abbia violato i diritti previsti dal regolamento.

Ragion per cui, è calorosamente consigliabile adoperarsi quanto prima per elaborare insieme a consulenti legali e tecnici un sistema di protezione che da un lato prenda in considerazione le esigenze correlate al tipo di attività svolta e alla tipologia dei dati in essa trattati e dall’altro renda tale attività in linea con la nuova normativa.

Visited 6 times, 1 visit(s) today