Il 4 maggio 2016 è stato pubblicato, nella Gazzetta Ufficiale dell’Unione Europea, il nuovo Regolamento UE 679/2016.

Questo nuovo regolamento, conosciuto come GDPR (General Data Protection Regulation), entrerà in vigore il 25 maggio 2018 in tutti gli Stati dell’Unione Europea ed è fondamentalmente nato per garantire un’armonizzazione della normativa privacy europea, soprattutto in riferimento alla protezione ed al trattamento dei dati personali.

Esso quindi riguarderà direttamente tutti coloro (professionisti ed imprese) che, nello svolgimento della propria attività economica, si ritroveranno a trattare dati personali di terze persone.

In questo nostro primo articolo, legato alla nuova normativa privacy, analizzeremo le principali novità introdotte da questa nuova disciplina soprattutto in riferimento alle definizioni dei concetti generali.

Nelle successive pubblicazioni legate a questo tema analizzeremo maggiormente nel dettaglio i principi cardine di questa nuova normativa e le modalità con cui le imprese dovranno approcciarsi a questo nuovo cambiamento.

Cosa cambia rispetto alla precedente normativa privacy italiana?

La principale caratteristica che differenzia il GDPR rispetto alla precedente disciplina privacy italiana (contenuta nell’abrogato D. Lgs. 196/2003) riguarda il fatto che con questa nuova normativa europea si passa dal rispetto di adempimenti privacy standardizzati ad adempimenti decisamente più su misura del soggetto coinvolto.

Questi nuovi adempimenti andranno quindi a mutare a seconda dei vari casi concreti e a seconda del tipo di soggetto interessato; nello specifico faranno quindi riferimento alla quantità e alla tipologia dei dati trattati.
Torna in Cima

A quali dati bisogna prestare particolare attenzione?

Per poter comprendere correttamente la reale portata della nuova disciplina europea in tema di privacy è innanzitutto necessario soffermarsi sul fondamentale concetto di dato personale.

Per “dato personale” si fa riferimento a tutte quelle informazioni che identificano o rendono identificabile una determinata persona (fisica).

Questi dati consentono quindi di risalire a determinate caratteristiche del soggetto quali:

  • riferimenti anagrafici;
  • abitudini;
  • stile di vita;
  • relazioni personali;
  • stato di salute;
  • situazione economica.

Tra i dati personali di un soggetto, risultano essere particolarmente importanti:

  • i dati identificativi: ossia tutti quei dati che consentono l’identificazione diretta del soggetto. L’esempio più comune è rappresentato dai dati anagrafici quali il nome, il cognome, la data ed il luogo di nascita, ecc;
  • i dati sensibili: ossia tutte quelle informazioni che possono ricondurre all’origine razziale ed etnica, alle convinzioni religiose, alle opinioni politiche, all’adesione ad associazioni, allo stato di salute, alla vita sessuale, ecc.
  • i dati giudiziari: ossia tutte le informazioni che possono rilevare l’esistenza di determinati provvedimenti giudiziari o la qualità di imputato o di indagato.

La nuova normativa privacy europea definisce inoltre, in modo assolutamente preciso, il concetto di violazione dei dati personali:

l’insieme delle azioni accidentali o illecite che determinano la distruzione, la perdita, la modifica e la divulgazione non autorizzata di dati trasmessi, conservati o comunque trattati.

Torna in Cima

Cosa si intende con trattamento dei dati?

Uno degli aspetti più importati del nuovo Regolamento UE 679/2016 riguarda il concetto di trattamento dei dati.

Con esso si fa riferimento a qualsiasi operazione (o a qualsiasi insieme di operazioni), automatizzata o meno, che consente di raccogliere, registrare, organizzare, conservare, modificare, utilizzare, ecc., dati personali relativi ad un determinato soggetto interessato (persona fisica).

In merito alle attività legate al trattamento dei dati personali vengono a delinearsi due distinte figure:

  • Il Titolare del trattamento: la persona fisica o giuridica, l’Autorità pubblica, il servizio o altro organismo a cui spettano tutte le responsabilità nell’ambito di uno specifico trattamento di dati personali.
    Un esempio di titolare del trattamento può essere rappresentato dal fisioterapista (o più semplicemente il medico) che, nel fornire una sua determinata prestazione sanitaria, raccoglie, utilizza e trasmette determinati dati sensibili (legati allo stato di salute) del soggetto che ha visitato.
  • Responsabile del trattamento: la persona fisica o giuridica, l’Autorità pubblica, il servizio o altro organismo, designato tramite contratto dal Titolare del trattamento, che pone in essere operazioni sui dati personali (quindi li utilizza) per conto del titolare del trattamento e ha l’obbligo di garantirne la sicurezza.

Torna in Cima

Chi è l’interessato del trattamento dei dati?

L’interessato del trattamento dei dati è il soggetto (persona fisica) a cui si riferiscono i dati personali, oggetto di trattamento.

Quindi, ad esempio, se un determinato trattamento riguarda l’indirizzo o il codice fiscale di Mario Rossi, egli rappresenta l’interessato del trattamento stesso.

All’interessato vengono riconosciuti determinati diritti che sono specificatamente elencati negli articoli dal 12 al 23 del GDPR.

Molti di questi diritti erano già di per sé riconosciuti dalla precedente normativa privacy italiana ma il nuovo Regolamento UE introduce ulteriori garanzie.

Tra le più importanti troviamo:

  • diritto alla portabilità:
    questo diritto consente all’interessato del trattamento di riutilizzare i propri dati, già oggetto di trattamento da parte di un determinato titolare, per altri scopi. La logica che muove questo diritto è quella di far sì che all’interessato venga riconosciuta la possibilità di ricevere, dal Titolare del trattamento, i propri dati personali in un formato di uso comune e leggibile, in modo da poterne disporre e, di conseguenza, controllare l’utilizzo. Questo formato standardizzato deve consentire la memorizzazione, su un proprio dispositivo, dei dati forniti, ed inoltre deve garantire la possibilità di un eventuale ulteriore utilizzo dei dati nei confronti di un altro titolare di trattamento.
  • diritto all’oblio:
    questo diritto consente all’interessato di richiedere la cancellazione dei propri dati personali che ha fornito, nel momento in cui non sono più necessari per gli scopi per cui sono stati raccolti. La cancellazione può essere richiesta anche qualora i dati vengano trattati illecitamente oppure l’interessato stesso si opponga legittimamente al loro trattamento. Infine al diritto all’oblio si collega anche un’altra importante novità prevista dal GDPR e relativa alla durata del trattamento e della conservazione dei dati dell’interessato. Quest’ultima non potrà in alcun caso essere illimitata ma dovrà sempre essere ponderata alla finalità per la quale è stata richiesta la raccolta del dato.

Torna in Cima

L’informativa ed il consenso al trattamento dei dati

Un ulteriore importante novità introdotta dal GDPR riguarda i contenuti e le caratteristiche che deve possedere l’informativa legata al trattamento dei dati, che viene rilasciata all’interessato.

La nuova normativa europea oltre a definirne i contenuti specifica anche le regole necessarie a rendere l’informativa stessa di effettiva ed efficace comprensione.

Ispirandosi al principio di trasparenza il legislatore europeo impone al Titolare del trattamento di predisporre un’informativa accessibile, concisa e soprattutto scritta con un linguaggio che sia chiaro, semplice e di facile comprensione. Nello specifico l’informativa dovrà sottolineare, tra le altre informazioni:

  • le figure e la tipologia del trattamento dei dati in oggetto;
  • l’eventuale trasferimento dei dati in Stati terzi;
  • il periodo di conservazione dei dati, le finalità del trattamento ed i diritti dell’interessato.

La logica che ha spinto il legislatore nel definire i contenuti e le principali caratteristiche dell’informativa è legata alla volontà di consentire all’interessato una comprensione realmente efficace dei trattamenti a cui saranno sottoposti i propri dati.

Solo in questo modo l’interessato sarà in grado di rilasciare al Titolare del trattamento un consenso (o un non consenso) valido.

Il consenso dell’interessato rappresenta un elemento fondamentale in quanto, nel momento in cui quest’ultimo, una volta compreso attraverso la lettura dell’informativa come saranno trattati i suoi dati, non dovesse rilasciarlo, in alcun modo sarà possibile, per il Titolare, effettuare un trattamento sui suoi dati personali.

Infine, il consenso dell’interessato deve essere sempre libero, specifico, informato e inequivocabile (non è ammesso il consenso tacito o presunto). Quando vengono trattati dati “sensibili” il consenso deve essere anche “esplicito”.

Non necessariamente deve essere rilasciato in forma scritta ma quest’ultima può essere considerata come una modalità idonea a garantire l’inequivocabilità del consenso stesso.
Torna in Cima

Risolviamo insieme il tuo problema, scrivi ora