GDPR: un riassunto sul regolamento per la protezione dei dati

Tutto quello che devi sapere sul GDPR in breve

Il Regolamento per la protezione dei dati personali dell’UE, ovvero il tanto temuto Regolamento UE 2016/679 meglio noto come GDPR, è entrato in vigore da oramai un anno. Si tratta di un regolamento che nasce per garantire certezza giuridica, armonizzazione delle fonti, oltre che per semplificare le norme di trasferimento dei dati personali dall’UE verso le altre parti delle mondo.

La sua entrata in vigore, lo scorso 25 maggio 2018, ha spaventato in molti, specie gli addetti ai lavori del web anche se, per molti di loro, nella realtà dei fatti non è poi cambiato molto. Tuttavia ancora oggi, quando si nomina il GDPR sono in molti a mettersi le mani sui capelli e ad esclamare: “Io non ci capisco niente su questo regolamento per la protezione dei dati personali!

Per questo proviamo a spiegare brevemente ed in maniera sintetica tutti gli aspetti che lo riguardano.

Cosa si intende per dati personali

Per dato personale si intende, citiamo testualmente:

“qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

A chi si applica il regolamento per la protezione dei dati personali UE 2016/679

Il GDPR si applica quindi al trattamento dei dati personali che sia interamente o parzialmente automatizzato e non solo. Si deve anche applicare a tutti quei dati che rientrano nella definizione di cui sopra che siano contenuti in un archivio o che comunque siano destinati a figurarvi.

Come avrai intuito quindi, il General Data Protection Regulation, riguarda quindi una vasta quantità di aziende o enti sia pubblici che privati che trattano questo tipo di dati all’interno dell’UE ma anche quelle aziende che, pur avendo sede al di fuori dell’Europa, hanno interessi a monitorare il comportamento dei sui residenti per poi offrirgli in maniera più mirata prodotti o servizi.

GDPR in sintesi

  • Introduce regole più chiare su informativa e consenso e definisce i limiti al trattamento automatizzato dei dati personali;
  • Stabilisce criteri rigorosi per il trasferimento dei dati fuori dalla Ue e norme rigorose per i casi di violazione dei dati (data breach);
  • Getta le basi per l’esercizio di nuovi diritti;

Chi è e cosa fa il Data Protection Officer, la nuova figura introdotta dal GDPR

Sicuramente uno dei cambiamenti introdotti dal regolamento per la protezione dei dati personali GDPR che ha avuto uno dei maggiori impatti è proprio l’obbligo per le aziende di nominare un Data Protection Officer o DPO. In sostanza si tratta di nominare un supervisore indipendente che dovrà assicurarsi una corretta gestione dei dati personali nelle imprese e negli enti di cui ne hanno bisogno.

Il DPO dovrebbe essere individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa, oltre che delle prassi, che regolano la protezione dei dati personali. Ne consegue che quindi il DPO dovrà essere formato adeguatamente, anche tramite dei corsi online sicurezza lavoro specifici per il GDPR come avremo modo di approfondire più avanti.

La nomina del DPO non è però obbligatoria. Infatti lo è solo quando:

“il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”.

Il principio di accountability ed il  titolare del trattamento dei dati

regolamento per la protezione dei dati personaliL’altra grande novità di questo regolamento per la protezione dei dati personali è l’introduzione del principio di accountability che obbliga il Titolare del trattamento dei dati a rispettare una serie di principi (in particolare quelli contenuti negli articoli 5 e 6 del regolamento) e, al tempo stesso, essere in grado di dimostrarlo. Entrando brevemente nello specifici, i dati personali devono essere trattati rispettando:

  • il principio di liceità, correttezza e trasparenza del trattamento;
  • la limitazione della finalità del trattamento e minimizzazione dei dati;
  • il principio che rispetta l’esattezza e aggiornamento dei dati, compresa la opportuna cancellazione dei dati che risultino inesatti;
  • limitazione della conservazione;
  • integrità e riservatezza.

Compito del titolare del trattamento dei dati è quello di individuare i rischi e le misure tecnico-organizzative atte a garantire un livello di sicurezza adeguato al trattamento dei dati. Questo implica che sia proprio il Titolare del trattamento a comunicare eventuali violazioni dei dati personale al Garante della Privacy.

Titolare e responsabile del trattamento dovranno inoltre compilare e rendere disponibile per eventuali controlli dell’Autorità un Registro dei trattamenti in essere, con dei contenuti minimi stabiliti nell’art. 30 del Regolamento.

Corso di formazione alla privacy per essere formati al meglio sul nuovo regolamento per la protezione dei dati personali

Il Regolamento sulla privacy europeo 679/16 (Gdpr) prevede l’obbligo della formazione per le pubbliche amministrazioni ed imprese in materia di protezione dei dati personali per tutte le figure presenti nell’organizzazione (sia dipendenti che collaboratori). D’altronde, quello che abbiamo scritto qui sopra, non è affatto di semplice attuazione.

Il rischio di commettere delle infrazioni è alto, così come le sanzioni da pagare, pertanto, all’interno di un ente pubblico o di un azienda privata, è sempre meglio formare adeguatamente le persone che ricoprono i ruoli di Titolare o Responsabile del trattamento dei dati o di responsabile del trattamento. Oltre al fatto che la sicurezza dei database all’interno dei quali sono conservati i dati, influenza anche la sicurezza dell’azienda e dei suoi dipendenti e quindi non è sbagliato inquadrare questo tipo di formazione come un vero e proprio corso sicurezza sul lavoro.

Diretta conseguenza di quanto appena detto, soprattutto dell’obbligo di formazione alla privacy, è il fatto che possedere le competenze specifiche in materia è un prerequisito per potere operare all’ interno delle organizzazioni, imprese e pubbliche amministrazioni.

Sanzioni per chi non rispetta il nuovo regolamento per la protezione dei dati personali

Non essere in regola con gli obblighi formativi in materia di privacy e trattamento dei dati personali può far scattare pesanti sanzioni da parte degli enti preposti al controllo come la Guardia di Finanza o l’Autorità Garante della Privacy. L’art. 83 par 4 del Regolamento privacy europeo, stabilisce la rilevante sanzione amministrativa pecuniaria che può ammontare fino a 10 milioni di euro o, per le imprese, fino a 2 % del fatturato mondiale annuo dell’anno precedente se superiore.

Commenta Qui sotto

commenti