APP Web Agency - APP Dipinge
#appblog

General Data Protection Regulation: come, quando, perché

Pubblicato il: 21 febbraio 2018

Sono passati due anni dall’entrata in vigore del General Data Protection Regulation e ormai manca davvero poco alla data in cui inizierà ad avere efficacia. Eppure continua a essere davvero poco chiaro cosa cambierà e quali ripercussioni avranno le novità introdotte in materia di protezione dei dati. 

 

GENERAL DATA PROTECTION REGULATION: QUANDO?

Il General Data Protection Regulation (GDPR) o Regolamento europeo sulla Protezione dei Dati Personali, tecnicamente detto Regolamento UE n. 679/2016 sulla protezione dei dati personali, oppure, più semplicemente, il nuovo Regolamento sulla privacy, è il più radicale cambiamento in materia di protezione dei dati negli ultimi 20 anni.

 

Il testo, pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016, è entrato in vigore il 25 maggio dello stesso anno, ma fin qui poco ci ha toccati.

 

La data veramente importante sarà quella del 25 maggio 2018, quando il GDPR diventerà valido a tutti gli effetti. Sanzionatori soprattutto! Ovviamente per chi non si adeguerà alle nuove direttive sulla protezione dei dati personali.

 

PERCHÉ LA NECESSITÀ DI UN NUOVO REGOLAMENTO PER LA PROTEZIONE DEI DATI

L’economia della conoscenza e dell’informazione ha reso i dati personali la materia prima su cui costruire nuovi business, tanto da essere definiti il “petrolio” dell’era digitale. Da qui, la necessità di garantirne una quanto più estesa e completa tutela.

 

Il General Data Protection Regulation porta in materia di protezione dei dati a un capovolgimento di prospettiva: le vecchie norme erano fondate sui diritti dell’interessato, mentre il GDPR si basa sui doveri e sull’accountability del titolare del trattamento

 

Il Regolamento sulla protezione dei dati, che avrà validità in tutti i paesi dell’Unione Europea senza la necessità di essere recepito attraverso specifiche leggi, in estrema sintesi, prevede:

  • margini più ampi per la definizione di dati personali;
  • regole più trasparenti in materia di informativa e consenso;
  • maggiori limiti al trattamento automatizzato dei dati personali;
  • criteri più stringenti per il trasferimento dei dati al di fuori dell’UE;
  • più rigore nei casi di violazione dei dati personali (data breach);
  • l’introduzione di nuove figure professionali come il Data Protection Officer.
APP Web Agency - #APPBlog – General Data Protection Regulation - Infografica

COSA RIGUARDA IL NUOVO REGOLAMENTO EUROPEO PER LA PROTEZIONE DEI DATI

Secondo l’articolo 4 del nuovo Regolamento Europeo sulla Privacy, per “dato personale” si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile.

 

Ma quali sono le informazioni ritenute, direttamente o indirettamente, in grado di identificare una persona?

 

DATI PERSONALI: sono le informazioni di carattere personale che consentono l’identificazione diretta della persona fisica, come possono essere:

  • nome e cognome;
  • indirizzo di casa;
  • numero di passaporto;
  • numero di patente;
  • numero di targa del veicolo.

 

DATI IDENTIFICATIVI ONLINE: il General Data Protection Regulation include, in modo esplicito, nel concetto di dati personali i dati identificativi raccolti online. Questi sono rappresentati da tutti i dati generati da dispositivi, applicazioni, strumenti digitali, protocolli usati, cookies o identificativi di altro genere, come i tag di identificazione a radiofrequenza.

Le tracce lasciate da questi dati, se combinate con altre informazioni, possono condurre all’identificazione di persone fisiche. Evitare ciò è l’intento delle nuove regole del GDPR.

Rientrano in questa categoria, ad esempio:

  • indirizzo email;
  • indirizzo IP (se collegato ad altri dati);
  • identità digitale;
  • account name o nickname;
  • dati di geolocalizzazione.

 

DATI SENSIBILI: definiti nel Regolamento europeo sulla Privacy come categorie particolari di dati personali, riguardano tutte le informazioni dalle quali si possono estrapolare:

  • l’origine razziale o etnica;
  • le opinioni politiche;
  • gli orientamenti religiosi;
  • l’appartenenza sindacale;
  • dati relativi alla salute;
  • dati relativi alla vita o all’orientamento sessuale.

 

Inoltre, sono introdotti dal GDPR in questa tipologia:

  • i dati genetici, quali possono essere le informazioni sul profilo genetico e sulle caratteristiche biologiche di una persona;
  • i dati biometrici, come ad esempio l’impronta digitale, l’immagine del volto e tutti i tratti fisici che possono essere utilizzati per identificare in maniera inequivocabile un individuo.

 

CHI È INTERESSATO DALLE NOVITÀ INTRODOTTE DEL GENERAL DATA PROTECTION REGULATION

Nessuno si senta escluso. Il nuovo Regolamento europeo sulla Protezione dei Dati Personali riguarda tutti.

Aumenta per tutti il livello di sicurezza sul trattamento dei propri dati.

Accresce i diritti degli utenti in materia di protezione dei dati ma anche i doveri in capo alle aziende.

 

Il GDPR prevede nuove figure e organi con competenze allargate:

  • Controller: il titolare del trattamento dei dati;
  • Processor: Responsabile del trattamento dei dati;
  • Data Protection Officer (DPO): Responsabile della Protezione dei Dati;
  • Supervisory Authority: garante per la protezione dei dati;
  • European Data Protection Board: Commissione Europea per la protezione dei dati.

 

COME IL REGOLAMENTO DISCIPLINA LA PROTEZIONE DEI DATI

Alla soglia della piena applicazione del Regolamento, prevista il 25 maggio 2018, è bene aver chiaro quali sono gli aspetti che devono cambiare per non rischiare di farsi trovare impreparati e sanzionabili. Vediamo nello specifico quelli più rilevanti per l’utente e per le aziende:

 

INFORMATIVA: si trasforma da documento burocratico di adempimento a una norma a strumento di informazione. In che modo?

  • dovrà essere quanto più possibile concisa, trasparente, chiara e facilmente accessibile;
  • potrà essere fornita in forma scritta, preferibilmente in formato elettronico, ma potrebbe anche essere data oralmente purché rispetti i principi del Regolamento;
  • potrà utilizzare icone, che dovranno però essere uguali a quelle che stabilirà la Commissione Europea per consentire una standardizzazione dei simboli;
  • dovrà contenere tutte le informazioni sul trattamento, dalle finalità alla possibilità di cancellazione ai dati del titolare del trattamento.

 

CONSENSO:

  • deve “essere espresso mediante un’azione positiva inequivocabile con la quale l’interessato manifesta l’intenzione libera, specifica e informata di accettare che i dati personali che lo riguardano siano oggetto di trattamento” (art. 25);
  • deve essere esplicito per i dati sensibili e per le informazioni basate su trattamenti automatizzati, come l’attività di profilazione;
  • non è ammesso quello tacito o presunto (quindi sono da abolire, per esempio, le caselle pre-spuntate su un form);
  • non necessariamente deve essere raccolto in forma scritta, anche se è quella che meglio esprime l’accettazione inequivocabile al trattamento dei dati;
  • per i minori al di sotto dei 16 anni, deve essere fornito dai genitori o da chi ne fa le veci.

 

PROFILAZIONE: intesa come qualsiasi modalità di trattamento automatizzato di dati personali utilizzati per analizzare o prevedere determinati aspetti di una persona, come il comportamento, la situazione economica o gli spostamenti fisici. Con le nuove regole del Regolamento europeo sulla Protezione dei Dati Personali, per svolgere attività di profilazione e trattamento automatizzato di dati, è necessario:

  • dichiararlo in modo chiaro nell’informativa;
  • disporre del consenso esplicito dell’interessato.

 

DIRITTO DI PORTABILITÀ DEI DATI: nuovo diritto dell’utente, che indica il riconoscimento a trasferire i propri dati da un sistema di trattamento elettronico a un altro (ad esempio le informazioni del “profilo utente” da un social network a un altro), senza che il Titolare possa impedirlo. è bene sapere che:

  • riguarda solo i trattamenti automatizzati (non si applica agli archivi cartacei);
  • sono portabili solo i dati trattati con il consenso dell’interessato e solo i dati che siano stati “forniti” dall’interessato al titolare del trattamento.

 

DIRITTO ALL’OBLIO: altro nuovo diritto introdotto dal Regolamento europeo sulla Protezione dei Dati Personali, consente all’interessato di richiedere e ottenere dal Titolare del trattamento la cancellazione dei propri dati. Il diritto all’oblio o alla cancellazione può essere esercitato quando:

  • i dati non sono più indispensabili riguardo alle finalità preposte;
  • il consenso è revocato da parte dell’interessato;
  • il trattamento non rispetta le norme e i principi del GDPR;
  • l’interessato non concede il consenso al trattamento per finalità di marketing.

 

“DATA PROTECTION BY DEFAULT AND BY DESIGN”: l’adozione, in fase di progettazione, di misure appropriate per garantire la protezione dei dati di un sistema di trattamento (privacy by design), e per evitare la raccolta di dati non necessari ed eccessivi per le finalità perseguite (privacy by default).

 

PRIVACY IMPACT ASSESSMENT: rappresenta l’obbligo di svolgere un’autovalutazione preventiva d’impatto, soprattutto nei casi in cui il trattamento dei dati presenta rischi per i diritti e le libertà degli interessati.

 

DATA BREACH: obbligo di comunicazione entro 72 ore al Garante per la Protezione dei dati e agli interessati in caso di violazione dei dati personali. Ci dice il GDPR che violazione dei dati personali» è tutto ciò che comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali. Per affrontare tempestivamente tali violazioni, conviene dotarsi di software di monitoraggio che segnalino in real time eventuali abusi.

 

DATA PROTECTION OFFICER (DPO) o Responsabile della protezione dei dati personali: questa figura è un’altra delle novità previste dal General Data Protection Regulation. La sua funzione, che può essere svolta anche da un consulente esterno all’azienda, non è prevista per tutte le tipologie di attività, bensì sarà obbligatoria per:

  • i soggetti pubblici che trattano dati;
  • chi tratta notevoli quantità di dati personali su larga scala;
  • chi tratta dati sensibili o giudiziari.

 

REGISTRI DEL TRATTAMENTO: obbligo di adottare misure di gestione dei dati, attraverso documentazione dettagliata, che attesti la conformità delle attività al Regolamento sulla privacy. L’impegno di adottare e redigere il registro del trattamento non è obbligatorio per aziende con meno di 250 dipendenti, tranne se il loro trattamento dei dati comporti rischi per i diritti e le libertà dell’interessato o riguardi dati particolari.

 

GARANZIE SUL TRASFERIMENTO DEI DATI AL DI FUORI DELL’UE: rafforzamento del livello di protezione dei dati trasferiti in Paesi al di fuori dell’Unione Europea. Il General Data Protection Regulation stabilisce, infatti, che quando le operazioni dell’organizzazione con sede al di fuori dell’UE riguardano comportano il monitoraggio del comportamento online di persone residenti nell’UE, si applicano le norme comunitarie. In altri termini, la libera circolazione delle informazioni tra i paesi dell’UE e al di fuori dell’UE sarà consentita dalle cosiddette “decisioni di adeguatezza”, ossia con l’approvazione circa la capacità di un paese extra UE di assicurare un livello di protezione appropriato.

Iscriviti alla mia newsletter!

Scaricate la mia company presentation

Seguitemi sui social

A presto,
APP.

APP Web Agency - APP vi saluta