Oggi sempre più si sente parlare dell’importanza della privacy e delle novità introdotte dal GDPR, ma in parole semplici di cosa si tratta?
Il GDPR (Regolamento UE 2016/679) è un regolamento europeo sul trattamento e la gestione dei dati dei cittadini europei direttamente applicabile agli stati membri dell’Unione a far data dal 25 maggio 2018. In Italia, la protezione dei dati personali trovava già la sua disciplina nel D.lgs. n. 196/2003, che è stato recentemente modificato dal D.lgs. n. 101/2018 al fine di armonizzare la normativa a quella europea. Lo stesso impone obblighi stringenti ed introduce nuove responsabilità volte a garantire maggiori misure di sicurezza a protezione dei dati personali, introducendo regole più chiare in materia di informativa e consenso nonché definendo limiti al trattamento automatizzato dei dati personali.
Ma cosa si intende per dato personale?
Il dato personale, come definito dal GDPR, è “qualsiasi informazione riguardante una persona fisica (interessato) identificata o identificabile direttamente o indirettamente”.
E a chi si applica?
Il GDPR si applica alle persone fisiche e giuridiche che trattano i dati personali dei cittadini dell’Unione Europea, anche se non residenti in Europa.
Quali sono le principali novità introdotte?
Tra i principali elementi di novità introdotti dal Regolamento è il principio di “accountability” (responsabilità sostanziale dei titolari e dei responsabili del trattamento), in base al quale il Titolare del trattamento dati deve non solo rispettare una serie di principi, ma anche essere in grado di dimostrarlo. Il Titolare/Responsabile deve definire le misure tecniche e organizzative adeguate, tenendo in considerazione la natura, l’ambito di applicazione, il contesto, le finalità del trattamento e i rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. Elemento di novità è che non è più la normativa ad indicare le misure minime da osservare, ma spetta invece al Titolare/Responsabile il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento di dati personali nel rispetto delle disposizioni normative (approccio basato sul rischio).
La forte importanza attribuita alla tutela della privacy è rafforzata dal fatto che i dati personali devono essere trattati rispettando, tra le altre cose, i principi di:
- liceità, correttezza e trasparenza del trattamento;
- limitazione della finalità del trattamento, ovvero i dati personali devono essere raccolti per finalità determinate, esplicite e legittime e successivamente trattati in modo che non sia incompatibile con tali finalità;
- minimizzazione dei dati, ovvero i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
- esattezza e aggiornamento dei dati, compresa la opportuna cancellazione dei dati che risultino inesatti;
- limitazione della conservazione;
- integrità e riservatezza, in maniera da garantire un’adeguata sicurezza degli stessi, compresa la protezione, mediante misure tecniche ed organizzative adeguate da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentale.
Tante altre sono le novità contenute all’interno del GDPR che vanno dal diritto alla trasparenza a quello degli interessati (diritto all’oblio e data portabilità) ma un aspetto importante da rappresentare è la circostanza che il titolare deve implementare misure idonee a proteggere i dati fin dalla progettazione del sistema di trattamento degli stessi (privacy by design) e garantire che vengano trattati solo i dati necessari al perseguimento delle specifiche finalità per cui sono raccolti (privacy by default). Viene previsto, inoltre, che le violazioni di dati personali debbano essere segnalate al Garante senza ritardo e, ove possibile, entro 72 ore dalla conoscenza e, in determinate circostanze anche all’interessato i cui dati siano stati violati (cosiddetta data breachnotification); inoltre è stato introdotto l’obbligo in capo al titolare di effettuare una valutazione del rischio (cosiddetta privacy impact assesment).
Per concludere, chi è il Titolare e chi è il Responsabile del Trattamento dei dati ? E chi deve sorvegliare il rispetto di tali disposizioni?
In parole semplici il Titolare del Trattamento del dato è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali, lo stesso che con il GDPR ha l’obbligo di istituire e manutenere un Registro delle operazioni di trattamento dei dati. Il Responsabile del trattamento è, invece, la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta i dati personali per conto del titolare del trattamento. Infine vi è il Data Protection Officer (DPO) che ha il compito di sorvegliare il rispetto delle disposizioni in materia di privacy, fornire consulenza e pareri, nonché fungere da contatto con il Garante e gli interessati. Strumenti e normative che mirano a rendere più protetta la privacy di tutti.
– Annarita Carucci – Responsabile Compliance della Banca Monte Pruno –