GDPR – Che cos’è?

Il General Data Protection Regulation  (o GDPR o anche  EUGDPR), Regolamento 2016/679/UE riguarda la tutela delle persone fisiche con riferimento al trattamento dei dati personali e la libera circolazione di tali dati.

Fino ad ora, l’utilizzo dei dati personali era assoggettato in Italia dal decreto legislativo 196/2003 detto Codice della Privacy e modificato in Europa dalla direttiva 95/46/CE sulla protezione dei dati personali. Già nel 2012 Viviane Reding, vice-presidente della Commissione Europea dichiarava:  “Nel 1995 meno dell’1% degli europei utilizzavano internet. Attualmente invece grandi quantità di dati di carattere personali vengono trasferite e scambiate da un continente all’altro in qualche frazione di secondo.” Ecco perché è stata proposta una profonda riforma dei dati in seno all’Unione Europea dalla commissione al fine di attualizzarla e rinforzarla.

Approvato il 15 dicembre 2015 e pubblicato il 4 maggio 2016 nella Gazzetta Ufficiale dell’Unione Europea per applicazione il 25 maggio 2018, il Regolamento Generale sulla protezione dei Dati andrà a impattare fortemente l’insieme dei settori, in modo di raccolta e di utilizzo dei dati. Oltre le nuove regole introdotte molto più severe, il regolamento appesantisce le sanzioni in caso di non conformità – fino a 20M€ o 4% del fatturato annuo mondiale di un’azienda. 

GDPR – Quali dati sono oggetto del Regolamento?

Il Regolamento Europeo definisce i dati personali come qualsiasi informazione che riguardi persone fisiche identificate o che possono essere identificate attraverso altre informazioni, ad esempio, attraverso un numero o un codice identificativo.

Sono ad esempio dati personali: il nome, il cognome, l’indirizzo, il codice fiscale, ma anche un’immagine, la registrazione della voce di una persona, la sua impronta digitale, i dati sanitari, i dati bancari, ecc..
Un dato personale che, per sua natura richiede particolari cautele è un dato sensibile; sono dati sensibili quelli che possono rivelare l’origine razziale ed etnica, le convinzioni religioseo di altra natura, le opinioni politiche, l’adesione a partiti, sindacati o associazioni, lo stato di salute e la vita sessuale o l’orientamento sessuale delle persone..
I dati personali che rivelano l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale, ad esempio i provvedimenti penali di condanna, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione, ecc.. sono dati giudiziari.
Le aziende e i loro intermediari raccolgono e utilizzano una grande quantità di dati di carattere personale e sensibile per i loro clienti, fornitori, dipendenti, collaboratori, ecc..  La protezione di questi dati acquista un’importanza considerevole nell’ottica del nuovo Regolamento Generale sulla Protezione dei Dati.
 GDPR – Cosa cambia e come adeguarsi
Le norme di base non cambiano: molte delle definizioni di base della direttiva DPD attuale rimangono prevalentemente invariate. Alcuni concetti nuovi e importanti sono invece ad esempio “il rischio elevato per le persone fisiche”, “il trattamento su ampia scala” e i “dati criptati o pseudonomizzati” (ovvero resi tali che non possano essere attribuiti ad un interessato specifico).
Tra i principali articoli introdotti dal regolamento ci soffermiamo su:
  • Art.17 – DIRITTO ALL’OBLIO: Gli interessati godono del diritto di ottenere dal titolare del trattamento la rimozione di qualsiasi dato trattenuto su di loro in determinate circostanze, ad esempio quando i dati non sono più necessari per il fine di cui sono stati raccolti.
  • Art.20 – DIRITTO ALLA PORTABILITA’ DEI DATI: Gli interessati potranno richiedere che i loro dati personali vengano trasmessi a un altro titolare del trattamento nei casi in cui il trattamento è soggetto al consenso oppure per l’esecuzione di un contratto o ancora dove il trattamento avviene per mezzi automatizzati.
  • Art.33 e 34 – OBBLIGO DI NOTIFICA E COMUNICAZIONE IN CASO DI DATA BREACH: Entro 72 ore dal momento in cui l’azienda ha subito un data breach che può aver scaturito una violazione dei dati personali (per esempio un furto di dispositivi contenenti dati personali, un attacco di virus, ecc..) il titolare del trattamento è obbligato a notificare l’accaduto agli organi di controllo. Nel caso in cui la violazione potrebbe rappresentare un’elevata minaccia dei diritti e alle libertà delle persone fisiche, queste devono essere contattate senza ingiustificato ritardo. Il contatto non è richiesto se l’azienda ha adottato idonee misure di tutela (come per esempio la cifratura, ecc..). Oltre le pesanti sanzioni per la violazione del regolamento, si aggiunge che gli interessati potranno reclamare il risarcimento per i danni subiti siano essi materiali o morali.
  • Art.32 – ADOZIONE DI MISURE TECNICHE ADEGUATE: Le aziende dovranno mettere in atto misure tecniche adeguate per garantire l’osservanza del regolamento; alcune di queste misure suggerite dal Regolamento stesso e definite come idonee sono: la pseudonimizzazione, la cifratura e tutto ciò che può assicurare l’integrità e la riservatezza dei dati, nonchè la capacità di ripristinare tempestivamente la disponibilità degli stessi in caso di data breach.
  • Art.37-39 – RESPONSABILE DELLA PROTEZIONE DEI DATI (DPO): Alcune aziende avranno l’obbligo di designare un responsabile della protezione dei dati incaricato di monitorare la conformità al regolamento, fornire informazioni ci consulenza e fare da tramite con le autorità di controllo. Il responsabile della protezione dei dati dev’essere designato quando:
    • il trattamento è effettuato da un’autorità pubblica;
    • le attività principali dell’azienda consistono in trattamenti che richiedono il controllo regolare e sistematico degli interessati su larga scala;
    • le attività principali dell’azienda consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e reati.
  • Art. 83 – ENTITA’ DELLE SANZIONI: Il Regolamento punisce i trasgressori con sanzioni fino al 4% del fatturato totale annuo dell’azienda o 20 milioni di euro, applicandosi il valore più elevato fra i due. Nel determinare l’entità della sanzione, l’autorità di controllo terrà conto di una serie di elementi, come la gravità della violazione, se la violazione è stata intenzionale o frutto di negligenza e le eventuali misure adottate dall’azienda per mitigarla.

Per le ingenti sanzioni, il diritto degli interessati a intentare azioni legali e ottenere il risarcimento per i danni subiti, ma anche per la diffusione e l’efficacia del crimine informatico, è chiaro che qualsiasi violazione del regolamento dovrebbe essere riportata ai vertici dell’organizzazione e rimanere una priorità elevata per tutte le aziende.

Vuoi ricevere il testo integrale del Regolamento GDPR?

Inserisci il tuo indirizzo email, ti invieremo il documento completo