Il 25 maggio 2016 è entrato in vigore il GDPR (acronimo di General Data
Protection Regulation, in italiano “Regolamento generale sulla protezione dei
dati“) e dopo 2 anni di tempo per adeguarsi è divenuto pienamente operativo dal 25 maggio 2018, prevedendo pesanti sanzioni per chi non si mette in regola.
Cos’è nello specifico il GDPR?
Il GDPR è un regolamento della Commissione Europea (Regolamento UE
2016/679) col quale si è voluto effettuare un vasto intervento normativo in materia
di dati personali, allo scopo di garantire una maggior tutela ai diritti dei cittadini e
dei residenti nei confini della UE; trattandosi di una norma di natura comunitaria è
imperativa e direttamente operativa negli stati membri senza necessità di
recepimento da parte dei parlamenti nazionali, si tratta, pertanto, di un atto giuridico direttamente vincolante non solo per gli Stati ma anche per i singoli individui e le altre persone giuridiche (enti, società, ecc.) che devono adeguarsi (entro il 25 maggio 2018) obbligatoriamente alla nuova normativa.
Quali componenti strutturali ed organizzative coinvolge il GDPR?
Il GDPR non riguarda esclusivamente la privacy on-line ma, più genericamente, il
trattamento dei dati personali a prescindere dall’ambito – sia esso “analogico o
digitale” – nel quale viene effettuato; si tratta, pertanto, di un intervento generale
che riguarda la Rete ma non si esaurisce in essa, in quanto è volto a regolare
l’attività di tutti i soggetti che raccolgono o elaborano dati personali, sia on-line che off-line, di cittadini europei dentro e fuori l’Unione Europea.
GDPR e normativa Italiana: cosa cambia rispetto al D.lgs 196/2003 ?
Nel caso dell’Italia, il GDPR andrà ad inserirsi nel quadro normativo tracciato dal
D.lgs 196/2003 che, attualmente, costituisce le norma di riferimento in materia di
trattamento di dati personali; con l’avvento del GDPR la norma citata verrà
integrata da nuovi obblighi ed, in parte, derogata (ove non compatibile col nuovo
regolamento europeo).
In linea di massima possiamo dire che il GDPR traccia un perimetro molto netto e
rigoroso statuendo alcuni principi di natura innovativa; tra questi principi, un posto
di primo piano è riservato ai concetti di “Privacy by design” e “Privacy by
default“, i quali impongono al titolare del trattamento una protezione dei dati fin
dalla progettazione del database e per impostazione predefinita, così come previsto nell‘art.25 del Regolamento UE.
Di chi è la responsabilità del trattamento dei dati?
Uno degli elementi centrali della nuova normativa introdotta dal GDPR è il principio di accountability (impropriamente tradotto in italiano come “responsabilità del titolare del trattamento“).
L’Art. 24 della Normativa prevede che il titolare del trattamento (o Data Controller)
è tenuto ad adottare politiche e misure adeguate per garantire e dimostrare che il
trattamento dei dati personali è conforme a quanto previsto dalla nuova normativa; il principio di accountability, quindi, prevede che il titolare non debba solo adempiere, ma anche provare ogni singolo adempimento.
Cosa si intende per dati personali?
Costituisce dato personale qualunque informazione che, direttamente o
indirettamente, anche in collegamento con qualsiasi altra informazione, ivi
compreso un numero di identificazione personale, renda identificata o identificabile una persona fisica.
Cosa si intende per trattamento dei dati?
Per trattamento di dati si intende qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati; è sufficiente anche una sola delle operazioni elencate per ritenere in corso un trattamento di dati personale.
Cosa si intende per Titolare del Trattamento (o Data Controller)?
La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che,
singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di
dati personali.
Cosa si intende per Responsabile del Trattamento (o Data Processor)?
La persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente che
tratta dati personali per conto del Titolare, limitatamente a quanto previsto dal
mandato di nomina.
CONTATTACI per fissare un appuntamento per una valutazione gratuita