Conoscere le basi e il funzionamento del GDPR (General Data Protection Regulation o Regolamento Generale Protezione Dati, RGPD) è importante per tutelare noi stessi, le altre persone e soprattutto per comprendere appieno l’importanza centrale di questo Regolamento europeo diventato operativo nel 2018.
In questa guida andremo a spiegare in modo semplice i punti chiave del GDPR.
Dati personali: quali sono
Il GDPR intende uniformare la protezione dei dati personali a livello europeo. Con questo termine ci si riferisce a tutti quei dati riconducibili ad una persona fisica che assumono valenza specifica se la persona a cui si riferiscono è identificata o identificabile.
Le figure coinvolte dal GDPR
Ci sono alcune figure chiave coinvolte direttamente in questa normativa:
- l’Interessato, cioè la persona a cui i dati personali si riferiscono;
- il Titolare del trattamento dati, cioè la persona fisica o giuridica che determina le finalità e le modalità del trattamento;
- il responsabile del trattamento dati, cioè la persona fisica o giuridica che viene coinvolta dal Titolare nel trattamento.
Data Protection Officer (DPO)
Il DPO o Responsabile della Protezione Dati (RPD) è la figura – introdotta proprio con il GDPR – che assiste il Titolare del trattamento dati nell’adeguamento al GDPR e nella gestione della materia. Si tratta di un professionista specializzato nella protezione dei dati personali. La nomina del DPO è obbligatoria se il trattamento è effettuato da un’autorità o da un organismo pubblico, se è effettuato da un’organizzazione privata in modo sistematico e regolare, se riguarda dati sensibili o giudiziari.
Ambito di applicazione del GDPR
Il Regolamento impone l’adeguamento alla normativa sulla protezione dei dati personali a una moltitudine di imprese, organizzazioni, associazioni. Infatti in esso si stabilisce che il rispetto della disciplina deve avvenire da parte delle attività che operano all’interno dell’Unione Europea e delle attività che, pur non operando nell’UE, offrono comunque servizi e prodotti a persone fisiche che si trovano nell’UE.
L’adeguamento al GDPR non è richiesto qualora il trattamento dei dati personali avvenga nell’ambito di politica estera, sicurezza comune dell’UE, accertamento e perseguimento di reati, tutela della sicurezza pubblica o nel caso avvenga da parte di istituzioni, enti, organi e uffici UE. Infine l’adeguamento al Regolamento non è necessario nel caso in cui il trattamento dei dati personali avvenga per scopi puramente personali o in un contesto domestico.
Le basi giuridiche del trattamento dati
Il trattamento dei dati personali di una persona fisica può avvenire se esistono basi giuridiche, come il consenso dell’interessato, la necessità del trattamento nell’ambito di un contratto, di un adempimento ad un obbligo di legge o di un’attività di pubblico interesse.
L’informativa privacy
Un aspetto fondamentale della protezione dati tutelato nel GDPR è la presenza dell’informativa. Questo documento – oltre a dover essere chiaro, semplice e accessibile da parte dell’interessato – deve contenere alcune informazioni essenziali:
- l’identità del Titolare del trattamento;
- l’identità del responsabile del trattamento;
- l’identità del DPO/RDP (se nominato);
- le finalità del trattamento;
- la base giuridica del trattamento dati, se presente;
- il periodo di conservazione dei dati;
- se, ed eventualmente come, avviene un trasferimento dei dati a Paesi terzi;
- la possibilità da parte dell’interessato di esercitare il diritto di reclamo;
- eventuale presenza di processi decisionali automatizzati all’interno del trattamento.
Data breach o violazione dei dati personali
Quando avviene la violazione della sicurezza dell’interessato si parla di data breach o violazione dei dati personali. Questa si presenta nel caso in cui si verifichi ad esempio un accesso non autorizzato ai dati, l’alterazione, divulgazione, perdita, distruzione dei dati sia in modo illecito, che per cause accidentali (calamità naturali) o attacchi esterni (virus).
I diritti dell’interessato
L’interessato è tutelato dal GDPR su più fronti. Infatti può esercitare una serie di diritti:
- diritto ad essere informato;
- diritto di accesso ai propri dati personali e al trattamento;
- diritto alla portabilità dei dati, per trasferirli ad un altro Titolare del trattamento;
- diritto di rettifica dei dati personali, se incorretti o non completi;
- diritto alla cancellazione dei dati nel caso in cui sia trascorso il periodo indicato nell’informativa, se l’interessato ha revocato il consenso o se il trattamento è avvenuto in modo illecito;
- diritto alla limitazione del trattamento, ad esempio se l’interessato ha richiesto la rettifica.
Principio di accountability
Una delle novità più importanti introdotte dal GDPR è il principio di accountability o responsabilizzazione del Titolare del trattamento. Con l’introduzione del Regolamento europeo sulla protezione dei dati personali, infatti, è il Titolare del trattamento a dover bilanciare il proprio interesse con i diritti dell’utente: ne deve valutare tutti gli aspetti, con l’obiettivo di mitigare i rischi collegati al trattamento stesso.
Data Protection Impact Assessment (DPIA)
Il DPIA o Valutazione d’impatto della protezione dati è una procedura non obbligatoria, ma la cui redazione è consigliata, che descrive il trattamento dati che verrà effettuato. La finalità di questo processo è quella di valutare la necessità e i rischi del trattamento stesso, in modo da assistere il Titolare del trattamento nell’adeguamento corretto alla normativa. Se formulato, il DPIA deve essere redatto per iscritto.
Il registro del trattamento
Le attività del trattamento dati devono essere raccolte obbligatoriamente in un registro del trattamento. Sia il Titolare che il responsabile sono tenuti a redigere per iscritto e ad aggiornare questo documento. Il registro è valido sia in forma cartacea che digitale e deve includere informazioni essenziali come: i dati relativi al Titolare e al responsabile, le finalità del trattamento, il periodo di tempo in cui avverrà il trattamento, l’eventuale trasferimento dei dati a Paesi terzi.
Sanzioni
Un mancato o inesatto adeguamento al GDPR da parte delle organizzazioni coinvolte nel trattamento dati, implica una serie di sanzioni:
- sanzioni correttive, si possono definire come “richiami” di vario tipo che precedono le sanzioni più rigide, cioè quelle amministrative (pecuniarie) e penali, o sono alternative ad esse;
- sanzioni amministrative, cioè multe. Non esistono importi fissi in base alle infrazioni commesse, ma esistono più che altro dei limiti e dei criteri che aiutano a definire l’importo stesso, che sarà diverso in ogni caso. In particolare la sanzione pecuniaria deve possedere tre caratteristiche: dissuasività, proporzionalità, effettività. Inoltre nel GDPR si distingue tra violazioni meno gravi (la cui multa relativa può arrivare fino a 10 milioni di euro oppure per le imprese fino al 2% del fatturato mondiale) e violazioni più gravi (con cui si può incorrere in una sanzione fino 20 milioni di euro oppure per le imprese fino al 4% del fatturato mondiale);
- sanzioni penali, che non vengono disciplinate dal GDPR ma da ogni singolo Stato UE. In Italia la normativa di riferimento è il Codice della Privacy del 2003, che prevede la reclusione fino a 6 anni in caso di: trattamento illecito dei dati, comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala, acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala (da 1 a 4 anni di reclusione), falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante (dai 6 mesi ai 4 anni di reclusione), inosservanza dei provvedimenti del Garante.
Chi vigila sul rispetto del GDPR: le Autorità di controllo
Nel nostro Paese è l’Autorità Garante per la Privacy (o per la protezione dei dati personali, conosciuta più comunemente con Garante Privacy) ad esercitare il controllo sull’adeguamento al GDPR.
Ogni Paese UE ha la sua Autorità di Controllo, che possiede poteri di indagine e poteri correttivi.
