Il GDPR: Che cos’è, cosa prevede, chi è obbligato.

Il GDPR General Data Protection Regulation, in italiano Regolamento generale sulla protezione dei dati, è quel Regolamento Europeo, n. 679 del 2016, che nasce dall’esigenza di regolamentare il trattamento dei dati di carattere personale, nonché la loro circolazione anche al di fuori dell’Unione Europea.

Il fine del GDPR è quello di dare una maggiore tutela alle persone fisiche, nella gestione dei loro dati personali, garantendone maggiormente la privacy.

Il legislatore italiano aveva già provveduto a regolamentare il trattamento dei dati personali con l’introduzione nel nostro ordinamento del D.Lgs. 196/2003, il cd. Codice della privacy, ad oggi novellato dal D.Lgs. 101/2018, in ottemperanza alle novità introdotte dal GDPR.

È dal 25 maggio 2018 che il GDPR trova piena attuazione in tutti gli stati membri, viene però lasciata agli stati membri ampia autonomia nel disciplinare, in maniera più specifica, alcuni aspetti toccati solo superficialmente dal Regolamento.

Quali sono i dati personali?

L’articolo 4 del GDPR da una definizione di dato personale come “qualsiasi informazione riguardante una persona fisica indentificata o identificabile”. I dati di carattere personale sono, dunque, tutte quelle informazioni, facenti capo ad una persona fisica, che la rendono riconoscibile o la identificano. Dati personali sono le abitudini, le preferenze, lo stile di vita, ma anche la situazione economica, l’orientamento sessuale e la religione. In particolare vi sono dati personali che consentono una identificazione immediata e diretta del soggetto, quali i dati anagrafici come nome, cognome, o le fotografie. Altri dati permettono invece una identificazione indiretta e non istantanea dell’individuo, come ad esempio l’indirizzo di residenza, il codice fiscale, la targa di un autoveicolo a lui intestato, l’indirizzo IP o il numero di telefono.

 Il GDPR annovera tra i dati personali anche

  • I dati genetici, ovvero quelle informazioni che si riferiscono alle caratteristiche genetiche di un soggetto o all’analisi di campioni biologici.
  • I dati biometrici, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di un soggetto, come le impronte digitali, la fisionomia del volto, l’altezza o il colore dell’iride.
  •  I dati relativi alla salute, che attengono alle informazioni circa la salute fisica o mentale di un soggetto.

Categorie particolari di dati personali, i dati sensibili.

Per alcuni tipi di dati personali è prevista una tutela rafforzata, che ha il fine di garantire la libertà di pensiero, la dignità della persona e la protezione da possibili disparità di trattamento. Tali dati, infatti, riguardano delle informazioni particolarmente private del soggetto, che potrebbero essere usate a fini discriminatori. Tali sono i dati soprannominati “sensibili”, che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, la vita e l’orientamento sessuale della persona.

I dati personali relativi a condanne penali o reati.

Tali sono i dati “giudiziari”, ovvero quelle informazioni circa l’esistenza di condanne penali o provvedimenti giudiziari in capo ad un soggetto, vi rientrano i provvedimenti iscritti nel casellario giudiziale, quali ad esempio la liberazione condizionale, il divieto e l’obbligo di soggiorno, le condanne penali definitive ed ogni altro provvedimento che decide sull’imputazione nel prosieguo del processo, nonché la qualità di imputato o di indagato. L’articolo 10 del Regolamento prevede anche in questo caso una tutela rafforzata nel trattamento dei dati, che è consentito soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati.

I dati dei minori.

Il trattamento dei dati personali dei minorenni è sottoposto a dei limiti, necessari per tutelare il soggetto più debole. È necessario che le informazioni destinate ai minori siano date con un linguaggio ancor più semplice e chiaro, in modo tale che i soggetti possano comprenderle facilmente, e decidere con serenità se prestare il proprio consenso o meno al trattamento dei propri dati. Fermo restando che l’articolo 8 del Regolamento pone come limite di età i 16 anni, consentendo agli stati membri di stabilire per legge un’età inferiore, ma non sotto i 13 anni.

Chi sono i soggetti a cui è rivolto il GDPR?

  • L’interessato è la persona fisica i cui dati personali sono oggetto del trattamento, è il soggetto tutelato dal Regolamento, il cui scopo è quello di proteggerne i diritti e le libertà fondamentali.
  • Il titolare del trattamento è quella persona fisica o giuridica che tratta i dati personali dell’interessato, come i datori di lavoro, le imprese, le aziende o la Pubblica Amministrazione. È il titolare che determina le finalità e i mezzi del trattamento, e per tale ragione è su di lui che grava l’obbligo e la responsabilità di adempiere alle prescrizioni contenute nel Regolamento.
  • Il responsabile è il soggetto che tratta i dati per conto del titolare del trattamento.
  • Il responsabile della protezione dei dati viene nominato dal titolare solo in determinate ipotesi. Egli fornisce consulenze, sorveglia l’osservanza del Regolamento, fornisce pareri e coopera con l’autorità di controllo.

Quali sono i diritti dell’interessato previsti dal GDPR?

  • Il diritto di accesso ovvero il diritto dell’interessato a conoscere tutte le informazioni circa il trattamento dei suoi dati, come ad esempio quali sono i dati che si stanno trattando, chi sono i destinatari dei dati e il loro periodo di conservazione.
  • Il diritto di rettifica dei dati inesatti e l’integrazione dei dati personali incompleti.
  • Il diritto alla cancellazione dei dati personali non più necessari e la revoca del consenso alla loro trattazione, seppur con alcuni limiti.
  • Il diritto di opposizione al trattamento dei dati personali che lo riguardano.
  • Il diritto alla portabilità dei dati, che consiste nel ricevere i propri dati personali dal titolare del trattamento, con la possibilità di trasmettere tali dati ad altro titolare.

La responsabilizzazione del Titolare del trattamento.

Se prima era sufficiente il consenso dell’interessato affinché il trattamento dei dati fosse regolare, con l’art. 5 del Regolamento viene introdotto il principio “accountability” che si sostanza nell’obbligo imposto al titolare di dover rendere conto per il proprio operato. Il titolare del trattamento è perciò tenuto a garantire e dimostrare che il trattamento, oltre ad essere effettuato conformemente alla normativa, viene realizzato con delle modalità tali da non comportare rischi di violazione dei diritti e delle libertà degli interessati.

Altro onere imposto alle imprese Italiane con almeno 250 dipendenti è l’adozione di un registro dei trattamenti di dati personali, indispensabile per la valutazione dei rischi. Obbligati alla tenuta del Registro sono anche quelle aziende che trattano una categoria particolare di dati ove vi è un maggiore rischio di lesione dei diritti e delle libertà dell’interessato, ed anche qualora vi sia il trattamento di dati personali relativi a condanne penali e a reati.

Quali sono le sanzioni?

le sanzioni per la violazione della normativa possono essere molto pesanti, basti considerare che per le violazioni di minore gravità le sanzioni amministrative pecuniarie possono arrivare anche a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, cifra che si raddoppia nelle violazioni più gravi, oltre ad un eventuale risarcimento del danno materiale e morale. Oltre alle sanzioni amministrative pecuniarie, proporzionate e dissuasive, la normativa Italiana prevede l’applicazione di sanzioni penali in determinati casi più gravi. Le sanzioni vengono determinate in base alla natura, la gravità e la durata della violazione, considerando anche l’elemento soggettivo quale il dolo o la colpa. Elemento importante per l’individuazione della sanzione è anche il tipo di danno subito dall’interessato e le eventuali misure adottate per evitarlo. E’ pertanto di vitale importanza l’adozione di misure idonee a non incorrere nel rischio di una sanzione, ponendo la massima attenzione nell’esecuzione di quanto previsto dalla normativa.

Non mettere a rischio la tua attività, se hai bisogno di una consulenza non esitare a contattarci.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *