GDPR: cosa è cambiato in tema di protezione dei dati personali

Il Regolamento Ue 2016/679, meglio noto come GDPR (acronimo di General Data Protection Regulation o Regolamento Generale sulla Protezione dei Dati) è entrato in vigore il 25 maggio 2018. In Italia è stato recepito il 19 settembre scorso con la pubblicazione in Gazzetta Ufficiale del d. lgs. 101/2018 il 4 settembre, che ha adeguato la normativa nazionale alle nuove disposizioni “unionali”.

La scelta del regolamento, come tipo di atto per regolamentare questo settore, da parte dell’Unione Europea è innovativa e finalizzata a garantire certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’UE verso altre parti del mondo.

Cosa si intende per dati personali

Il dato personale, come definito dal GDPR, è “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Il regolamento riguarda aziende o enti pubblici e privati – dalle aziende sanitarie alle federazioni sportive, dai social network alle società di telemarketing – che trattano dati personali nell’ambito delle loro attività, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione: si rivolge anche, come detto prima, a quelle aziende che, pur non avendo sede nell’Unione, offrono beni e servizi in Europa e che coinvolgano nelle loro attività dei cittadini europei.  

Modifiche e innovazioni

Cercando di sintetizzare, il GDPR introduce regole più precise sull’informativa e sul consenso al trattamento automatizzato dei dati personali, definendone i limiti e stabilendo dei criteri precisi per il trasferimento degli stessi fuori dell’UE e prevedendo infine norme e sanzioni rigorose per i casi di data breach (ovvero di violazione dei dati).

Una delle novità più importanti del regolamento è l’obbligo di nomina di un responsabile della protezione dei dati personali, il cosiddetto DPO (Data Protection Officer). Questa figura nuova consiste in un supervisore indipendente incaricato della corretta gestione dei dati personali e deve essere individuato sulla base delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati.

Altra novità è l’introduzione del principio di accountability (traducibile con “responsabilizzazione”), che prevede il rispetto di una serie di ulteriori principi nel trattamento dei dati da parte del titolare: limitazione della finalità del trattamento e minimizzazione dei dati; esattezza e aggiornamento dei dati, compresa la opportuna cancellazione dei dati che risultino inesatti; limitazione della conservazione; integrità e riservatezza. Questi principi sono gli elementi di novità forse più importanti della normativa stessa, in quanto definiscono sia il raggio d’azione del titolare, sia alcuni dei diritti dell’interessato tutelati dal regolamento. In questo senso, l’interessato ha diritto di ottenere dal titolare la conferma che sia o meno in corso un trattamento dei dati personali che lo riguardano e, se in corso, l’accesso ai dati e ad altre informazioni con una richiesta esplicita. A questi si aggiungono i diritti di rettifica, di cancellazione (ed all’oblio) e di limitazione del trattamento, quando naturalmente ricorrono determinati casi.

Per quel che riguarda il titolare del trattamento, egli dovrà predisporre delle misure per garantire un livello di sicurezza adeguato (secondo i canoni del GDPR) e comunicare eventuali violazioni dei dati personali al Garante (organo di controllo e tutela).

La novità a livello UE invece è l’introduzione del Comitato europeo per la protezione dei dati (EDBP), un organismo incaricato di controllare che le Autorità nazionali applichino correttamente la nuova regolamentazione europea; è composto dal responsabile di ciascuna autorità per la protezione dei dati e dal Garante europeo della protezione dei dati, permettendo così un più facile coordinamento tra le autorità.
Nel complesso l’emanazione e l’applicazione del GDPR appare come una “rivoluzione” in questa materia: la scelta del regolamento come tipologia di atto è finalizzata a rendere il diritto di privacy e la protezione dei dati personali omogenei all’interno di tutta l’UE. Dal momento che i regolamenti comunitari sono direttamente applicabili in ogni paese membro, assicurano ai cittadini europei una tutela comune sia all’interno che al di fuori dei confini dell’Europa.

#gdpr #regolamento #protezionedati