Gdpr regolamento generale sulla protezione dei dati

Il decreto 196 del 2003 "Codice in materia di protezione dei dati personali" detto anche "Testo unico sulla Privacy" è la normativa entrata in vigore dal 1° gennaio 2004, ampliando il percorso legislativo compiuto dall'Italia in materia di dati personali a partire dalla legge 675/96. Oltre 10 anni fa si trattava di una notevole evoluzione, infatti con il Codice Privacy Italiano si è stabilito che ciascun soggetto (professionista, azienda, ente, associazione, ecc.) che tratti i dati personali di persone fisiche terze debba adottare misure tecniche e obblighi (misure minime) a garanzia di standard di sicurezza minimi.

Ma da allora le cose sono nuovamente cambiate e, con l'arrivo delnuovo RegolamentoEuropeo, la legge sulla privacy fa un ulteriore passo avanti: il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati abroga infatti la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) e, di conseguenza, sostituisce il Codice Privacy italiano (D.Lgs. 196 del 2003).

Il testo definitivo del nuovo Regolamento Europeo sulla Privacy o GDPR (General Data Protection Regulation) è stato pubblicato in Gazzetta Ufficiale il 4 maggio 2016, Dal 25 maggio 2018 deve essere garantito un perfetto allineamento con le disposizioni fornite dalla nuova legge sulla privacy.

 Novità del Regolamento Europeo

Il Regolamento Europeo Privacy o GDPR introduce nuove tutele a favore degli interessati, e inevitabilmente nuovi obblighi a carico di Titolari e Responsabili del trattamento di dati personali. Segnaliamo l'introduzione del diritto dell'interessato alla "portabilità del dato" (ad. es. nel caso in cui si intendesse trasferire i propri dati da un social network ad un altro) e del diritto all'oblio per cui ogni individuo può richiedere la cancellazione dei propri dati in possesso di terzi (per motivazioni legittime). Questo può accadere ad esempio in ambito web quando un utente richiede l'eliminazione dei propri dati in possesso di un social network o di altro servizio web.

I principi più importanti del Gdpr

Il Gdpr è un corpus normativo piuttosto complesso, che sarebbe impossibile riassumere in poche righe, tanto più perché i singoli adempimenti sono diversi a seconda del soggetto coinvolto. Esistono, però, alcuni principi di base che è bene conoscere. Se ci si trova nei panni di un'azienda, bisogna introdurre la tutela dei dati nel proprio modo di ragionare e di lavorare. Se ci si trova nei panni dell'utente finale, bisogna diventare sempre più consapevoli dei propri diritti e del valore insito in quelle informazioni personali che, finora, troppo spesso venivano condivise con eccessiva leggerezza.

Cosa si intende per "dati personali" e chi deve allinearsi alle nuove norme

Devono adeguarsi al Gdpr tutte le aziende che gestiscono i dati dei cittadini europei, anche se non hanno sede in Europa. Per "dati personali" non si intendono soltanto quelli "classici" (il nome, l'indirizzo, il numero di telefono ecc.) ma anche quelli legati alla vita digitale dell'utente: cookie, indirizzo email, geolocalizzazione, indirizzo IP.

Il principio di accountability

"Accountability" è un termine, per nulla facile da tradurre in italiano, che riguarda le responsabilità del titolare dei dati. Quest'ultimo, finora, doveva limitarsi ad applicare una serie di normative per evitare di essere soggetto a sanzioni. Con il Gdpr, il suo ruolo cambia radicalmente, diventando proattivo. In altri termini, non deve soltanto eseguire, ma deve fare un'approfondita valutazione per capire quali sono le misure tecniche e organizzative più opportune per tutelare i diritti dell'utente ed evitare violazioni.

Tra queste misure ci sono, ad esempio, la cifratura dei dati e l'accesso limitato e controllato. Poi, il titolare deve mettere in pratica questi metodi, tenere traccia di tutti i processi ed essere sempre pronto a fornire la documentazione alle autorità, per evitare sanzioni anche parecchio salate. Infine, deve assicurarsi che i suoi fornitori siano a loro volta conformi al Gdpr.

L'informativa sulla privacy

L'informativa sulla privacy non è più soltanto un adempimento, ma dev'essere uno strumento di comunicazione chiaro, facilmente accessibile e comprensibile anche ai minorenni. È bene evitare lunghi blocchi di testo e preferire gli elementi grafici e le icone. L'ideale è se le informazioni vengono presentate una per volta, spiegando in modo puntuale tutti i modi in cui si vogliono utilizzare i dati.

I diritti delle persone

Chi mette i suoi dati personali a disposizione di un'azienda ha dei diritti ben precisi. Innanzitutto, deve essergli permesso di dare il suo consenso in modo esplicito (e non, come spesso accade, tramite caselle precompilate e seminascoste). Meglio ancora se, in un secondo momento, gli viene chiesta un'ulteriore conferma della sua volontà. Inoltre, la persona ha il diritto a sapere chi userà i suoi dati, per quali finalità e per quanto tempo. Ha anche il diritto di controllare in qualsiasi momento le singole informazioni di cui l'azienda è in possesso, di revocarne l'accesso e di richiedere la portabilità (cioè il trasferimento dei dati da un operatore a un altro).

Il data protection officer (dpo)

Il Gdpr introduce anche una nuova figura, il data protection officer (dpo), vale a dire il responsabile della sicurezza dei dati. Non è obbligatorio per tutte le aziende, ma solo in tre casi: quando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (ad eccezione delle autorità giurisdizionali nell'esercizio delle loro funzioni); quando si monitorano in modo regolare e sistematico dati personali su larga scala; quando si tratta un grande numero di dati sensibili o relativi a reati e condanne penali.

Privacy by design e privacy by default

Ancora una volta sono due termini inglesi, difficilmente traducibili, a esprimere i principi sui quali si basa l'impianto logico del Gdpr. "Privacy by design" significa che la tutela dei dati personali non è più un adempimento a cui bisogna adeguarsi a cose fatte, ma un tema che va preso in considerazione da subito, fin dalla fase di progettazione della propria attività. Solo così, secondo il legislatore europeo, si può essere certi di gestire l'intero ciclo di vita dei dati con cognizione di causa. "Privacy by default" significa che la tutela è l'impostazione predefinita: bisogna evitare di raccogliere dati che non sono strettamente necessari per le finalità dell'azienda e che esulano dagli obblighi indicati nell'informativa. Il principio da seguire è quello della minimizzazione: raccogliere il minor numero di dati possibile, facendo di tutto per evitare i rischi legati al trattamento.

Questo Articolo contiene n. 13 documenti allegati:

• Regolamento Europeo Privacy UE 2016/679 del 27 aprile 2016 (Formato pdf)
• Designazione RDP esterno ai sensi dell'art. 37 delo Regolamento UE 2016/679 (Formato pdf)
• Designazione RDP esterno (PA 3.26 Srl) ai sensi art. 37 Reg.UE 2016/679 (Formato pdf)
• Informativa Servizio Polizia Locale (Formato pdf)
• Informativa Servizio Anagrafe (Formato pdf)
• Informativa Servizio Biblioteca Cultura Sport (Formato pdf)
• Informativa Servizio Elettorale (Formato pdf)
• Informativa Servizio Leva (Formato pdf)
• Informativa Servizio Organi Istituzionali (Formato pdf)
• Informativa Servizio Servizi Scolastici Educativi (Formato pdf)
• Informativa Servizio Servizi Sociali Assistenziali (Formato pdf)
• Informativa Servizio Settore Finanziario (Formato pdf)
• Informativa Servizio Stato Civile (Formato pdf)

Cosa prevede il regolamento GDPR?

Cosa si intende per GDPR?

Quando si applica il regolamento GDPR?