Privacy e GDPR

1. INTRODUZIONE
2. COME E’ STRUTTURATO IL GDPR
3. A CHE COSA SI APPLICA IL GDPR: il ‘’Dato Personale’’

Il nuovo Regolamento privacy garantisce un nuovo quadro coerente di norme e un sistema complessivamente armonizzato in grado di superare la frammentazione creatasi in Europa con i diversi ordinamenti. Il Regolamento Europeo n. 679/2016 ha delle finalità principali dove non ostacolano lo sviluppo di un mercato unico digitale ma alla stessa maniera tutela e protegge i dati personali di tutti i cittadini europei.

Il nuovo quadro giuridico mira a garantire ai cittadini europei un maggior controllo sui loro dati, prevedendo l’applicabilità delle regole comunitarie quando il trattamento riguarda l’offerta di beni e servizi nella UE o nel caso implichi il controllo dei loro comportamenti (esempio la profilazione dei dati e l’analisi dei comportamenti).

Parecchie le novità per i titolari dei trattamenti dei dati personali: e la maggior parte di queste non sono adempimenti burocratici bensì adempimenti organizzativi, di processo, di metodologie tutte con lo scopo finale di adeguare le misure di sicurezza per quanto concerne i rischi derivanti dai diversi trattamenti delle diverse tipologie di dati personali.

1. INTRODUZIONE

Problema o opportunità?

Dal 25 maggio 2018 siamo obbligati al rispetto del GDPR; per le aziende potrebbe essere un problema oppure un’opportunità.

Per un’azienda potrà sembrare un problema se lo vivranno come l’ennesimo adempimento a cui adeguarsi, ma potrà diventare un’importante opportunità se le aziende coglieranno questa occasione per migliorare la sicurezza dei propri dati, non solo per il rispetto del GDPR, ma soprattutto per proteggere al meglio l’azienda e i propri dati.

Cominciamo a fare chiarezza con un po’ di storia sul Regolamento Europeo, di cui tanto si discute, ma che in pochi conoscono bene. Il GDPR (in inglese: ’’General Data Protection Regulation’’) è stato approvato dal Parlamento Europeo il 27 aprile 2016 e pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 4 maggio 2016.

Il titolo completo e ‘’ufficiale’’ del GDPR è

Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).

Il primo ed importante aspetto da sapere e conoscere è che si tratta di un Regolamento, quindi è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri. Non richiede – a differenza di una direttiva – una legge di recepimento nazionale. Al massimo ci potranno essere leggi per ‘’armonizzare’’ le precedenti normative nazionali al nuovo GDPR.

Per questo motivo si avrà una maggiore armonizzazione della normativa in materia privacy in tutto il territorio europeo.

Un altro aspetto molto importante: si applica integralmente alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti a persone che si trovano nel territorio dell’Unione europea.

Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le regole fissate nell’UE!

Un esempio, di grande attualità: Facebook e Google che trattano in modo massiccio i nostri dati personali, dovranno farlo rispettando il GDPR, anche se sono società USA. Vale quindi il luogo dove si trova il dato, non dove risiede chi lo tratta.

2. COME E’ STRUTTURATO IL GDPR

Il GDPR è formato da 99 articoli, suddivisi in 11 capitoli, preceduti da 173 ‘’considerando’’. Vediamo di seguito come sono strutturati i capitoli.

CAPO I → Disposizioni generali (Artt. I-4)

CAPO II → Principi (Artt. 5-II)

CAPO III → Diritti dell’interessato ( Artt. 12-23)

CAPO IV → Titolare del trattamento e responsabile del trattamento (Artt. 24-43)

CAPO V → Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali ( Artt. 44-50)

CAPO VI → Autorità di controllo indipendenti (Artt. 51-59)

CAPO VII → Cooperazione e coerenza ( Artt. 60-76)

CAPO VIII → Mezzi di ricorso, responsabilità e sanzioni (Artt. 77-84)

CAPO IX → Disposizioni relative a specifiche situazioni di trattamento (Artt.85-91)

CAPO X → Atti delegati e atti di esecuzione (Artt. 92-93)

CAPO XI → Disposizioni finali (Artt.94-99)

1. A COSA SI APPLICA IL GDPR: il ‘’Dato Personale’’

Il GDPR si occupa, ai fini della privacy, del dato personale. Che cos’è? Viene definito all’art. 4 punto I:

Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile (‘’interessato’’); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Quindi il campo di applicazione sono le persone fisiche, non le aziende (o le persone giuridiche).

3.1 Cosa sono i nostri dati personali e dati particolari

Il Regolamento europeo ha ad oggetto solo il trattamento dei dati delle persone fisiche. Perciò il dato personale è qualsiasi informazione relativa ad una persona fisica identificata o identificabile (c.d. ‘’interessato’’). E’ identificabile una persona che può essere individuata, direttamente o indirettamente, con particolare riferimento ad un identificativo come: il nome, il codice fiscale, un numero di telefono (la SIM), un dato relativo all’ubicazione ecc. E’ chiara l’importanza di tale dato e la sua necessaria tutela.

3.2 Dati personali e dati particolari

     Alcuni dati personali sono più delicati di altri. Nel precedente Codice Privacy (196/2003) erano definiti ‘’dati sensibili’’. Il GDPR li chiama ‘’dati particolari’’ e li definisce all’art. 9 ‘’Trattamento di categorie particolari di dati personali’’:

‘’E’ vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, nonché trattare dati generici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.’’

3.3 Quali sono i ‘’Dati Personali’’ e ‘’Dati Particolari’’

Facciamo alcuni esempi.

4.0 Conclusioni

Definire il GDPR solo come il regolamento privacy è riduttivo ed è un errore di sottovalutazione. Se interpretato in modo corretto può contribuire alla creazione in azienda di un vero e proprio sistema di protezione dei dati, con benefici che vanno ben oltre alla difesa dei soli dati personali, ma in senso più completo, riguardano la sicurezza informatica dell’intera azienda.

Grazie al GDPR oggi si parla molto di più di sicurezza informatica, che non è un tema (o un problema) che riguarda solo l’IT manager. E’ qualcosa che attraversa trasversalmente l’intera organizzazione aziendale, perché tutti usano un computer in azienda.