Una decisione on-label sull'uso off-label dei vaccini Covid United Lawyers for Freedom – ALI Avvocati Liberi - 31/10/24  |  Voli cancellati e ritardi: annullata la conciliazione obbligatoria Diego Ferraro e Sonia Coppola - 30/10/24  |  La scienza smascherata United Lawyers for Freedom – ALI Avvocati Liberi - 21/06/23  |  Compiti a casa: i docenti devono usare il registro elettronico  Redazione - 12/04/23  |  Annullate multe over50: la prima sentenza United Lawyers for Freedom – ALI Avvocati Liberi - 26/03/23  |  

GDPR: tutto quello che c'è da sapere

Il GDPR è il Regolamento europeo sulla privacy, in vigore dal 2018, che ha delineato un nuovo quadro normativo in materia di protezione dei dati personali


Regolamento europeo privacy

[Torna su]

Il GDPR (acronimo di General Data Protection Regulation) è stato emanato nel 2016 (è infatti il regolamento UE 679 del 2016), ma è entrato in vigore il 25 maggio 2018. Esso pone molte nuove regole e importanti adempimenti che gli Stati membri devono rispettare.

In Italia, come vedremo meglio più avanti, la sua disciplina è stata completata con il decreto legislativo numero 101/2018, di adeguamento della normativa italiana alle norme europee.

GDPR testo

Scarica il testo del regolamento Gdpr pubblicato sulla Gazzetta Ufficiale dell'Unione Europea

A chi si applica il GDPR

[Torna su]

Nell'analizzare il nuovo regolamento la prima cosa da fare è quella di individuarne il campo di applicazione.

Il GDPR, in particolare, ha un impatto su tutti i professionisti e le imprese che, a prescindere da dove si trovino, vengano in contatto con i dati personali dei cittadini europei.

Campo di applicazione materiale

Più tecnicamente, le nuove norme interessano tutti i professionisti e le imprese che trattano i dati personali delle (sole) persone fisiche in maniera interamente o parzialmente automatizzata o in maniera non automatizzata se i dati sono contenuti in un archivio o sono destinati a figurarvi.

Restano tuttavia esclusi dal campo di applicazione del GDPR:

Campo di applicazione territoriale

Così definito il campo di applicazione materiale del Regolamento, va detto che lo stesso è circoscritto anche a livello territoriale, in quanto riguarda esclusivamente il trattamento dei dati personali effettuato nell'ambito delle attività poste in essere dal titolare del trattamento o da un responsabile del trattamento di uno stabilimento nell'Unione, anche se il trattamento è eseguito al di fuori dell'Unione.

Il GDPR, inoltre, si applica al trattamento dei dati personali di interessati che si trovano nell'Unione da parte del titolare o del responsabile del trattamento che non è stabilito nell'Unione, quando lo stesso riguarda:

Infine, l'applicazione del Regolamento si estende anche al trattamento dei dati personali effettuato dal titolare non stabilito nell'Unione ma in un luogo che è soggetto, in virtù del diritto internazionale pubblico, al diritto di uno Stato membro.

GDPR in sintesi

[Torna su]

In sinstesi, in forza del Regolamento in vigore dal 25 maggio 2018, i dati personali:

Il consenso dell'interessato al trattamento

Tra i vari aspetti di carattere generale della nuova normativa, occorre inoltre soffermarsi sulle previsioni che regolamentano il consenso dell'interessato al trattamento.

Infatti, il GDPR stabilisce che l'onere di dimostrare che l'interessato ha prestato il proprio consenso al trattamento grava sul titolare, il quale deve avere cura di fornire una richiesta di consenso chiara. La richiesta, laddove la dichiarazione da far sottoscrivere all'interessato riguardi anche altre questioni, deve inoltre essere agevolmente distinguibile dalle altre materie, comprensibile, facilmente accessibile e fatta con un linguaggio semplice e chiaro.

Revoca del consenso

Nel caso in cui l'interessato revochi il proprio consenso (cosa possibile in qualsiasi momento con la stessa facilità prevista per dare il consenso), il trattamento effettuato prima della revoca resta comunque lecito e di tale circostanza l'interessato deve essere informato prima di esprimere il proprio consenso.

I diritti dell'interessato

L'interessato del trattamento è tutelato dal Regolamento con la previsione di diversi diritti, ovverosia:

La portabilità dei dati personali

Con particolare riferimento a tale ultimo aspetto, va detto che il diritto a trasferire i propri dati da un titolare del trattamento a un altro non è tuttavia esercitabile se i dati sono contenuti in archivi di interesse pubblico (ad esempio nelle anagrafi) o se gli stessi vogliono essere spostati in paesi extra Ue o in organizzazioni internazionali che non rispondono agli standard di sicurezza in materia di tutela.

Il diritto all'oblio

Un particolare approfondimento lo merita poi il cd. diritto all'oblio, che è il diritto dell'interessato a che il titolare del trattamento cancelli senza ingiustificato ritardo i suoi dati personali. Tale diritto, infatti, è esercitabile nelle seguenti ipotesi:

Leggi anche Il diritto all'oblio

Il DPO – Data Protection Officer

[Torna su]

Il Regolamento ha introdotto poi una nuova figura, che assume un ruolo di primo piano nel nuovo sistema della privacy: il DPO – Data Protection Officer, al quale viene affidato il compito di garantire che le imprese e gli enti gestiscano i dati personali trattati in maniera corretta.

Il DPO (o responsabile della protezione dei dati), deve essere necessariamente nominato dal titolare e dal responsabile del trattamento nei seguenti casi:

DPO può essere sia un dipendente del titolare o del responsabile del trattamento, che un soggetto esterno chiamato ad assolvere i suoi compiti in base a un contratto di servizi. La scelta va fatta comunque tra soggetti che abbiano delle qualità professionali adeguate e che quindi conoscano in maniera specialistica la normativa e la prassi in materia di protezione dei dati personali e che siano in grado di assolvere i compiti affidati dal Regolamento al responsabile della protezione dei dati.

I compiti del DPO

Nel dettaglio, al responsabile della protezione dei dati sono affidati dei compiti ben precisi che lo rendono una figura che, sebbene non vada a sostituire nella loro centralità il titolare e il responsabile del trattamento, assume un ruolo chiave ai fini della tutela e della protezione dei dati personali.

Il DPO, infatti, deve:

Leggi anche Privacy: il Dpo e le nuove opportunità per gli avvocati

I registri delle attività di trattamento

[Torna su]

Altro aspetto di particolare rilievo del GDPR è rappresentato dall'introduzione di due registri fondamentali nella gestione dei dati personali.

Innanzitutto, ogni titolare del trattamento e, ove applicabile, il suo rappresentante sono onerati della tenuta di un registro delle attività di trattamento svolte sotto la propria responsabilità nel quale vanno riportati:

il nome e i contatti del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del DPO;

Il responsabile del trattamento e, ove applicabile, il suo rappresentante sono invece onerati della tenuta di un registro delle categorie di attività svolte per conto di un titolare del trattamento.

In esso vanno riportati:

Entrambi i registri devono essere tenuti in forma scritta, anche in formato elettronico.

GDPR: cosa fare per adeguarsi

[Torna su]

Per adeguarsi alle previsioni del GDPR è quindi necessario eseguire alcune fondamentali azioni.

Innanzitutto, bisogna provvedere a predisporre i registri delle attività di trattamento.

Inoltre è fondamentale dotarsi di un Data Protection Officer, se si è tra i soggetti tenuti a provvedervi.

Chiaramente occorre poi stendere o adeguare la documentazione in materia di trattamento dei dati personali, per renderla completa e aggiornata alla luce delle prescrizioni introdotte dal Regolamento in vigore dal 25 maggio 2018, provvedendo anche a definire le politiche di sicurezza e di valutazione dei rischi. Il tutto senza dimenticare di individuare i diversi ruoli e le responsabilità dei soggetti che effettuano il trattamento.

Il mancato adeguamento e il mancato rispetto delle norme in materia di privacy introdotte dal GDPR può comportare l'applicazione di sanzioni di carattere sia amministrativo che penale.

Normativa privacy

[Torna su]

Proprio le sanzioni applicabili in caso di inadempimento degli obblighi fissati per la protezione dei dati personali rappresentano uno degli aspetti principali del decreto legislativo numero 101 del 10 agosto 2018 (pubblicato in G.U. il 4 settembre 2018), che detta le disposizioni per l'adeguamento della normativa nazionale italiana sulla privacy alle disposizioni del GDPR.

Tale provvedimento, tra le altre cose, ha infatti fissato i casi di applicabilità delle sanzioni amministrative, il loro importo e il procedimento per la loro irrogazione, estendendo, rispetto a quanto fatto dal Regolamento europeo, le fattispecie che, invece, assumono rilevanza penale.

Altri aspetti di particolare rilievo del decreto 101 sono la fissazione a quattordici anni dell'età al raggiungimento della quale è possibile prestare personalmente il consenso al trattamento dei propri dati personali in relazione all'offerta diretta di servizi della società dell'informazione; l'incarico al Garante di promuovere delle modalità semplificate di adempimento degli obblighi di trattamento per le micro, piccole e medie imprese; la posticipazione delle informazioni di cui all'articolo 13 del GDPR al primo contatto utile in caso di CV inviato spontaneamente per l'instaurazione di un rapporto di lavoro; l'esercizio dei diritti in materia di privacy dettati dal regolamento riferiti ai dati personali di soggetti deceduti.

Per approfondimenti sul decreto italiano di adeguamento al GDPR e per consultarne il testo leggi: "Decreto privacy in Gazzetta"

Vedi anche la guida Diritto all'oblio

Data: 20/03/2018 12:38:00
Autore: Valeria Zeppilli