Negli ultimi anni il processo di digitalizzazione ha subito una incredibile accelerazione e la tendenza \u00e8 quella di una crescita esponenziale nei prossimi anni.<\/p>\n
Diretta conseguenza di un sistema che si avvia a grandi passi verso una completa digitalizzazione \u00e8 una sempre maggiore tutela dei dati personali.<\/p>\n
Il GDPR \u00e8 fondamentale per comprendere meglio la tutela dei dati personali in chiave nazionale ed europea.<\/p>\n
Pertanto, nell\u2019articolo che segue, proveremo a rispondere alle principali domande concernenti proprio il GDPR: che cos\u2019\u00e8? A cosa serve? In che modo \u00e8 necessario, per legge, rispettarne le principali disposizioni?<\/p>\n
Iniziamo subito chiarendo cos\u2019\u00e8 il GDPR.<\/p>\n
GDPR \u00e8 un acronimo che sta per General Data Protection Regulation ed \u00e8 – in estrema sintesi – una serie di norme e disposizioni sulla protezione dei dati sensibili a cui devono adeguarsi tutte le imprese che operano nella UE, qualunque sia la loro sede e indipendentemente dall\u2019attivit\u00e0 che svolgono.<\/p>\n
Oltre alla tutela dei dati sensibili, ratio della norma \u00e8 quella di razionalizzare e omologare l\u2019intero sistema europeo in modo da garantire alle imprese che vi operano condizioni di parit\u00e0 e uniformit\u00e0.<\/p>\n
Il GDPR definisce dati personali: le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica.<\/em><\/p>\n Sono, in definitiva, informazioni trasversali che definiscono un soggetto in base a differenti aspetti della sua esistenza e ineriscono le sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica etc.<\/p>\n Il GDPR suddivide i dati in quattro principali macro-categorie, nello specifico:<\/p>\n Il Regolamento (UE) 2016\/679 – all\u2019articolo 9 – ha incluso in questa categoria anche i dati genetici, i dati biometrici e quelli relativi all’orientamento sessuale.<\/p>\n I dati possono essere anche suddivisi in base alla modalit\u00e0 di rilevazione. Vediamo adesso, in breve, quali sono i soggetti giuridici di riferimento.<\/p>\n IL GDPR individua – articolo 4, paragrafo 1 – nell\u2019ambito dei dati personali tre principali soggetti in relazione al loro rapporto con i dati. Chiariti i principali aspetti formali, entriamo ora nello specifico della normativa prevista dal GDPR.<\/p>\n Per tutte le procedure precedentemente elencate in cui vengono raccolti i dati personali deve essere dato esplicito consenso al trattamento degli stessi. L\u2019informativa sul trattamento dei dati deve rispondere a caratteristiche inderogabili: concisa e senza ridondanze, trasparente, fruibile per chiunque e facilmente comprensibile. In pi\u00f9, deve contenere tutti i dettagli del trattamento dei dati personali.<\/p>\n Una volta recepita l\u2019informativa il titolare pu\u00f2 manifestare – o meno – la volont\u00e0 di prestare il proprio consenso al trattamento dei dati.<\/p>\n Ai sensi del GDPR il consenso deve essere libero, informato, inequivocabile, specifico (per ogni finalit\u00e0).<\/p>\n Vediamo adesso nel dettaglio quali sono le condizioni che pone il GDPR all\u2019utilizzo dei dati sensibili e le eventuali sanzioni.<\/p>\n Il GDPR ha introdotto la responsabilizzazione dei titolari del trattamento – l\u2019accountability – che prevede l\u2019adozione di comportamenti proattivi tali da dimostrare in maniera inequivocabile la ricezione di tutte le disposizioni previste per la tutela dei dati sensibili.<\/p>\n Grande attenzione \u00e8 stata posta sui rischi che un determinato trattamento pu\u00f2 comportare e, di conseguenza, \u00e8 stato posto l\u2019accento su tutte le misure, tecniche e organizzative adeguate ed efficienti, da adottare per scongiurare il loro verificarsi o mitigarne gli effetti.<\/p>\n Per adeguarsi al GDPR non \u00e8 previsto un regolamento unico, in quanto i comportamenti da adottare dipendono sempre dal tipo di trattamento che il titolare intende effettuare con i dati sensibili.<\/p>\n Sul cosa fare per essere GDPR compliant (perfettamente in regola con le disposizioni) vi \u00e8 una libert\u00e0 di auto-valutazione per ogni azienda titolare dei dati.<\/p>\n Responsabile ai sensi dell\u2019articolo 28 del GDPR \u00e8 qualsiasi persona giuridica o fisica che tratta i dati personali in nome proprio, o che ne delega il trattamento ad altri soggetti.<\/p>\n Importante a tal riguardo \u00e8 anche la figura del contitolare espressamente prevista dall\u2019articolo 26: Allorch\u00e9 due o pi\u00f9 titolari del trattamento determinano congiuntamente le finalit\u00e0 e i mezzi del trattamento, essi sono contitolari del trattamento.<\/p>\n Per contitolare il GDPR fa dunque riferimento a tutti quei soggetti che definiscono le finalit\u00e0 e i mezzi del trattamento dei dati e che in luogo di un trattamento congiunto devono sottoscrivere un accordo di contitolarit\u00e0.<\/p>\n Figura equipollente al titolare dei dati \u00e8 l\u2019amministratore di sistema<\/strong> che non trova definizione nel GDPR ma pu\u00f2 essere formalmente desunto dal d.P.R. 318\/1999 articolo 1 c.1 lettera c<\/a>. Si tratta, in pratica, di quella figura professionale con competenze di un tecnico hardware e software che regolarmente accede al sistema informatico che il titolare utilizza per il trattamento dei dati personali.<\/p>\n Altra figura identificata con il titolare \u00e8 il Responsabile della protezione<\/strong> (RDP) la cui nomina \u00e8 obbligatoriamente prevista quando il trattamento dei dati \u00e8 considerato particolarmente rischioso e complesso.<\/p>\n \u00c8 un soggetto dotato di specifiche conoscenze e competenze, e si occupa di assistere il titolare a adeguarsi al GDPR supportandolo nella scelta di idonee ed efficaci misure di sicurezza non indicate – come detto in precedenza – in maniera univoca dalla normativa.<\/p>\n Il GDPR infatti prevede soltanto una serie di adempimenti formali che il titolare deve adottare per essere in regola; le modalit\u00e0 e, dunque, le azioni da porre in essere sono invece determinate dal caso specifico.<\/p>\n In ultima analisi analizziamo brevemente gli adempimenti formalmente previsti dal GDPR.<\/p>\n Ai sensi dell\u2019articolo 25 del GDPR l\u2019adeguamento del titolare \u00e8 strettamente subordinato a due principi:<\/p>\n In ossequio a questi due principi il GDPR ha introdotto – articolo 30 – il registro dei trattamenti<\/strong> che, nello specifico, \u00e8 un documento che deve contenere tutte le attivit\u00e0 di trattamento che pone in essere l\u2019azienda ed \u00e8 obbligatorio per tutte quelle imprese che operano il trattamento dei dati in modo non occasionale.<\/p>\n Il GDPR chiarisce formalmente quali sono i rischi da evitare e specificatamente le elenca all\u2019articolo 4 definendo il data breach<\/strong>: La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l\u2019accesso ai dati personali trasmessi, conservati o comunque trattati.<\/p>\n In termini pratici sono quindi ricompresi furto di materiale hardware, perdita o distruzione di materiale hardware, compromissione dei dati a causa di un incidente. In determinati casi la violazione va comunicata all\u2019autorit\u00e0 di controllo o allo stesso interessato al trattamento e questo in base a quanto sancisce l\u2019articolo 33 del GDPR:Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.<\/em><\/p>\n Esplicitamente il GDPR prevede dunque un ulteriore adempimento formale, il cosiddetto registro delle violazioni<\/strong> in cui il titolare \u00e8 tenuto a riportare le violazioni e le conseguenze, le decisioni prese e le ragioni su cui queste sono basate. La materia per la sua natura tecnica \u00e8 molto complessa. Noi di Team Service ti supportiamo nella gestione di tutti gli adempimenti, fino a portare a termine con successo l\u2019adeguamento al GDPR<\/a>.<\/p>\n\n
\n
\nNello specifico, possono essere:<\/p>\n\n
GDPR: soggetti giuridici in gioco<\/h3>\n
\nNello specifico:<\/p>\n\n
GDPR: informativa e modalit\u00e0 di applicazione<\/h2>\n
\nIl consenso pu\u00f2 essere revocato in qualsiasi momento e il fornitore del servizio deve tassativamente specificare la tipologia di dati personali raccolta e lo scopo per cui sono utilizzati.<\/p>\nGDPR: accountability e valutazione del rischio<\/h3>\n
Chi \u00e8 dunque identificabile ai sensi del GDPR come titolare dei dati?<\/h4>\n
Responsabile della protezione dei dati nel GDPR<\/h5>\n
Adempimenti formali del GDPR: registro dei trattamenti, data breach e registro violazioni<\/h3>\n
\n
\nRientrano in questo elenco anche gli attacchi informatici: a tal proposito ti invito a leggere il nostro articolo su cybersecurity e i supporti di tutela che offriamo<\/a>.<\/p>\n
\nIl registro deve essere fornito al Garante in caso di accertamenti qualora lo richieda.<\/p>\n
\nPer una consulenza in materia di adeguamento al GDPR non esitare a contattarci.<\/p>\n