GDPR: significato e che cos’è

Il GDPR, Gen­er­al Data Pro­tec­tion Reg­u­la­tion, è il rego­la­men­to europeo sul­la pro­tezione dei dati per­son­ali del mag­gio 2018.

Nasce da pre­cise esi­gen­ze di certez­za giuridi­ca, armo­niz­zazione e mag­giore sem­plic­ità delle norme riguardan­ti il trasfer­i­men­to di dati per­son­ali dall’UE ver­so altre par­ti del mon­do.

Si trat­ta poi di una rispos­ta, nec­es­saria e urgente, alle sfide poste dagli svilup­pi tec­no­logi­ci e dai nuovi mod­el­li di cresci­ta eco­nom­i­ca.

In estrema sin­te­si col GDPR:

  • si intro­duce il con­cet­to di respon­s­abi­liz­zazione o account­abil­i­ty del tito­lare;
  • si intro­ducono impor­ti più ele­vati per le sanzioni ammin­is­tra­tive pecu­niarie;
  • si intro­ducono con­cetti di “pri­va­cy by design”. Nonché di approc­cio basato sul ris­chio e adeguatez­za delle mis­ure di sicurez­za, di val­u­tazione d’impatto e data breach;
  • regole più rig­orose per la selezione e la nom­i­na di un respon­s­abile del trat­ta­men­to e di even­tu­ali sub-respon­s­abili;
  • si intro­duce la pre­vi­sione, in alcu­ni casi tas­sati­va, di nom­i­na obbli­ga­to­ria di un Respon­s­abile del­la pro­tezione dei dati;
  • si intro­ducono regole più chiare su infor­ma­ti­va e con­sen­so;
  • viene ampli­a­ta la cat­e­go­ria dei dirit­ti che spet­tano all’interessato;
  • sono sta­bil­i­ti cri­teri rig­orosi per il trasfer­i­men­to degli stes­si al di fuori dell’UE.

Le norme si appli­cano anche alle imp­rese sit­u­ate fuori dall’Unione euro­pea che offrono servizi o prodot­ti all’interno del mer­ca­to UE.

Il principio di “responsabilizzazione”

È sta­ta introdot­ta la respon­s­abi­liz­zazione dei tito­lari del trat­ta­men­to, account­abil­i­ty.

Ovvero l’adozione di com­por­ta­men­ti proat­tivi e tali da dimostrare la conc­re­ta adozione di mis­ure final­iz­zate ad assi­cu­rare l’applicazione del rego­la­men­to del GDPR, e un approc­cio che ten­ga in mag­gior con­sid­er­azione i rischi che un deter­mi­na­to trat­ta­men­to di dati per­son­ali può com­portare per i dirit­ti e le lib­ertà degli inter­es­sati, tenen­do con­to dei rischi noti o evi­den­zi­a­bili, nonché delle mis­ure tec­niche e orga­niz­za­tive ritenute adeguate dai tito­lari per mit­i­gare tali rischi.

Data breach GDPR

Il tito­lare del trat­ta­men­to deve comu­ni­care even­tu­ali vio­lazioni dei dati per­son­ali al Garante.

Rispon­dere in modo effi­cace a un data breach per il GDPR richiede un approc­cio mul­ti­dis­ci­pli­nare e inte­gra­to. Oltre una mag­giore coop­er­azione a liv­el­lo UE.

Per sup­port­are le orga­niz­zazioni nel­la ges­tione di even­tu­ali vio­lazioni di dati per­son­ali, l’EDPB, Euro­pean Data Pro­tec­tion Board, ha adot­ta­to il 14 gen­naio 2021 la pri­ma ver­sione delle Linee Gui­da 01/2021 on Exam­ples regard­ing Data Breach Noti­fi­ca­tion.

Queste Linee Gui­da for­niscono esem­pi prati­ci di data breach e inte­gra­no le Linee Gui­da sul­la noti­fi­ca del­la vio­lazione dei dati per­son­ali adot­tate a feb­braio 2018 dall’ex WP29, ora EDPB.

A liv­el­lo nazionale il Garante Pri­va­cy ha pre­dis­pos­to un “Servizio telem­ati­co” ded­i­ca­to al data breach, for­nen­do anche un tool di auto­va­l­u­tazione per la noti­fi­ca all’Autorità di una vio­lazione dei dati per­son­ali.

Registro delle attività di trattamento

L’adozione del Reg­istro dei trat­ta­men­ti di dati per­son­ali è obbli­ga­to­rio per le imp­rese che con­tano almeno 250 dipen­den­ti.

Tale pre­vi­sione non si appli­ca, quin­di, alle imp­rese o orga­niz­zazioni con meno di 250 dipen­den­ti. A meno che il trat­ta­men­to che esse effet­tuano:

  • pos­sa pre­sentare un ris­chio per i dirit­ti e le lib­ertà dell’interessato;
  • non sia occa­sion­ale;
  • inclu­da il trat­ta­men­to di cat­e­gorie par­ti­co­lari di dati;
  • inclu­da i dati per­son­ali rel­a­tivi a con­danne penali e a reati.

Si trat­ta di uno stru­men­to fon­da­men­tale allo scopo di dis­porre di un quadro aggior­na­to dei trat­ta­men­ti in essere all’interno di un’azienda o di un sogget­to pub­bli­co. Da esi­bire su richi­es­ta del Garante.

Il reg­istro deve avere for­ma scrit­ta e anche elet­tron­i­ca.

Par­liamo, quin­di, di un doc­u­men­to con­te­nente le prin­ci­pali infor­mazioni rel­a­tive alle oper­azioni di trat­ta­men­to svolte sia dal Tito­lare del trat­ta­men­to. Even­tual­mente, se nom­i­na­to, anche dal Respon­s­abile del trat­ta­men­to.

La figura del DPO

Il DPO, Data Pro­tec­tion Offi­cer, è incar­i­ca­to di sorveg­liare l’osservanza delle dis­po­sizioni in mate­ria di pro­tezione dei dati per­son­ali nelle imp­rese e negli enti.

È indi­vid­u­a­to in fun­zione:

  • delle qual­ità pro­fes­sion­ali;
  • del­la conoscen­za spe­cial­is­ti­ca del­la nor­ma­ti­va;
  • del­la pras­si in mate­ria di pro­tezione dati.

Il Respon­s­abile del­la pro­tezione dei dati:

  1. riferisce diret­ta­mente al ver­tice,
  2. è indipen­dente, non riceve istruzioni per quan­to riguar­da l’esecuzione dei com­pi­ti;
  3. gli ven­gono attribuite risorse umane e finanziarie adeguate alla mis­sion.

È una figu­ra ril­e­vante, ma cer­ta­mente non è il “cen­tro” del sis­tema pos­to in essere dal GDPR. Ovvero il Tito­lare del trat­ta­men­to.

Il DPO deve avere una speci­fi­ca com­pe­ten­za “del­la nor­ma­ti­va e delle pras­si in mate­ria di dati per­son­ali nonché delle norme e delle pro­ce­dure ammin­is­tra­tive che carat­ter­iz­zano il set­tore”.

È non meno impor­tante, però, che abbia anche “qual­ità pro­fes­sion­ali adeguate alla com­p­lessità del com­pi­to da svol­gere”. Spe­cial­mente con rifer­i­men­to a set­tori del­i­cati come quel­lo del­la san­ità, deve dimostrare di avere anche com­pe­ten­ze speci­fiche rispet­to ai tipi di trat­ta­men­to posti in essere al tito­lare.

È altret­tan­to impor­tante l’autonomia deci­sion­ale e l’estraneità del DPO rispet­to alla deter­mi­nazione delle final­ità e delle modal­ità del trat­ta­men­to dei dati, se si vuole resti­tuire agli inter­es­sati quel­la sovran­ità sul­la cir­co­lazione dei pro­pri dati.

Privacy e Trasparenza con il GDPR

Tra le molte novità, il GDPR apre una nuo­va pag­i­na sul tema del rap­por­to tra pri­va­cy e trasparen­za. Anche in rifer­i­men­to all’attività dei sogget­ti pri­vati che svol­go­no fun­zioni di pub­bli­co inter­esse.

In questo con­testo, è impor­tante sot­to­lin­eare come il rego­la­men­to non mod­i­fichi diret­ta­mente le norme nazion­ali. Né quelle attual­mente appli­cate alle innu­merevoli isti­tuzioni europee.

Si pre­oc­cu­pa, invece, di chiarire l’assenza di un rap­por­to di con­trad­dizione, in quan­to i val­ori di “trasparen­za” e di “tutela effi­cace del­la ris­er­vatez­za” sono con­siderati entram­bi meritevoli di effi­cace pro­tezione.

GDPR e diritto all’oblio

La vera novità che arri­va con il GDPR è sul dirit­to all’oblio. Ovvero la richi­es­ta di can­cel­lazione riv­ol­ta a un tito­lare che abbia reso pub­bli­ci i dati.

Sul tema, l’EDPB ha elab­o­ra­to le Linee Gui­da 5/2019 per l’esercizio del dirit­to all’oblio nel caso dei motori di ricer­ca, ai sen­si del GDPR.

In par­ti­co­lare, le Linee Gui­da 5/2019 indi­cano sia i motivi che le eccezioni, che un inter­es­sato può invo­care per chiedere la deindi­ciz­zazione a un for­n­i­tore di motore di ricer­ca.

Il codice di condotta per il trattamento dei dati personali

Tra gli stru­men­ti volti a facil­itare l’implementazione dei prin­cipi di tutela del­la pri­va­cy, l’art. 40 GDPR con­sente alle asso­ci­azioni di cat­e­go­ria, e ad altri organ­is­mi rap­p­re­sen­ta­tivi di tito­lari e respon­s­abili del trat­ta­men­to, di pre­dis­porre dei cod­i­ci di con­dot­ta.

Si trat­ta di stru­men­ti di autodis­ci­plina che, adot­tati su base volon­taria, pos­sono prevedere regole interne di pro­tezione dei dati per­son­ali, al fine di creare uni­for­mità all’interno del­lo speci­fi­co set­tore e di assi­cu­rare il rispet­to delle norme del GDPR da parte di tito­lari e respon­s­abili.

Il con­trol­lo del­la con­for­mità con un codice di con­dot­ta può essere effet­tua­to da un organ­is­mo in pos­ses­so del liv­el­lo adegua­to di com­pe­ten­ze riguar­do al con­tenu­to del codice e del nec­es­sario accred­i­ta­men­to a tal fine dell’autorità di con­trol­lo com­pe­tente ai sen­si dell’art. 41 del GDPR.

Nel 2020, il Garante Pri­va­cy ha approva­to i req­ui­si­ti di accred­i­ta­men­to degli organ­is­mi di mon­i­tor­ag­gio dei cod­i­ci di con­dot­ta.

L’accreditamento degli organ­is­mi di mon­i­tor­ag­gio cos­ti­tu­isce con­dizione nec­es­saria per l’approvazione di un codice di con­dot­ta da parte del Garante. Tali req­ui­si­ti cos­ti­tuiran­no un mod­el­lo di rifer­i­men­to per quelle asso­ci­azioni che inten­dono sot­to­porre i loro cod­i­ci di con­dot­ta all’approvazione del Garante pri­va­cy.

Perché il GDPR è un investimento necessario per il futuro di aziende e PA

Le imp­rese e le PA devono con­sid­er­are l’attuazione del GDPR non come un cos­to ma come un inves­ti­men­to. Nec­es­sario a sostenere il pro­prio futuro nel mer­ca­to e isti­tuzionale. Pro­teggere i dati sig­nifi­ca anche assi­cu­rarne la qual­ità, pre­sup­pos­to per ogni svilup­po nell’internet delle cose e intel­li­gen­za arti­fi­ciale.

Spe­ri­amo che con questo arti­co­lo ti sia più chiaro che cos’è il GDPR e le sue pecu­liar­ità.

Even­tual­mente scriv­i­ci nei com­men­ti, o nel­la com­mu­ni­ty di Inves­thero, dove potrai trovare altri impren­di­tori che mag­a­ri, come te, han­no dovu­to affrontare la ques­tione GDPR per le loro aziende.

 

SCOPRI CLUB HERO: IL CLUB DEGLI INVESTITORI CONSAPEVOLI

SBLOCCA I BONUS DI TUTTE LE PIATTAFORME!

DA ZERO A INVESTITORE ESPERTO

DIVENTA UN CACCIATORE IMMOBILIARE

CONDIVIDI ARTICOLO

Smart Investor

Alessandro Del Saggio

Investitore, Imprenditore e formatore dal 2014.
Da sempre appassionato di investimenti e business, credo fortemente nella crescita personale e nel dare sempre il meglio di sè.

0 commenti

Invia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Ti potrebbe interessare anche: