Di GDPR ne avrai sentito parlare decine, centinaia, se non migliaia di volte in questi ultimi anni. Non sempre, però, le informazioni che vengono scritte e condivise sono complete, chiare e aiutano chi legge ad avere una panoramica definita di questa normativa e dei diversi ambiti di applicazione.

Per questo abbiamo scelto di creare un filone dedicato a presentare i diversi elementi e dettagli del GDPR: una serie di articoli scritti dal nostro team Legal per fare chiarezza su un tema tanto delicato quanto importante per le aziende.

In questa prima puntata partiamo dal principio.

che cos'è il GDPR

Che cos’è il GDPR?

Il 24 maggio 2018 è entrato in vigore il Regolamento europeo n.679/2016, denominato General Data Protection Regulation e abbreviato con la sigla “GDPR”. 

Il GDPR è il provvedimento più significativo degli ultimi 20 anni in tema di trattamento dei dati personali e il suo obiettivo principale è quello di rafforzare la protezione dei dati personali dei cittadini dell’Unione europea, sia all’interno che all’esterno dei confini della stessa. 

Questo Regolamento ha avuto un impatto molto forte e ha portato delle grandi novità nella gestione della privacy, sia nel settore privato che in quello pubblico. Spesso non ce ne rendiamo conto, ma tutte le aziende private, i liberi professionisti e gli enti pubblici, nello svolgimento delle loro attività, trattano dati personali. Basta pensare, ad esempio, al semplice contratto di assunzione, dove il datore di lavoro raccoglie i dati del futuro dipendente, oppure ad un tecnico informatico che, svolgendo delle attività per un cliente, ha accesso ai suoi dati. 

È fondamentale, dunque, sapere che cos’è il GDPR e in che cosa consiste, per potersi uniformare in maniera corretta ed evitarne eventuali violazioni, le quali possono comportare delle conseguenze non irrilevanti.

Ma cos’è un regolamento europeo come il GDPR?

Per realizzare i propri obiettivi, l’Unione europea adotta degli atti legislativi di diverso tipo, uno di questi è il regolamento. Il regolamento europeo è immediatamente vincolante per tutti gli Stati membri dell’UE e disciplina espressamente una materia, senza lasciare agli Stati una discrezionalità nel suo recepimento.

Quando un regolamento entra in vigore, è compito degli Stati membri uniformare la propria legislazione con la nuova disciplina europea. Con l’arrivo del GDPR anche l’Italia ha provveduto ad abolire una parte della normativa italiana in tema di privacy  in contrasto con il nuovo Regolamento sulla protezione dei dati personali.

Ma perché è stato creato il GDPR?

L’integrazione economica e sociale che si è creata tra gli Stati negli ultimi anni e la continua evoluzione tecnologica a cui assistiamo hanno comportato un considerevole aumento della condivisione e della raccolta di dati personali. Inoltre, sempre più spesso, nello svolgimento delle proprie attività anche quotidiane, le persone hanno la necessità di rendere disponibili informazioni personali che le riguardano. Per permettere una libera circolazione dei dati personali all’interno dell’UE e il loro trasferimento verso Paesi terzi garantendo un elevato livello di protezione di questi dati, è stato creato il GDPR

L’evoluzione che stiamo vivendo, dunque, richiede una base normativa in materia di trattamento dei dati personali che sia solida, stringente, ma soprattutto uniforme.

Veniamo al punto… che cosa prevede il GDPR?

Il GDPR spesso viene considerato “una burocrazia in più” nello svolgimento delle nostre attività lavorative e non, ma in realtà è uno strumento molto prezioso che ci permette di avere un pieno controllo sull’utilizzo dei nostri dati. 

Quando una persona fisica, una persona giuridica (ad esempio un’azienda), una pubblica amministrazione o qualsiasi altro ente raccoglie dei dati personali per un determinato scopo, è considerato dal GDPR un “Titolare del trattamento” ed è sottoposto ad obblighi specifici. L’obbligo principale del Titolare è quello di documentare, monitorare e giustificare sempre le attività che vengono effettuate con i dati raccolti. La prima cosa che si deve essere messa in chiaro, ad esempio, è il motivo per cui si raccolgono quei dati, ma anche il metodo con cui vengono trattati, per quanto tempo vengono conservati, a chi vengono comunicati. Oltre a ciò, si deve permettere alla persona a cui appartengono quei dati (il cd. “Interessato”), di averne libero accesso, di chiederne la modifica o la cancellazione e di essere avvisato nel caso in cui ne avvenga una violazione. Chi raccoglie e utilizza dei dati, pertanto, deve adottare un comportamento trasparente e lo deve fare per mezzo di un “registro dei trattamenti”, dove documenterà il tutto. Non bisogna dimenticare, tuttavia, che il Titolare del trattamento deve mantenere in sicurezza i dati raccolti, adottando delle misure atte ad evitarne eventuali violazioni. 

Cosa fare per essere compliant?

Per mantenere una compliance al GDPR, dunque, i Titolari del trattamento devono attuare adeguate misure tecniche e organizzative non solo al momento dell’esecuzione del trattamento dei dati, ma anche nella fase di progettazione dello stesso, e lo devono fare per “impostazione predefinita”, in modo da concretizzare i principi di “privacy by design” e “privacy by default” previsti dal suddetto Regolamento. 

Solamente rispettando queste disposizioni gli Interessati potranno avere sempre il controllo e la sicurezza sui propri dati personali e i Titolari potranno utilizzarli in modo legittimo per lo svolgimento delle proprie attività necessarie.

Con questo primo articolo abbiamo cercato di darti una panoramica iniziale del tema GDPR e nelle prossime settimane andremo ad analizzare nel dettaglio i diversi aspetti della normativa.

Se sei interessato ad approfondire la tematica leggi gli altri contenuti presenti sul nostro sito e scopri i nostri servizi.

Scopri i servizi GDPR compliant di Miriade

data breach

Quali sono le conseguenze legali di un data breach?

Rivedi il webinar dedicato alla sicurezza dei database