15 Maggio 2018
15 Maggio 2018
GDPR e 25 Maggio 2018 sono ormai già considerati un termine ed una data epocale, infatti manca poco all’entrata in vigore del nuovo regolamento generale sulla protezione dei dati, e le preoccupazioni non sono poche né per chi deve adempiere ai diversi obblighi di legge in materia di gestione e manipolazione di dati né per le aziende che trattano, in qualsiasi modo, dati relativi alle persone.
L’intento di questo articolo è quello di fare maggiore chiarezza su cosa sia il GDPR, del perché della sua esistenza e sulle misure essenziali che possono essere messe in campo affinché si rispetti quanto riportato nel regolamento. Chi scrive non è un avvocato ma fa parte del Team che si occupa di consulenze GDPR all’interno di Viralbeat, al vostro servizio per offrire soluzioni mirate e personalizzate in materia.
Con il termine GDPR, acronimo di General Data Protection Regulation, si fa riferimento al REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), il cui testo completo in italiano è consultabile sul sito della Gazzetta Ufficiale dell’Unione Europea. Esso fa riferimento a come devono essere gestiti i dati personali dei cittadini dell’Unione Europea, ed il suo intento è proprio rafforzare quanto già esistente, il tutto sia nella UE stessa che al di fuori.
Il GDPR fa chiarezza su molti aspetti fino ad ora trattati solo marginalmente, copre ad esempio il tema dell’esportazione dei dati fuori dai confini dell’Unione Europea ed impone un obbligo per tutti i titolari del trattamento dei dati, di tutto il mondo, ad osservare quanto riportato nel General Data Protection Regulation.
I motivi fondamentali dell’esistenza del GDPR sono da ricercare in quella che è per i cittadini della UE il controllo e la gestione dei propri dati personali, la possibilità di avere chiarezza sul possesso esterno di tali dati, ed infine l’uniformare all’interno dell’Unione Europea la Normativa sulla Privacy, infatti dal 25 Maggio 2018, come già detto data dell’entrata in vigore del Regolamento (UE) 2016/679, sarà abrogato il Codice in materia di protezione dei dati personali – decreto legislativo 30 giugno 2003 n. 196.
Per chiarezza è bene dire che la GDPR in sè non porta maggiore chiarezza, almeno in Italia, e a tal proposito si attende una legge che faccia conciliare le norme del vecchio codice sulla privacy con quelle incompatibili riportate all’interno del nuovo Regolamento.
Nel testo del GDPR viene riportato tutto ciò che fa riferimento alla gestione dei dati personali, in particolar modo, oltre al normale ambito di applicazione, alle varie definizioni, tra cui quella stessa di dato, e alle sanzioni, viene data particolare enfasi alle responsabilità e alle figure responsabili, alla portabilità e sicurezza dei dati, ai diritti degli interessati. In fondo tutto ciò che deve essere ben chiaro è riportato nel primo comma che dice “La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale”.
Il regolamento, quindi, stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati e protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.
L’ambito di applicazione è forse la parte più semplice da comprendere nel GDPR, infatti è facile capire che si applica ai dati dei residenti nell’Unione Europea, seppur differendo da quanto attualmente in vigore poiché specifica esplicitamente che il Regolamento si applica anche alle entità che hanno sede legale al di fuori dell’Unione Europea, ma che trattano dati di persone che sono residenti in UE, il tutto al di là di dove siano archiviati o elaborati gli stessi dati.
Di fondamentale importanza è il fatto che il regolamento non includa la gestione dei dati personali per attività di ordine pubblico o sicurezza nazionale. Inoltre, è ben definito il fatto che venga regolamentato solo il trattamento di dati personali di persone fisiche, e venga indicato anche cosa si intende per dato personale, nella fattispecie: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche, indirizzi IP di computer, cookie, dati relativi alla geolocalizzazione.
In particolare, il regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.
Nel definire il dato c’è spesso confusione, il GDPR definisce bene quali sono i dati interessati, riprendendo alcuni della vecchia direttiva ed aggiungendone di nuovi, definendoli più nel dettaglio. In particolare:
Nell’eccezione generale si evince facilmente che il regolamento racchiude qualsiasi dato che consente l’identificazione univoca di una persona fisica.
Il GDPR definisce come Dato Personale qualsiasi informazione che riguarda una persona fisica interessata, cioè identificata o identificabile. L’essere identificabile si ha in riferimento al fatto che direttamente o indirettamente possa essere identificata. Nello specifico si hanno come riferimento informazioni quali: il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Più specificatamente nel GDPR viene specificato come Dato Genetico quelle informazioni dell’individuo, ereditate o acquisite, che ottenuti tramite analisi campioni biologici forniscono maggiori notizie sulla fisiologia o sulla salute della persona fisica oggetto dell’analisi. Sono esempio di questi dati le analisi di DNA, RNA o altro equivalente.
Nelle definizioni del GPDR il Dato Biometrico è quello ottenuto da un trattamento tecnico specifico relativo alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consente o conferme l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici. Sono, quindi, compresi tutti quei dati come ad esempio l’impronta digitale, l’immagine facciale, la scansione dell’iride, ed in alcuni casi le fotografie, grazie ai quali è possibile identificare univocamente una ed una sola persona fisica.
Nel GDPR i Dati relativi alla Salute sono dati personali attinenti alla salute fisica o mentale di una persona, compresa la prestazione di servizi di assistenza sanitaria che rivelano informazioni relative al suo stato di salute. In tali dati rientrano sia quelli fisici che mentali, senza distinzione di tempo, quindi sia passati che presenti o anche futuri, inoltre ne fanno parte anche le informazioni raccolte per ricevere servizi di assistenza sanitaria indipendentemente dalla fonte, o di prestazioni relative alla stessa.
In queste informazioni rientrano sia informazioni univoche attribuite ad una persona fisica, sia esse un numero, un simbolo o un elemento distintivo qualsiasi; sia risultati di esami da esami e controlli effettuati su una parte del corpo o una sostanza organica, quindi anche da quelli che identifichiamo come dati genetici e dai relativi campioni biologici; sia da qualsiasi informazione che riguarda malattie, disabilità, rischi di malattie e via dicendo.
Naturalmente la definizioni dei dati è molto più ampia e complessa, e Viralbeat può aiutarvi nella corretta identificazione di tali informazioni e soprattutto a trattarli correttamente. Nel prossimo appuntamento parleremo di obblighi, diritti, responsabilità e sicurezza, per avere così una visione più completa dell’argomento. Nel frattempo se avete bisogno di una nostra consulenza contattateci, siamo pronti ad offrirvi soluzioni e risposte ai vostri quesiti.
La vostra crescita parte da qui. Senza impegnarvi, senza bisogno di troppi dettagli. Ma iniziamo a conoscerci, o non scoprirete mai cosa Viralbeat può fare per voi. Scriveteci e vi ricontatteremo, pronti ad ascoltare. E a proporre.
