La Privacy secondo il GDPR – Regolamento UE 2016/679

Gabriele Milito
GDPR

La Privacy secondo l’UE

Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, questo il nome completo, è il documento che dal 25 maggio 2018 impone agli stati facenti parte dell’Unione Europea di adeguare i propri regolamenti nazionali in ambito privacy.

A distanza di un anno, con l’aiuto dei dati forniti dal Garante per la Protezione dei Dati Personali, ripercorreremo le principali novità introdotte dal General Data Protection Regulation (GDPR) e capiremo come la normativa nazionale si stia adeguando ai cambiamenti proposti in Unione Europea.

Per entrare nel mondo della privacy, partiamo con un rapido riepilogo di ciò che si è fatto in Italia prima del Regolamento Europeo del trattamento dati.General Regulation Protection Data Gdpr Security

Il passato della Privacy

La prima normativa in tema di trattamento dei dati in Italia risale al 1996 (Legge 675), ma il primo vero Testo Unico in grado di riassumere, razionalizzare e semplificare le norme e gli adempimenti previsti è il codice per la protezione dei dati personali, ovvero il il Decreto legislativo 30 giugno 2003, n. 196.

Conoscere questo Decreto è fondamentale in quanto, in attesa che vengano assorbite le modifiche introdotte dal GDPR, tutte le disposizioni non in contrasto con il Regolamento UE 2016/679 rimangono operative.

Nel D.Lgs. 196/2003 vengono definiti alcuni importanti diritti tra cui il diritto al trattamento dei dati personali di chiunque, il diritto alla riservatezza oltre all’introduzione del concetto di consenso al trattamento.

Sulla base di queste importanti radici, la normativa si dirama in diversi aspetti che in parte sono soppiantati dal GDPR: i diritti degli interessati, la modalità di raccolta e i requisiti dei dati, gli obblighi di chi raccoglie, detiene o tratta dati personali e le responsabilità e sanzioni in caso di danni.

Le novità introdotte

Rispetto al passato, le maggiori novità possono essere riassunte in 3 punti fondamentali: il concetto di “data protection by design”, il principio di “accountability” e la designazione del Data Protection Officer (DPO).

La Data Protection by Design and by Default si può riassumere nell’obbligo da parte del titolare del trattamento di mettere in atto misure tecniche ed organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Questo comporta che per qualsiasi tipologia di trattamento dati, il titolare del trattamento debba studiare il modo di minimizzare la portata del trattamento e quindi la quantità di dati da trattare.

L’Accountability, traducibile come “Responsabilizzazione”, è l’obbligo da parte del titolare del trattamento di comunicare all’autorità di controllo competente qualunque violazione dei dati personali che possa comportare un rischio per i diritti e le libertà delle persone fisiche. Ogni stato in Europa ha la sua autorità nazionale, per l’Italia è il Garante per la protezione dei dati personali (Garante Privacy), al quale devono essere comunicate le violazioni riscontrate entro 72 ore dalla violazione stessa per non incorrere in sanzioni.

L’articolo 37 del GDPR impone inoltre la designazione del DPO – Data Protection Officer per ogni autorità pubblica od organismo pubblico per qualsiasi trattamento che comporti monitoraggio su larga scale e sistematico di dati od il trattamento di particolari categorie di dati personali quali ad esempio i dati biometrici o genetici. Questo obbligo ricade quindi anche sulle società che trattano grandi quantità di dati, come ad esempio imprese informatiche o di telecomunicazioni, oltre ovviamente ai social network.

I compiti del DPO sono fondamentalmente 5:

  1. informare e fornire consulenza al titolare del trattamento, al responsabile del trattamento ed ai dipendenti che eseguono il trattamento in merito agli obblighi relativi alla protezione dei dati;
  2. sorvegliare l’osservanza del regolamento nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  3. fornire un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
  4. cooperare con l’autorità di controllo;
  5. fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento.

E adesso?

Al fine di aiutare le imprese e le Pubbliche Amministrazioni italiane, il Garante per la Protezione dei Dati Personali ha organizzato diverse sessioni formative ed a distanza di 12 mesi dall’approvazione del Regolamento UE 2016/679 ha pubblicato un bilancio dell’applicazione del GDPR in Italia.

A mio parere siamo ancora molto lontani dal completo adeguamento, specialmente considerando che sono state effettuate meno di cinquantamila comunicazioni dei dati di contatto dei DPO rispetto al numero di Pubbliche Amministrazioni e società partecipate che trattano i nostri dati.

Altro aspetto molto rilevante da considerare è l’adeguamento richiesto a tutte le imprese e gli Stati hanno processi di trattamento dati attivi in Unione Europea, un esempio su tutti è certamente la realizzazione del Privacy Shield tra USA e UE che regolamenta il trasferimento dei dati dei cittadini europei alle società statunitensi (quali ad esempio i maggiori gestori di social network mondiali), permettendo a tutti noi di essere maggiormente tutelati anche al di fuori del nostro continente. (Con la sentenza nel caso C-311/18 – Schrems II, la Corte di giustizia dell’Unione europea ha dichiarato invalida la decisione di esecuzione UE 2016/1250 della Commissione sull’adeguatezza della protezione offerta dal regime dello scudo UE – USA per la privacy N.d.R.)Privacy Shield USA-UE

E voi cosa ne pensate? Il GDPR riuscirà nell’intento di tutelare i nostri dati nell’era dell’informatizzazione? Con una media di circa 3 Data Breach al giorno, temo ci sia ancora molto da fare in Italia per salvaguardare la nostra libertà e la sicurezza delle informazioni che ci riguardano, specialmente considerando che alcuni di questi eventi potrebbero non solo non essere stati segnalati, ma addirittura nemmeno identificati da chi li avesse subiti.

In ogni caso, come di consueto, vi rimando al testo integrale del Regolamento in italiano con le ultime rettifiche effettuate, disponibile direttamente sul sito del Garante per la Privacy.

Per oggi ho concluso e vi ringrazio dell’attenzione. Vi invito ad iscrivervi alla newsletter per rimanere sempre aggiornati, oltre che a commentare questo articolo nella sezione sottostante con informazioni, chiarimenti, integrazioni e suggerimenti anche per i prossimi articoli.