GDPR & News

Il «General Data Protection Regulation» («GDPR»)

Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, meglio noto come «General Data Protection Regulation» («GDPR»), nasce con l’intento di uniformare e omogeneizzare la legislazione sulla protezione dei dati personali a livello europeo, con l’obiettivo di sensibilizzare i titolari e i responsabili sull’importanza di porre in essere procedure, processi, documentazione scritta sulle attività di trattamento di dati personali che sono svolti. Molto è stato importato dalla legislazione precedente e un significativo contributo è stato dato dal Codice Privacy italiano, quindi, non tutto è completamente nuovo e sconosciuto alla nostra realtà normativa nazionale in materia.

Il principio fondamentale del GDPR è quello di rafforzare e mantenere costante la responsabilizzazione di titolari e responsabili, chiedendo espressamente di garantire la dimostrazione che il trattamento condotto è compliant al GDPR. Quindi, il concetto-chiave è l’«accountability», coniugato con il principio di «data protection by design and by default». Applicare procedure di conformità al GDPR da definirle all’atto della pianificazione di un’attività deve diventare prassi consolidata, al pari di ogni decisione attinente all’attività stessa. Queste procedure, adeguatamente documentate, mantenute aggiornate e monitorate nella loro sostanziale applicazione, devono essere permanenti ed essere alla base di ogni operazione di trattamento.

Il GDPR richiede che i vertici organizzativi dimostrino il rispetto delle prescrizioni sul trattamento dei dati personali, con processi adeguati e volti alla tutela dei diritti e delle libertà delle persone.

L’analisi dei rischi preliminare rispetto a ogni trattamento diventa il punto di partenza per valutarne la lecita fattibilità e per stabilire se e quanto l’interessato sia esposto a violazioni della sua sfera privata, dei suoi diritti e delle sue libertà.

Molti adempimenti non sono affatto nuovi ma soltanto accentuati o affinati, sottolineati da specifici richiami e prescrizioni, altri sono sicuramente novità.

Il GDPR spazia dai principi applicabili al trattamento alla base giuridica del trattamento (liceità del trattamento), dalla definizione dei ruoli e delle responsabilità (titolare, responsabile, persone autorizzate al trattamento) all’applicazione di adeguate misure di sicurezza, dalla valutazione d’impatto sulla protezione dei dati («impact assessment») agli eventi di violazione dei dati personali («data breach») dalla figura del «Data Protection Officer – Responsabile della protezione dei dati» alla tenuta del Registro delle attività di trattamento. Inoltre, il GDPR disciplina come può essere lecitamente eseguito il trasferimento di dati personali vero Paesi terzi o organizzazioni internazionali. Infine, ma non per importanza, è disciplinare gli obblighi di informazione e come permettere agli interessati di controllare il trattamento dei loro dati personali, dando loro la possibilità di esercitare determinati diritti, ivi compreso il diritto di proporre reclamo all’autorità di controllo e di ottenere un risarcimento dei danni subiti. E, per affrontare adeguatamente l’impatto dei singoli obblighi, è fondamentale avere conoscenza della terminologia del GDPR, perciò è proposto anche un glossario.