Il GDPR (General Data Protection Regulation) è il Regolamento Generale per la Protezione dei Dati Personali attuato con la normativa europea n.2016/679.
Pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016, è entrato in vigore il 24 maggio 2016, ma la sua attuazione è avvenuta a distanza di due anni, quindi a partire dal 25 maggio 2018.
Trattandosi di un Regolamento, non necessita di recepimento da parte degli Stati dell'Unione Europea ma è attuato allo stesso modo all'interno di tutti senza margini di libertà nell'adattamento, il suo scopo infatti è la definitiva armonizzazione della regolamentazione in materia di protezione dei dati personali all'interno dell'Unione Europea.
Aumentando la fiducia dei cittadini nella società digitale, il Regolamento è funzionale allo sviluppo digitale dell'Unione e tutela anche la libertà di circolazione dei dati personali: col GDPR si passa da una visione proprietaria del dato, in base alla quale non lo si può trattare senza consenso, ad una visione di controllo del dato, che favorisce la libera circolazione dello stesso rafforzando nel contempo i diritti dell'interessato, il quale deve poter sapere se i suoi dati sono gestiti e come vengono utilizzati per tutelare lui e l'intera collettività dai rischi insiti nel trattamento dei dati.
Come evoluzione della vecchia direttiva 95/46, il Regolamento proclama la tutela del diritto alla protezione dei dati personali inteso come diritto fondamentale delle persone fisiche (art. 1 par. 2 "Il presente Regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali").
Perché è stato introdotto
Il GDPR è nato da precise esigenze di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’UE verso altre parti del mondo. Inoltre concretizza una risposta, necessaria ed urgente, alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini dell'Unione Europea.
Approccio risk based e responsabilizzazione
Il Regolamento sposta il fulcro della normativa dalla tutela dell'interessato alla responsabilità del Titolare e dei Responsabili del trattamento ('Responsabilizzazione', anche se la traduzione italiana non rende bene l'idea perchè Accountability vuol dire "dover rendere conto del proprio operato"), che si deve concretizzare nell'adozione di comportamenti proattivi a dimostrazione della concreta, e non meramente formale, adozione del Regolamento (leggi anche l'articolo "Cosa significa Accountability?"). Non è quindi più accettabile un approccio formalistico, del tipo "ho il consenso e tratto il dato", visto che il consenso al massimo è una delle basi che legittimano il trattamento, ma resta sempre la responsabilità del titolare di tutelare l'interessato e l'intera società dai rischi impliciti nel trattamento di dati personali.
L'approccio del GDPR è basato sulla valutazione del rischio (risk based), con il quale si determina la misura di responsabilità del Titolare o del Responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti. Il vantaggio di questo tipo di approccio è quello di pretendere degli obblighi che possono andare oltre la mera conformità alla legge ed è sicuramente più flessibile e adattabile al variare delle esigenze e degli strumenti tecnologici. Di contro presenta lo svantaggio di delegare all'azienda la valutazione del rischio, rendendo più difficili le contestazioni in caso di violazioni, considera più rischioso il trattamento dei dati di un minore rispetto a quelli di un adulto (come se i diritti di un adulto fossero meno fondamentali di quelli del bambino) e pone maggiore attenzione al trattamento di un grande insieme di dati, laddove è pacifico che anche il trattamento di pochi dati possa comportare un danno per i singoli. E', quindi, un approccio che tiene in maggiore considerazione le esigenze delle aziende, rendendo meno burocratica la gestione dei dati, con l'evidente effetto che aziende di minori dimensioni avranno minori obblighi, essendo questi parametrati anche all'organizzazione della stessa.
Il GDPR prevede inoltre: - un più facile accesso per i cittadini alle informazioni riguardanti i loro dati e le finalità e modalità di trattamento degli stessi; - un diritto alla portabilità dei dati che consentirà di trasferire i dati personali tra i vari servizi online; - l'istituzionalizzazione del diritto all'oblio (denominato "diritto alla cancellazione") come previsto dalla Corte di Giustizia europea, che consente di chiedere ed ottenere la rimozione dei dati; - l'obbligo di notifica da parte delle aziende delle gravi violazione dei dati dei cittadini; - le aziende dovranno rispondere alla sola Autorità di vigilanza dello Stato nel quale hanno la sede principale (principio del "one stop shop" o sportello unico); - sanzioni amministrative fino al 4% del fatturato globale delle aziende in caso di violazioni delle norme.
Base giuridica del trattamento
Con il GDPR i Titolari del trattamento dovranno identificare la base giuridica del trattamento (ad esempio il consenso dell'interessato) e documentarla, in quanto in relazione alla base giuridica possono variare i diritti dell'interessato, ad esempio, è stato rafforzato il diritto alla cancellazione nel caso di trattamenti basati su consenso. Il consenso, però, è solo una delle sei basi giuridiche previste, per cui è preciso dovere del titolare valutare quale sia la base giuridica più idonea rispetto al trattamento che intende porre in essere. Inoltre, la base giuridica è tra gli elementi essenziali dell'informativa e deve essere evidenziata in riscontro ad una istanza di accesso.
Trasparenza e conformità al Regolamento
Il Regolamento pone l'accento sul principio della trasparenza, in un'ottica di rispetto della finalità. Occorre infatti valutare attentamente gli scopi del trattamento, in modo da stabilire correttamente quali dati possono essere trattati e quali no (principio di essenzialità dei dati). Inoltre prevede una serie di obblighi proattivi, a dimostrazione della concreta, e non meramente formale, adozione del Regolamento stesso. In tale ottica la predisposizione e l'aggiornamento della documentazione è essenziale, in quanto indice di corretta implementazione delle norme: - documentazione attestante i trattamenti svolti (registro dei trattamenti, valutazione di impatto, trasferimento dati extra UE); - documentazione attestante il rispetto dei diritti degli interessati (informative, moduli raccolta consenso); - documentazione di ripartizione ruoli e responsabilità (contratti e nomine dei responsabili esterni e autorizzati, procedure interne, etc.); - documentazione attestante le misure di sicurezza implementate.
Ambito di applicazione
Per concludere, il GDPR si applica ad ogni "trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi".
In tale prospettiva, disciplina solo il trattamento dei dati personali che riguardano una persona fisica, con esclusione delle persone giuridiche.
Per quanto riguarda l'ambito territoriale, il Regolamento si applica ad ogni trattamento che ha ad oggetto dati personali, e a tutti i Titolari (controller) e Responsabili (processor) del trattamento stabiliti nel territorio dell'Unione, ma anche in generale a quelli che, offrendo beni e servizi a persone residenti nell'Unione, trattano dati di residenti nell'Unione europea (art. 3 del Regolamento). In tal modo la sua applicazione non è limitata alle sole aziende che si trovano in Europa, ma tutela tutti gli interessati che risiedono nel territorio dell'Unione indipendentemente da dove si attua il trattamento dei loro dati.
Curiosità: approvazione, adozione e attuazione
15 dicembre 2015: il Parlamento e il Consiglio raggiungono l'accordo, il testo è definitivo dopo la firma del gennaio 2016. 8 aprile 2016: il Consiglio dell'Unione Europea adotta il GDPR. 12 aprile 2016: la Commissione LIBE del Parlamento europeo approva il GDPR che quindi passa in plenaria. 16 aprile 2016: il Parlamento Europeo adotta il GDPR. 4 Maggio 2016: Pubblicazione del GDPR nella Gazzetta Ufficiale dell'UE. 24 maggio 2016: il GDPR entra in vigore 20 giorni dopo la pubblicazione nella Gazzetta ufficiale dell'Unione Europea. 13 dicembre 2016: il Gruppo Articolo 20 adotta le linee guida per su alcuni aspetti del GDPR.
25 Maggio 2018: il GDPR diventa applicabile dopo un periodo di 2 anni dall'adozione.
Se la tua azienda non ha ancora preso provvedimenti per adeguarsi alla normativa, non rischiare sanzioni, contattaci per informazioni o per un preventivo gratuito, il nostro team di specialisti in materia di Privacy ed esperti DPO saprà consigliarti la soluzione migliore commisurata alla tua attività!
Cel. 371 46 37 145 - 371 46 30 129
E-mail: info@enterprise-solutions.net
oppure tramite chat con un nostro operatore cliccando sul box "Serve aiuto" o ". . ." nella versione Mobile.