Che cos’è il GDPR

La sigla GDPR sta per General Data Protection Regulation (in italiano RGPD - Regolamento Generale sulla Protezione dei Dati) ovvero il regolamento europeo 2016/679 che dal 25 Maggio 2018 è diventata la norma di riferimento in tutti gli stati europei per quanto attiene la protezione e la libera circolazione dei dati personali, ossia quei dati o quelle informazioni che permettono di identificare direttamente o indirettamente una persona fisica (per esempio il nome, l’indirizzo o l’immagine).
Anche in Italia è la norma di riferimento per quanto attiene la tutela e il trattamento di dati personali: la precedente normativa (il Codice in materia di protezione dei dati personali - d.lgs. 196 del 2003) è stata revisionata per integrare il nuovo regolamento europeo.

 

Chi è coinvolto

Il GDPR si applica a qualsiasi trattamento di dati personali che non sia effettuato da una persona fisica per scopi personali o privati.
La grande novità del GDPR è che si applica al trattamento di dati personali di qualsiasi cittadino dell’Unione Europea anche se il trattamento avviene in un luogo fisico al di fuori dell’UE. È per tale ragione che, per esempio, molti social media americani hanno dovuto rivedere profondamente, negli ultimi mesi, le loro politiche sulla privacy.
In generale qualsiasi azienda o ente che effettui un trattamento di dati personali (per esempio dei propri dipendenti o dei propri clienti) è soggetto alle prescrizioni del GDPR.

Il GDPR: adempimenti ma anche opportunità

In primo luogo è importante ricordare che il GDPR ridefinisce la tutela dei dati personali attuando un approccio basato sul rischio: si richiede ai soggetti che trattano dati personali (i Titolari) di valutare, in modo autonomo, la propria situazione e mettere in atto misure e procedure che siano adeguate rispetto al proprio trattamento e al proprio rischio.
Nella pratica, il Regolamento Europeo impone in sintesi ai titolari del trattamento:

• di informare le persone fisiche, di cui vengono trattati i dati, circa le modalità e le finalità del trattamento svolto e, ove necessario, di richiedere il consenso al trattamento;
• di definire le proprie attività di trattamento (incluse quelle derivanti per esempio da impianti di videosorveglianza o GPS) e valutarne eventuali rischi, definendo e attuando adeguate misure di sicurezza (per es. organizzative o tecniche) a tutela dei dati personali;
• di definire adeguate autorizzazioni o definire accordi, con tutti soggetti che trattano dati per suo conto (per esempio il personale dipendente), provvedendo a mantenere revisionato e aggiornato il proprio sistema di protezione dei dati personali anche fornendo adeguata formazione;

La complessità degli adempimenti necessari è proporzionale alla complessità dell’organizzazione coinvolta e anche al tipo di attività svolta, ma è chiaro che ogni azienda o ente è tenuta ad attivarsi per mettersi a norma e non incorrere in problemi o sanzioni.
Quindi, dato che in ogni caso è necessario diciamo fare qualcosa, potrebbe valere la pena cercare di trasformare un obbligo normativo (solitamente visto come un fastidio) in un’opportunità per ottimizzare e perché no migliorare la propria attività.
Per esempio la necessità di gestire e verificare le informative con i clienti può essere l’occasione per revisionare periodicamente i propri elenchi, ripulire le parti non necessarie e ottimizzare le procedure e i flussi di ordini, contratti, etc.. Allo stesso modo l’obbligo di attuare adeguate misure tecniche per la sicurezza dei dati può diventare l’occasione per verificare la propria rete, il software e l’hardware aziendali.

 

Domande ricorrenti

Ecco alcuni dei quesiti che ci vengono rivolti più spesso.

Posso trattare questo o quel dato personale?
Il GDPR, come la precedente regolamentazione, è una normativa che richiede principalmente trasparenza: non definisce nello specifico quali dati si possono trattare. In pratica un Titolare può trattare tutti i dati personali che vuole a patto di informare con chiarezza l’interessato di tutti i trattamenti che svolge in merito e che chieda il consenso ove necessario. La domanda, piuttosto, è un’altra: per quale scopo raccolgo questi dati ed il trattamento è adeguato e pertinente alla finalità per cui sono stati raccolti?

Esiste una scadenza entro il quale mettersi a norma?
La normativa è in vigore dal 25 Maggio2018: si dovrebbe essere quindi già in regola.
Si deve tenere in considerazione anche il fatto che il Titolare, dopo aver adempiuto agli obblighi, è tenuto a mantenere sempre aggiornata la documentazione richiesta dal GDPR. Il che vuol dire che preparare la documentazione e poi non aggiornarla equivale quasi a non averla fatta.

Lavoro solo con aziende/persone giuridiche. Devo fare qualcosa?
Sebbene la ragione sociale di un’azienda, o il suo indirizzo, non siano considerati dati personali, è anche vero che nel rapporto con clienti e fornitori spesso vengono trasferiti dati che sono certamente personali, quali per esempio il nome e cognome di un referente o la mail di un dipendente. Pertanto è sempre bene gestire queste attività come trattamenti di dati personali a tutti gli effetti.

Esistono delle misure di sicurezza minime o standard?
Il GDPR non elenca, se non genericamente e in modo non esaustivo, delle misure per la sicurezza dei dati personali. In ogni caso, potrebbero venir rilasciate dal Garante delle linee guida sulla gestione degli adempimenti e sulle misure di sicurezza nelle aziende.
Al momento pertanto non esistono dei requisiti minimi di sicurezza: la valutazione delle misure adeguate è lasciata al Titolare che, chiaramente, può farsi supportare in tal senso dai propri consulenti in materia.

Altri informazioni

Definizioni dei termini principali: https://www.cyberlaws.it/2017/articolo-4-gdpr-regolamento-generale-sulla-protezione-dei-dati-ue2016679/
Sito del Garante per la protezione dei dati personali: https://www.garanteprivacy.it