Che cos’è il GDPR
Se ne sente parlare spesso ma non necessariamente si hanno idee ben chiare a riguardo. Ci riferiamo al GDPR, un regolamento che interessa da vicino le aziende, il mondo del web e non solo. In questo articolo cercheremo di fare un po’ di luce sul tema.
Cosa significa GDPR
La sigla GDPR sta per General Data Protection Regulation, ovvero Regolamento generale sulla protezione dei dati. Con questo termine si indica un regolamento europeo che disciplina le modalità in cui le aziende e le altre organizzazioni trattano i dati personali e la privacy. Il GDPR rappresenta il provvedimento più significativo che nell’ultimo ventennio è stato emanato in materia di protezione dei dati. Il regolamento è stato adottato nell’aprile del 2016, è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 4 maggio 2016 ed è entrato in vigore il 24 maggio dello stesso anno con operatività partire dal 25 maggio 2018.
Finalità del GDPR
Gli obiettivi principali del GDPR consistono nel restituire ai cittadini il controllo dei propri dati personali, semplificando nel contempo il contesto normativo che riguarda gli affari internazionali attraverso l’armonizzazione dei vari regolamenti sulla protezione dei dati in tutta l’Unione Europea.
Si tratta di un vero e proprio regime di protezione dei dati esteso a tutte le imprese e le organizzazioni che gestiscono dati dei residenti europei. IL GDPR facilita così l’osservanza dei vari regolamenti da parte delle aziende e delle organizzazioni non europee.
All’atto pratico, quindi, il Regolamento generale sulla protezione dei dati ha uniformato le leggi europee in materia di protezione dei dati, con lo scopo di garantire ai residenti dell’UE una maggiore protezione dei propri dati personali.
A chi si applica il GDPR?
Come esplicitato nell’Articolo 2 del Regolamento, il GDPR si applica al “trattamento interamente o parzialmente automatizzato dei dati personali ed al trattamento non automatizzato di dati personali contenuti in archivio”. Nello specifico il Regolamento non stabilisce a chi si applica. Elenca tuttavia a chi non si applica, ovvero ai trattamenti di dati personali:
- relativi ad attività che non sottostanno al diritto dell’Unione Europea;
- effettuati da una persona fisica per attività personali o domestiche;
- effettuati dalle autorità competenti ai fini di prevenzione, indagine, accertamento o perseguimento di reati.
Ambito di applicazione territoriale
Secondo l’Articolo 3, che definisce l’ambito di applicazione territoriale, il GDPR si applica:
- al trattamento di dati personali effettuati da un titolare del trattamento o responsabile del trattamento che risiede nell’Unione, indipendentemente dal fatto che il trattamento stesso sia effettuato o meno nell’Unione Europea;
- al trattamento di dati personali di persone fisiche che si trovano nell’Unione Europea, effettuato da un titolare o responsabile del trattamento al di fuori dell’Unione quando offrono beni e servizi ai residenti UE o monitorano il comportamento dei residenti UE.
Che cosa si intende per trattamento dei dati personali
A stabilirlo è l’Articolo 4 del Regolamento europeo che definisce il trattamento dei dati personali, come qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
Il concetto di trattamento include quindi tutte quelle operazioni che implicano una conoscenza di dati personali.
Che cosa si intende tipicamente per dati personali
Sono dati personali tutte quelle informazioni che identificano o rendono identificabile, in maniera diretta o indiretta, una persona fisica e che possono fornire dettagli relativi:
- alle sue caratteristiche;
- al suo stile di vita;
- alle sue abitudini;
- alle sue relazioni;
- alla sua situazione economica;
- al suo stato di salute.
Rilevanti sono in particolar modo:
- i dati che permettono l’identificazione diretta, come i dati anagrafici;
- i dati che consentono l’identificazione indiretta, come il codice fiscale, il numero di targa o l’indirizzo IP;
- i cosiddetti dati sensibili, ovvero tutti quei dati che rivelano informazioni importanti.
Rientrano in questo ambito i dati che forniscono dettagli sulla salute, sull’orientamento sessuale, sull’origine etnica, sulle opinioni politiche, sull’appartenenza sindacale, sul credo religioso ma anche i dati genetici e i dati biometrici; - i dati riguardanti reati e condanne penali.
Adeguamento al GDPR
In sintesi, il GDPR si applica in tutti i contesti in cui viene posto in essere un trattamento di dati personali. L’emanazione del Regolamento generale sulla protezione dei dati ha di conseguenza introdotto una serie di obblighi di adeguamento per una moltitudine di realtà, tra cui aziende e organizzazioni. Dopo una fase transitoria di tolleranza, ad oggi tutti gli ambiti coinvolti nell’adeguamento devono risultare ormai in regola con i vari adempimenti obbligatori introdotti dal GDPR, pena l’applicazione di pesanti sanzioni amministrative.