Il Regolamento 2016/679 assicura un’interpretazione omogenea al trattamento dei dati in tutta l’Unione
Il Regolamento generale sulla protezione dei dati, più comunemente conosciuto come GDPR (General Data Protection Regulation) è stato approvato con Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 e applicato a decorrere dal 25 maggio 2018.
Il distacco applicativo di un biennio è servito a concedere a tutti gli stati membri dell’Unione di adeguare la normativa alla propria legislazione.
Il Regolamento disciplina la protezione delle persone fisiche, denominate interessati, relativamente al trattamento dei dati personali. Il dato personale, si sostanzia in qualsiasi informazione, anche indiretta, riguardante una persona fisica identificata o identificabile.
Il principio fondante del Regolamento è la tutela dei diritti dell’interessato.
Cosa significa trattamento dei dati personali?
Il concetto di Privacy corrisponde al diritto di salvaguardia e riservatezza dei propri dati personali e della sfera privata di ogni singolo individuo.
E’ opportuno, a questo punto, chiedersi cosa significhi trattamento dei dati personali?
Al fine di rispondere a tale domanda, occorre soffermarsi sulla comunicazione del dato stesso. Quando prendiamo un dato personale e lo comunichiamo ad una terza persona è proprio in quel momento, che stiamo facendo un Trattamento.
Se facciamo un trattamento dobbiamo applicare tutte le misure necessarie, per far si che il dato sia ben tutelato e difeso.
La scelta dell’intermediario, nei confronti del quale decidiamo di comunicare i nostri dati entra inevitabilmente a far parte di questo processo e ciò avviene sotto la responsabilità del Titolare del Trattamento.
Le norme contenute nel Regolamento UE 2016/ 679
Il nuovo quadro normativo inserisce all’art. 25, nominato, Protezione dei dati fin dalla Progettazione e Protezione per impostazione predefinita, il concetto di Privacy by design e Privacy by default.
Il titolare del trattamento dovrà, a priori, mettere in atto misure tecniche oltre che organizzative tali da garantire in maniera adeguata i principi di protezione dei dati.
Oltre ciò, lo stesso dovrà garantire che siano trattati, per impostazione già definita, solo i dati personali necessari per ogni specifica finalità del trattamento. In tal senso, bisognerà trattare i dati personali nella misura minore possibile, utilizzando ogni sistema di tutela utile alla protezione del dato. A titolo esemplificativo, un’azienda dovrà trattare solo i dati necessari senza ricorrere ad un utilizzo eccessivo, di dati personali, senza giustificato motivo (Privacy Default).
Viene inserito il nuovo principio di responsabilizzazione (accountability) per mezzo del quale, il titolare del trattamento è obbligato ad utilizzare misure e strumenti efficaci e che siano in grado di dimostrare che il trattamento sia stato effettuato conformemente al regolamento.
Ogni titolare avrà la responsabilità di dotarsi e adoperare il registro delle attività di trattamento. Il registro dovrà principalmente, contenere: elementi informativi del titolare del trattamento, la finalità dell’elaborazione, misure di sicurezza adottate, termini per la cancellazione e descrizione delle categorie destinatarie.
Nel caso di violazione, ovvero, Data Breach dei dati personali concernente un rischio per i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrà comunicare l’eventuale violazioneal Garante della Privacy e all’interessato.
Per supportare il Titolare del Trattamento viene inserito il ruolo del Responsabile della Protezione dei dati, Data Protection Officer. Nello specifico, il Responsabile avrà il compito di controllare il coordinamento comune dell’elaborazione e che il processo operativo rispetti quanto stabilito dalla normativa di riferimento con possibilità di denunciare possibili violazioni.
Viene, altresì, riconosciuto un diritto all’oblio, ovverosia, il diritto riconosciuto a ciascun interessato di decidere la cancellazione dei propri dati personali (soprattutto in rete). Il diritto ad essere dimenticati, interviene tutte le volte in cui non sia più necessario un ulteriore trattamento, relativamente allo scopo per il quale i dati siano stati raccolti o nel caso non siano conformi alla normativa vigente.
Il Regolamento, infine, vuole rendere di facile comprensione la comunicazione dell’informativa del consenso. In tal modo, dovrà essere comunicata con un linguaggio necessariamente agevole e immediato.