GDPR, questo (s)conosciuto. Introduzione al nuovo Regolamento Europeo in materia di privacy e dati personali.

Big data, SecurityLascia un commento

Un lucchetto sopra la tastiera di un portatile per simboleggiare un nuovo livello di sicurezza delle informazioni con l'avvento del GDPR

Alzi la mano chi ha sentito nominare il termine “GDPR” almeno una volta!
Che tu abbia letto qualcosa a riguardo online o in una newsletter nella tua casella di posta, oppure che tu abbia sentito questo acronimo in una notizia alla radio o guardando un servizio in televisione, sicuramente ti sarai domandato che cosa sia questo fantomatico GDPR.

Da molti è stato definito come uno degli atti più rivoluzionari e incisivi in materia di protezione dei dati personali realizzato negli ultimi vent’anni.

GDPR sta per General Data Protection Regulation e altro non è che il Regolamento UE 2016/679 in materia di dati personali, entrato in vigore il 24 maggio 2016 e operativo dal 25 maggio 2018. A partire da questa data, 28 paesi (Italia inclusa) dovranno adeguarsi ad una serie regole univoche, rivolte a tutti coloro che tratteranno i dati personali dei cittadini europei.

Per capire bene la natura del GDPR è fondamentale sapere che cosa intendiamo quando parliamo di dato personale, il vero e proprio focus di questo nuovo regolamento.

L’obiettivo principale che sta alla base del GDPR infatti è proprio favorire la protezione dei dati personali. Quindi, è importante chiedersi: che cosa andiamo a proteggere?

Nonostante il dato personale non sia un concetto proprio recente, si tratta comunque di un argomento sul quale oggi molte persone fanno ancora troppa confusione.

Cerchiamo di fare un po’ di chiarezza.

Dati Personali

Tutte le informazioni che permettono di identificare una persona fisica, dando dei dettagli sulle sue caratteristiche, sulle abitudini, sullo stile di vita, relazioni personali, e così via.

Quindi, informazioni come nome, cognome, indirizzo di residenza, riferimenti bancari, etc. sono tutti dati personali.

Per proteggerli, le regole del GDPR intervengono sull’attività che li coinvolge, ossia il trattamento.
Se è importante sapere che cosa sia un dato personale, è altrettanto fondamentale sapere cosa intendiamo quando facciamo riferimento all’attività di trattamento.
In molti potrebbero pensare che solo quando facciamo qualcosa di concreto con i dati personali, se in un certo senso ce ne serviamo, vuol dire che li stiamo trattando. In realtà, anche solo raccogliere o addirittura cancellare i dati personali costituisce di fatto un’attività di trattamento.

Trattamento

“Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.” – General Data Protection Regulation 2016/679

Il GDPR determina una nuova interpretazione dell’attuale Codice della Privacy, vigente solo in Italia.
Si assiste ad un vero e proprio cambio di prospettiva, in quanto ora il protagonista della normativa non è più l’Interessato, bensì il dato personale.

Prima di guardare gli obiettivi che stanno alla base del GDPR, è bene capire quali sono le figure coinvolte dalle norme di questo Regolamento:

La persona fisica cui si riferiscono i dati personali
Per quale motivo si è deciso di intervenire con il GDPR? Perché ormai è diventato necessario regolamentare tutte le attività che ruotano attorno al dato personale, in modo tale da impedirne abusi e utilizzi scorretti.

In particolare, il Regolamento vuole raggiungere quattro obiettivi fondamentali:

Proteggere i dati personali dei Cittadini EU

Agevolare il controllo dei soggetti sui loro dati personali

Strutturare i ruoli e le responsabilità in capo ai Titolari e Responsabili

Semplificare le modalità di raccolta ed elaborazione dati

Come per ogni questione legislativa che si rispetti, anche il GDPR prevede inevitabilmente una serie di diritti e responsabilità, che vi anticipiamo qui sotto e che verranno approfonditi nei post successivi – per iscriverti alla newsletter di OpenSymbol interamente dedicata al GDPR, clicca qui.

Diritti Interessato

  • Accedere, modificare o trasferire i propri dati personali
  • Sapere quale tipo di attività (e per quanto tempo) viene svolta sui propri dati personali
  • Diritto di cancellazione dei propri dati personali (diritto all’oblio)
  • Diritto a limitare le attività al trattamento
  • Ricevere comunicazioni in caso di rischio per i propri dati o per una violazione avvenuta
Responsabilità del Titolare del Trattamento
  • Agevolare la protezione dei dati personali già in fase di progettazione di tutte le attività di trattamento = PRIVACY BY DESIGN
  • Adottare misure di sicurezza, valutando a priori i rischi generati nel processo di trattamento
  • Garantire trasparenza sui flussi di dati e sulle attività di trattamento
  • Intervenire prontamente in caso di violazione (anche detta data breach)
  • Adeguarsi per stabilire ruoli e responsabilità in ogni attività del trattamento

Con il GDPR, gestire e tutelare le informazioni sugli individui ora si tradurrà in una serie di procedimenti necessari ai Titolari e ai Responsabili per essere compliant, vale a dire per rispettare ed essere in linea con ciò indicato nel Regolamento. Dovranno essere messi in atto una serie di step concreti da implementare in tutti quei processi aziendali che, direttamente o indirettamente, prevedono il trattamento dei dati personali.

Sei in possesso di un CRM o ne fai uso? Prova a pensare a quanti dati personali potrebbero essere contenuti all’interno dei vari moduli o sezioni (anche se sei un’azienda B2B).

E se un giorno un cliente ti chiedesse di eliminare tutti i suoi dati personali in tuo possesso, saresti in grado di rispettare questa richiesta? In questo caso non dovresti limitarti solo alle informazioni contenute all’interno del CRM ma anche in eventuali mail, database, backup e così via.

Noi di OpenSymbol ci stiamo già muovendo per arrivare pronti al 25 maggio, sia in qualità di Titolari che in qualità di Responsabili.

E se vuoi restare aggiornato sul tema del GDPR e ricevere qualche consiglio su come adeguarti al meglio, clicca qui.


QUALCHE RISORSA UTILE:

Testo del Regolamento completo

Pagina del Garante Privacy

Disclaimer: Il contenuto di questo post vuole creare consapevolezza su determinati aspetti del GDPR. Non è offerto come consulenza legale su questioni specifiche e non deve essere considerato in quanto tale.


Potrebbero interessarti anche:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *