GDPR: ecco altre nozioni base che potrebbero esserti molto utili per comprendere meglio l’argomento!
Quando si parla di GDPR si sente spesso parlare di:
- Titolare del trattamento: è l’azienda che determina finalità e mezzi del trattamento, decide e programma le misure di sicurezza e comunque “gestisce” i dati personali con i quali deve lavorare;
- Responsabile del trattamento: è l’azienda o la persona che tratta dati personali per conto del Titolare del trattamento e lo può fare solo in virtù di un’istruzione esplicita ovvero autorizzazione da parte del Titolare.
Sia il Titolare che il Responsabile del trattamento possono delegare a dei sub-responsabili o rappresentanti.
Criteri del GDPR
Mentre le precedenti normative (Legge 675/1996, Garante Privacy e D Ls 196/2003, Codice della Privacy) indicavano delle misure minime alle quali erano sottoposti i Titolari del trattamento, la nuova normativa si basa sul criterio “caro Titolare/Responsabile, sei libero di fare come meglio credi per proteggere i dati dell’interessato, poi quando faremo un controllo o avrai un problema, dovrai essere in grado di dimostrare di aver avuto un’organizzazione ed una gestione della protezione dei dati delle persone fisiche adeguata”.
La nuova normativa quindi non impone nulla, anzi, concede il massimo potere decisionale ma, come insegna l’Uomo Ragno, “With Great Power Comes Great Responsibility” e quindi nasce il concetto di “accountability” ovvero di responsabilità operativa del Titolare/Responsabile.
Per raggiungere l’obiettivo dell’accountability (dimostrabilità dell’aver rispettato il requisito normativo) è necessario capire come funziona la propria azienda, piuttosto che immaginarselo!
Tutto questo per dire che non esiste una check list delle cose da fare, ma questa check list dobbiamo crearla noi chiaramente ispirandosi a quello che era già previsto dalle precedenti norme e alle best practices che possono emergere.
Principi fondativi GDPR
Vengono introdotti nel sistema normativo europeo 2 nuovi principi fondativi dall’approccio evolutivo al corretto trattamento dei dati personali:
- Privacy by Design;
- Privacy by Default.
Con Privacy by Design si intende che ogni progetto deve incorporare la protezione dei dati sin dalla fase di progettazione nell’ottica di prevenire e non correggere:
- Tutela dei dati personali incorporata nel progetto sin dalle sue prime fasi;
- Sicurezza durante tutto il ciclo del prodotto o servizio;
- Trasparenza;
- Centralità dell’utente;
- Tutela effettiva dell’interessato da un punto di vista sostanziale, non solo formale.
Con Privacy by Default si intende di dover trattare i dati personali solo nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini; credo che questo si spieghi da solo: dobbiamo chiedere solo i dati strettamente necessari alla finalità per la quale chiediamo il consenso.
Strumenti del GDPR
La nuova normativa prevede anche alcuni strumenti:
- DPO (Data Privacy Officer): responsabile della protezione dei dati personali, una figura di controllo e consulenza priva di responsabilità esecutive;
- Registro dei trattamenti: un documento in cui vengono elencati i trattamenti effettuati;
- Valutazione d’impatto sulla protezione dei dati: un’analisi approfondita delle attività e dei relativi rischi per prendere le contromisure.
Il Registro dei trattamenti è d’obbligo per le imprese con più di 250 dipendi, sebbene sia consigliabile a tutti i Titolari di trattamento.
Tale registro consente di:
- tenere traccia di tutte le operazioni di trattamento che vengono effettuate all’interno di una determinata azienda
- di dimostrare di aver adempiuto alle prescrizioni del regolamento.
La designazione del DPO invece è obbligatoria in 3 ipotesi:
- se il trattamento dei dati personali è effettuato da un’autorità pubblica o da un organismo pubblico;
- quando le attività principali dell’organizzazione consistono in trattamenti che richiedono il “monitoraggio regolare e sistematico” degli interessati su larga scal;
- quando le attività principali dell’organizzazione consistono nel trattamento “su larga scala” di dati “sensibili”.
Novità sostanziali riguarderanno anche i diritti della persona fisica, con l’introduzione di:
- diritto all’oblio: cioè diritto che consente la cancellazione dei propri dati personali da parte di un titolare del trattamento qualora ad esempio cessino i motivi per cui si era dato il consenso. Se ne pongono dei limiti di applicazione e si obbliga il titolare del trattamento ad agire tempestivamente perché l’informazione sia rimossa ovunque venga trattata.
- diritto alla portabilità: cioè diritto che comprende il riconoscimento del diritto dell’interessato a trasferire i propri dati da un sistema elettronico ad un altro senza che il Titolare possa impedirlo.
Non perderti il prossimo articolo sul GDPR 😉