Protezione dei dati personali

La protezione dei dati personali è un diritto fondamentale riconosciuto dall’articolo 8 della Carta dei diritti fondamentali dell’Unione Europea. In Italia, questo diritto è disciplinato principalmente dal Regolamento (UE) 2016/679, noto come Regolamento Generale sulla Protezione dei Dati (GDPR), e dal Codice in materia di protezione dei dati personali (Decreto legislativo 30 giugno 2003, n. 196), come modificato dal successivo Decreto Legislativo 10 agosto 2018, n. 101   

Principi Fondamentali del GDPR

Il GDPR stabilisce principi chiave per il trattamento dei dati personali, tra cui:​

  • Liceità, correttezza e trasparenza: i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato.​
  • Limitazione della finalità: i dati devono essere raccolti per scopi determinati, espliciti e legittimi, e non trattati ulteriormente in modo incompatibile con tali scopi.​
  • Minimizzazione dei dati: devono essere raccolti solo i dati personali adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono trattati.​
  • Esattezza: i dati devono essere accurati e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti.​
  • Limitazione della conservazione: i dati devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore a quello necessario rispetto alle finalità del trattamento.​
  • Integrità e riservatezza: i dati devono essere trattati in modo da garantire un’adeguata sicurezza, inclusa la protezione contro il trattamento non autorizzato o illecito e dalla perdita, distruzione o danno accidentale, mediante misure tecniche o organizzative adeguate.​

Diritti degli Interessati

Il GDPR conferisce agli individui una serie di diritti per controllare l’uso dei propri dati personali, tra cui:​

  • Diritto di accesso: ottenere conferma che sia o meno in corso un trattamento di dati personali che li riguarda e, in tal caso, accedere a tali dati.​
  • Diritto di rettifica: ottenere la correzione dei dati personali inesatti che li riguardano.​
  • Diritto alla cancellazione (“diritto all’oblio”): richiedere la cancellazione dei dati personali in determinate circostanze.​
  • Diritto alla limitazione del trattamento: ottenere la limitazione del trattamento in determinate situazioni.​
  • Diritto alla portabilità dei dati: ricevere i dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli a un altro titolare del trattamento.​
  • Diritto di opposizione: opporsi al trattamento dei dati personali per motivi connessi alla propria situazione particolare.​

Responsabile della Protezione dei Dati (DPO)

Il GDPR introduce la figura del Responsabile della Protezione dei Dati (DPO), obbligatoria per:​

  • Autorità e organismi pubblici.​
  • Enti che effettuano monitoraggio regolare e sistematico degli interessati su larga scala.​
  • Enti che trattano su larga scala categorie particolari di dati o dati relativi a condanne penali e reati.​

Il DPO ha il compito di informare e consigliare il titolare o il responsabile del trattamento, sorvegliare l’osservanza del GDPR, fornire pareri in merito alla valutazione d’impatto sulla protezione dei dati e cooperare con l’autorità di controllo.​

Sanzioni e Responsabilità

Il GDPR prevede sanzioni amministrative pecuniarie significative per le violazioni delle sue disposizioni, che possono arrivare fino a 20 milioni di euro o al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore.

Garante per la Protezione dei Dati Personali

In Italia, l’Autorità Garante per la Protezione dei Dati Personali è l’ente preposto a vigilare sull’applicazione della normativa in materia di privacy. Il Garante ha poteri di controllo, correttivi e sanzionatori, e fornisce linee guida e pareri per garantire la corretta applicazione delle norme sulla protezione dei dati personali.​

Quindi?

La protezione dei dati personali è essenziale nell’era digitale per salvaguardare la privacy e i diritti fondamentali degli individui. La normativa vigente, attraverso il GDPR e le leggi nazionali, stabilisce un quadro giuridico dettagliato per garantire che il trattamento dei dati personali avvenga nel rispetto dei diritti e delle libertà delle persone, promuovendo al contempo la fiducia nell’uso delle tecnologie digitali.​

Consulenza Privacy

Per sgomberare il campo da ogni dubbio, la butto subito lì: la normativa “sulla privacy” non serve per tutelare la privacy!

Si, avete capito bene, non serve a questo. E volete sapere perchè? Perchè se intendiamo protezione della privacy come difesa del nostro riserbo, della nostra riservatezza, siamo lontani anni luce dalla ragione di quel diritto, nato per garantire la libera circolazione delle informazioni, che ha reso i Paesi Europei all’avanguardia nel Mondo.

…..Ma ve lo immaginate oggi un mondo senza condivisione di informazioni? Come comprereste quello che vi piace sulle piattaforme online? Come fareste ad inviare una email? Come accedereste al vostro conto corrente bancario?

….ma quindi come viene tutelata la nostra “privacy”?

È presto detto: libera circolazione delle informazioni non vuol dire che queste debbano circolare ovunque e presso chiunque o che possano essere gestite dal primo “scappato di casa”! Le informazioni devono circolare liberamente e devono essere protette e tutelate perchè vengano utilizzate esclusivamente per i fini per cui voi le avete fornite: tutto il resto sono chiacchiere!!

Ecco perché quello di cui ci occupiamo non è la “privacy”, intesa come sopra, ma la protezione dei dati personali, e la norma fondamentale è sicuramente il GDPR (General Data Protection Regulation) che sarebbe il Regolamento UE 2016/679, entrato in vigore il 25 maggio 2018, che disciplina la protezione dei dati personali all’interno dell’Unione Europea.

1. Ambito di applicazione

  • Si applica a tutte le aziende e organizzazioni che trattano dati personali di cittadini dell’UE, indipendentemente dalla loro sede.

2. Diamo un pò di definizioni

  • Regolamento: Regolamento (UE) 2016/679 del  Parlamento europeo e del  Consiglio del  27 aprile 2016 relativo alla protezione del le persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che abroga la direttiva 95/46/CE (GDPR – Regolamento Generale sulla Protezione dei Dati);
  • Normativa: D.Lgs. 2003/196 (come modificato dal D.Lgs. 2018/101) e Regolamento (UE) 2016/679, nonché ulteriori provvedimenti in materia di fonte normativa secondaria in vigore al momento del l’approvazione del  presente Model lo Organizzativo Privacy.
  • Codice Privacy: Decreto legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali” come modificato dal Decreto Legislativo 10 agosto 2018, n. 101;
  • Società: qui intendiamo il Titolare del trattamento dati (Titolare)
  • Affiliate: società controllate da o collegate con il Titolare stabilite nel territorio dello Stato italiano o in un luogo comunque soggetto alla sovranità del lo Stato italiano;
  • Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici del la sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
  • Dati genetici: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico del la persona fisica in questione;
  • Dati biometrici: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;
  • Dati relativi alla salute: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
  • Interessato: la persona fisica cui si riferiscono i dati personali;
  • Titolare del  trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del  trattamento di dati personali;
  • Responsabile del  trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del  titolare del  trattamento;
  • Referente esecutivo per la protezione dei dati personali (DPM – Data Protection Manager): la persona fisica preposta alla sorveglianza sull’applicazione e il rispetto del le disposizioni in materia di trattamento di dati impartite dal Titolare del  trattamento e, per quanto di sua competenza se nominato da quest’ultimo, dal DPO;
  • Referente privacy: le persone fisiche autorizzate a compiere operazioni di trattamento dal Titolare o dal Responsabile con compiti di coordinamento di più persone autorizzate (definite anche soggetti designati);
  • Autorizzato: le persone fisiche autorizzate a compiere operazioni di trattamento dal Titolare del  trattamento o dal Responsabile del  trattamento (definite anche soggetti designati);
  • Terzo: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del  trattamento, il responsabile del  trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del  titolare del  trattamento o del  responsabile del  trattamento;
  • Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
  • Trattamento transfrontaliero: a) trattamento di dati personali che ha luogo nell’ambito del le attività di stabilimenti in più di uno Stato membro di un titolare del  trattamento o responsabile del  trattamento nell’Unione ove il titolare del  trattamento o il responsabile del  trattamento siano stabiliti in più di uno Stato membro; oppure b) trattamento di dati personali che ha luogo nell’ambito del le attività di un unico stabilimento di un titolare del  trattamento o responsabile del  trattamento nell’Unione, ma che incide o probabilmente inciderebbe in modo sostanziale sugli interessati in più di uno Stato membro.
  • Paesi terzi: paesi non appartenenti all’UE o allo spazio Economico Europeo (Norvegia, Islanda, Liechtenstein);
  • Diritto di accesso: possibilità di conoscere quali dati vengono trattati.
  • Diritto di rettifica: correzione di dati inesatti.
  • Diritto alla cancellazione (“diritto all’oblio”): eliminazione dei dati in determinate circostanze.
  • Diritto alla portabilità: trasferimento dei dati a un altro titolare.
  • Diritto di opposizione: possibilità di opporsi a determinati trattamenti.
  • Diritto alla limitazione del trattamento: blocco temporaneo del trattamento dei dati.

….e adesso possiamo parlare di protezione dei dati personali….