Il Regolamento europeo 2016/679  (noto principalmente come GDPR) è entrato in vigore alla fine di maggio 2018. In questa guida pratica cercheremo di spiegare i punti chiave del regolamento in modo semplice e senza troppe complicazioni.

Il nome “Regolamento Generale sulla Protezione dei Dati” ci dice che si tratta di un Regolamento. Ciò significa che il 25 maggio 2018 è diventato di fatto una legge in tutti gli Stati membri dell’Unione Europea. Questa precisazione è significativa, perché a differenza della Direttiva, che chiede agli Stati membri di scrivere una legge in una certa direzione, un regolamento non ha bisogno di ulteriori passaggi per essere applicato.

Il GDPR stabilisce le regole per proteggere i dati personali dei cittadini europei; quindi, non si applica ai dati delle aziende, come prototipi, progetti, brevetti o bilanci finanziari. In pratica, tutti i soggetti (aziende, entità e cittadini), compresi quelli al di fuori dell’UE, che elaborano dati personali dei cittadini europei, devono conformarsi al regolamento.

Definizioni del GDPR

Prima di entrare nel cuore di ciò che dice il GDPR, chiariremo alcune definizioni:

Dati personali (personal data)

L’articolo 4 del GDPR li definisce come
“qualsiasi informazione concernente un individuo identificato direttamente o indirettamente mediante riferimento a qualsiasi altra informazione”.

Significa che un nome, un indirizzo e persino il numero di targa dell’auto sono dati personali. Non importa che i dati siano visibili a tutti (pensa al numero di targa dell’auto, ad esempio), poiché è la combinazione del numero di targa e della persona a costituire il dato personale.

Trattamento (processing) 

Un’altra parola importante da conoscere è “trattamento”. Con questo intendiamo
“qualsiasi operazione o insieme di operazioni effettuate con o senza l’ausilio di procedure automatizzate e applicate ai dati personali o a insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione, il confronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

Interessato (data subject)

L’interessato è il proprietario dei dati, cioè ogni persona interessata ai suoi dati personali.

Responsabile del trattamento (processor) 

Il responsabile del trattamento è la persona, l’azienda o l’entità che richiede i dati personali per poterli elaborare e decide come e perché elaborarli. Attenzione non a chi gestisce i dati, ma a chi prende decisioni sull’elaborazione dei dati.

Incaricato del trattamento 

è il soggetto naturale, legale, un’ente pubblico o un organismo che elabora dati personali per conto del responsabile del trattamento.

Responsabile della protezione dei dati (Data Protection Officer)

noto anche come DPO, acronimo della definizione in inglese, questa figura viene designata dal titolare e dalla persona responsabile del trattamento, per agire come esperto in materia (solitamente è un avvocato). In pratica, si occupa di aiutare coloro che devono elaborare dati personali a rispettare il GDPR, fornendo pareri, informazioni e supervisione.

Categorie speciali di dati personali (special categories of personal data)

prima del GDPR, questo tipo di dati veniva chiamato sensibile e includeva l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’iscrizione a sindacati, nonché dati genetici, dati biometrici volti a identificare un individuo unico, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale di una persona.

Violazione dei dati personali (personal data breach)

La violazione di sicurezza che coinvolge accidentalmente o illegalmente la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o altrimenti trattati.

Pseudonimizzazione (pseudonymisation)

La parola potrebbe suscitare timore ma è semplice. L’elaborazione dei dati personali in modo che non possano più essere attribuiti a un soggetto interessato specifico senza l’uso di informazioni aggiuntive. Immagina di avere due registri, uno con due colonne: la prima colonna contiene i nomi delle persone e la seconda un codice numerico associato a ciascuno di loro. L’altro registro contiene il codice numerico nella prima colonna e nella seconda colonna i dati personali da proteggere. Per capire a chi appartengono i dati, è necessario correlare le informazioni sui due registri. I dati personali nel secondo registro sono“pseudonimizzati”.

Dopo questa lunga ma necessaria introduzione, scopriamo quali sono i diritti dei cittadini europei riguardo ai dati personali.

L’articolo più importante (ce ne sono in totale 99) è il primo. Il punto 2 è il cuore del regolamento e afferma:
“Questo Regolamento protegge i diritti fondamentali e le libertà delle persone fisiche e, in particolare, il loro diritto alla protezione dei dati personali”. Ma cosa significa esattamente? Quali sono i diritti e le libertà che protegge? ” 

Un intero capitolo è dedicato ai “Diritti dell’interessato”,

che è diviso in cinque sezioni. Analizziamoli rapidamente.

Trasparenza e modalità

Questa sezione comprende un unico articolo (art. 12) intitolato:
“Informazioni trasparenti, comunicazione e modalità per l’esercizio dei diritti dell’interessato”. In sostanza, l’articolo afferma che il responsabile del trattamento dei dati (colui che raccoglie i dati) deve comunicare con l’interessato in modo chiaro e deve facilitarlo nelle sue richieste (in relazione ai dati personali elaborati dal proprietario) e in generale nell’esercizio dei diritti previsti dal regolamento.

Informazioni e accesso ai dati personali

Qui arriviamo alla parte principale: prima di elaborare i dati, il proprietario deve informarti su chi e perché elabora i dati e per quanto tempo verranno conservati. Dice anche che puoi chiedere di visualizzare, modificare o cancellare i tuoi dati personali in suo possesso in qualsiasi momento.

Rettifica e cancellazione

Hai il diritto di chiedere la modifica dei tuoi dati (rettifica) o di richiedere la cancellazione, il famoso “diritto all’oblio”. In effetti, in qualsiasi momento puoi revocare il consenso all’elaborazione e chiedere di essere dimenticato (utile per difendersi da alcune campagne di marketing molto aggressive).

Il diritto alla portabilità dei dati (articolo 20) è interessante, poiché consente all’interessato di chiedere al proprietario di fornire tutti i dati personali che lo riguardano “in un formato strutturato, di uso comune e leggibile da dispositivo automatico”. Questo articolo, infatti, è ciò che ha costretto Google, Facebook e gli altri giganti del web a fornire ai loro utenti un collegamento per richiedere tutti i dati su un individuo in loro possesso. Funziona, e ti consigliamo di provarlo almeno una volta: Google Takeout o Facebook personal data management.

Diritto di opposizione e processo decisionale automatizzato relativo alle persone fisiche

Questo va di pari passo con l’articolo sul diritto all’oblio, ma si applica quando non è necessario chiedere il permesso per elaborare dati personali perché”l’elaborazione è necessaria per scopi legittimi perseguiti dal responsabile del trattamento o da un terzo” (art. 6, par. 1, lettera f)

Limitazioni

Ovviamente, l’UE può limitare i diritti e gli obblighi stabiliti dal regolamento per salvaguardare interessi più importanti, come la sicurezza nazionale, l’indipendenza del potere giudiziario e i procedimenti giudiziari, la sicurezza pubblica, la protezione dell’interessato o i diritti e le libertà di altre persone, e altre questioni cruciali.

Responsabilità del responsabile del trattamento 

Il capitolo quattro descrive gli obblighi del proprietario e del gestore del trattamento dei dati personali. In particolare, essi esaminano le responsabilità di conformità di queste due figure, compreso l’obbligo di proteggere i dati personali che elaborano (mediante crittografia o applicazione di pseudonimizzazione), di mantenere un registro delle elaborazioni e di valutare l’impatto delle elaborazioni prima di procedere.

L’ultimo aspetto che merita la tua attenzione è quello delle violazioni dei dati personali. La sezione 2 del capitolo 4 è dedicata alla sicurezza dell’elaborazione dei dati, dove l’articolo 33 è certamente uno dei più importanti ed è dedicato alla “notifica di una violazione dei dati personali all’autorità di controllo”.Il suo primo paragrafo è la famosa comunicazione al “Garante” per la protezione dei dati personali” in caso di violazione dei dati:

“Nel caso di una violazione dei dati personali, il titolare del trattamento notifica l’autorità di controllo competente a norma dell’articolo 55 della violazione senza indebito ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che la violazione dei dati personali non presenti un rischio per i diritti e le libertà delle persone. Se la notifica all’autorità di controllo non viene effettuata entro 72 ore, essa deve essere accompagnata dalle ragioni del ritardo .

Conclusioni

Le pesanti sanzioni amministrative e pecuniarie applicate ai proprietari che non rispettano il regolamento lo hanno reso sicuramente famoso. Le multe possono variare a seconda delle violazioni, ma sono comunque molto rilevanti. Partono da multe fino a 10 milioni di euro o (per le aziende) al 2% del loro fatturato, ad esempio, per non aver nominato un responsabile della protezione dei dati. La multa può arrivare a 20 milioni di euro o al 4% del fatturato dell’azienda in caso di violazioni più gravi, come la mancata notifica di una violazione dei dati.

Secondo uno studio di DLA PIPER pubblicato nel gennaio 2023, nel 2022 è stato raggiunto un altro traguardo, con multe GDPR per un totale di 1,64 miliardi di euro segnalate in Europa. Questo ha segnato un notevole aumento del 50% delle multe totali rispetto a quelle segnalate nel 2021. La Germania è in testa alle classifiche con 29.795 notifiche di violazione dei dati personali, seguita dai Paesi Bassi (24.777), Polonia (12.748), Regno Unito (10.281) e Danimarca (7.882).

E l’Italia? Secondo lo stesso rapporto, tra il 25 maggio 2018 e il 27 gennaio 2023, il Garante è stato informato di 7.008 casi di violazione dei dati personali (all’ 11° posto) ed ha inflitto multe per un valore totale di oltre 63 milioni di euro.