Quando le persone fisiche forniscono dei dati a un soggetto terzo, come per esempio nel caso della sottoscrizione di un contratto commerciale, oppure quando si rapportano con la Pubblica amministrazione—e non ha importanza se questi dati siano stati forniti poiché obbligatori oppure in modo opzionale—è fondamentale che vi sia:

  • la tutela dei dati che le persone fisiche forniscono ai soggetti terzi;
  • la garanzia che tali dati siano utilizzati per gli scopi strettamente necessari per cui sono stati forniti e che non vengano divulgati ad altri senza esplicito consenso.

E’ lampante infatti come in assenza di precisi ed efficaci regolamenti di tutela e garanzia nel momento della comunicazione dei dati a soggetti terzi, il compimento di fondamentali attività di natura personale e sociale, potrebbe avere come conseguenza la raccolta e l’utilizzo impropri di tali dati.

L’aumento dell’importanza della protezione dei dati con l’avvento della trasformazione digitale

I regolamenti sono poi ancora più importanti In un mondo in cui la trasformazione digitale ha come conseguenza l’ampliamento tanto grande quanto rapido della quantità di servizi digitali a disposizione dei cittadini.

Grazie alla digitalizzazione, i soggetti terzi possono infatti raccogliere e diffondere i dati in quantità e rapidità prima inimmaginabili e ad aumentare il rischio di usi impropri, va aggiunto il fatto che spesso i gestori dei servizi digitali non sono perfettamente identificabili.

L’Unione Europea, con l’obiettivo di evitare il rischio della diffusione impropria dei dati forniti da persone fisiche a società private—peraltro spesso extra europee—ma anche alla Pubblica amministrazione, ha varato il 27 aprile 2016 il regolamento n. 2016/79, ovvero il Regolamento generale sulla protezione dei dati (in inglese General Data Protection Regulation, il cui acronimo è GDPR).

Origini del regolamento GDPR

Il GDPR, dopo essere stato pubblicato sulla Gazzetta ufficiale dell’UE il 24 maggio 2016  è stato in seguito promulgato il 25 maggio 2018. Il regolamento affonda però le radici molto più indietro nel tempo e per l’esattezza nel lontano 1890.

Questo perché fu proprio nel dicembre di quell’anno, che i due avvocati americani Samuel Warren e Louis Brandies pubblicarono sulla  rivista universitaria Harvard Law Review l’articolo ‘The Right to Privacy’, il quale rappresenta ancora oggi il fondamento della libertà individuale su cui è basato anche il regolamento UE n. 2016/79.

La differenza tra privacy e protezione dei dati

Nonostante il GDPR affondi le sue radici nei contenuti del succitato articolo ‘The Right of Privacy’, occorre però fare una distinzione tra privacy e protezione dei dati personali.

Quando si parla di diritto alla privacy si intende infatti il diritto alla riservatezza che tutela ciò che riguarda la nostra sfera personale e che è a questa limitato. Tale principio è contenuto nella Dichiarazione universale dei diritti umani, proclamata il 10 dicembre 1948 dall'Assemblea Generale delle Nazioni Unite.

Quando si parla invece di protezione dei dati personali ci si riferisce a quanto viene richiamato nell’articolo 8 della Carta europea dei diritti fondamentali (la cosiddetta Carta di Nizza), del 1 dicembre 2019, che è il seguente:

Articolo 8

Protezione dei dati di carattere personale

  1. Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.
  2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica.
  3. Il rispetto di tali regole è soggetto al controllo di un'autorità indipendente.

L’armonizzazione del codice italiano 196/2003 in materia di protezione dei dati personali con il GDPR europeo

Il GDPR è una normativa europea e come tale, alla sua entrata in vigore è divenuta immediatamente applicabile in tutti gli Stati dell’Unione. Le precedenti normative nazionali esistenti in materia di protezione dei dati—nel caso dell’Italia il DL 196/2003—non sono state però eliminate, bensì armonizzate con il GDPR.

Nel nostro Paese ciò è avvenuto con il DL 101/2018, che da un lato ha abrogato i vecchi articoli che non servivano del vecchio codice poiché adesso disciplinati dal GDPR e dall’altro ha mantenuto o introdotto norme che l’UE aveva lasciato alla discrezionalità dei vari Stati.

Quando è lecito il trattamento dei dati secondo il Regolamento GDPR

Il GDPR indica una serie di basi giuridiche per la liceità del trattamento dei dati. Queste condizioni sono elencate nell’articolo 6 del regolamento e sono:

  • quando è stato espresso in modo libero e inequivocabile il consenso al trattamento dei dati, il quale è stato domandato in modo chiaro, ed è stato specificato altrettanto chiaramente quali sono le finalità del trattamento (per es. in un form per l’iscrizione a una newsletter su un sito web);
  • quando il trattamento del dato è necessario all’esecuzione di un contratto di cui l’interessato è parte (per es. in un contratto per l’apertura di un conto corrente);
  • quando il trattamento del dato è necessario per adempiere a un obbligo di legge al quale è soggetto il titolare del trattamento (per es. per l’emissione di una fattura);
  • quando il trattamento del dato è necessario per salvaguardare interessi vitali dell’interessato o di un'altra persona fisica (per es. nel caso di controllo di epidemie);
  • quando il trattamento del dato è necessario per un interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento (per es. per permettere l’esercizio del diritto di voto);
  • quando il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi (per es. nel caso di utilizzo della geolocalizzazione in ambito lavorativo).

Quali sono le figure definite dal GDPR nel trattamento dei dati

Perché ci sia il trattamento di un dato deve esserci chi fornisce questo dato, chi decide come e perché debba essere trattato, nonché chi è responsabile del trattamento, chi lo raccoglie ed eventualmente chi lo protegge. Queste parti, sono denominate nel GDPR come segue:

  • l’interessato, cioè la persona fisica che fornisce i dati a un soggetto terzo;
  • il titolare del trattamento dei dati, cioè l’entità fisica o giuridica che stabilisce le finalità e le modalità del trattamento dei dati personali (per esempio l’Istituto di credito che offre un servizio bancario);
  • Il responsabile del trattamento dei dati, cioè l’entità fisica o giuridica che tratta i dati personali per conto del titolare del trattamento, senza altre finalità (per esempio un’agenzia che invia pubblicità ai clienti di un’azienda. E’ possibile naturalmente che il titolare del trattamento coincida con il responsabile del trattamento);
  • Il contitolare del trattamento dei dati, che può esistere qualora i soggetti che stabiliscono modalità e finalità del trattamento dei dati siano più di uno (per esempio due aziende che condividono uno stesso spazio di lavoro dove ci si una sorveglianza video);
  • l’incaricato del trattamento dei dati, cioè colui che raccoglie i dati per conto del titolare e del responsabile del trattamento (per esempio il responsabile risorse umane di un’azienda);
  • Il responsabile della protezione dei dati, cioè colui che assiste il titolare del trattamento o il responsabile del trattamento in tutte le questioni relative alla protezione dei dati personali (per esempio un consulente specializzato in materia. Non è però una figura obbligatoria, ma necessaria in casi particolarmente delicati).

Le informazioni che devono essere fornite al momento della raccolta dei dati

Secondo i principi del regolamento GDPR, prima o al massimo al momento della raccolta dei dati le persone fisiche che li forniscono, devono essere informate chiaramente almeno di ciò che segue:

  • nome e dati di contatto dell’azienda/organizzazione titolare della raccolta dei dati ed eventualmente quelli del responsabile della protezione dei dati;
  • finalità dell’utilizzo dei dati personali;
  • categorie di dati personali interessate;
  • giustificazione giuridica per il trattamento dei dati;
  • per quanto tempo saranno conservati i dati;
  • chi altro potrebbe ricevere i dati;
  • se i dati saranno trasferiti a un destinatario al di fuori dell’UE;
  • del diritto a ottenere una copia dei dati (diritto di accesso e rettifica ai dati personali, diritto all’oblio), e altri diritti fondamentali nel campo della protezione dei dati;
  • del diritto di presentare un reclamo presso le autorità competenti per la protezione dei dati personali;
  • del diritto di revocare il consenso in qualsiasi momento;
  • se applicabile, dell’esistenza di un processo decisionale automatizzato e la logica implicita, comprese le relative conseguenze.

Questi dati possono essere forniti sia per iscritto, che verbalmente o per via elettronica. Com’è evidente però, comunicare solo verbalmente queste informazioni, espone a gravi rischi in caso di problemi e verifiche.

Il principio di accountability introdotto dal GDPR

Rispetto alle normative precedenti in materia come il codice della privacy italiano DL 196/2003, il GDPR introduce il principio di responsabilizzazione (accountability in inglese).

Sulla base di questo principio è il titolare del trattamento dei dati che deve mettere in atto le misure adeguate per dimostrare di essere conforme (compliance), al regolamento GDPR.

Questo significa innanzi tutto che il titolare del trattamento deve progettare a monte il sistema nel modo più corretto possibile e adatto alla sua casistica, allo scopo di garantire i diritti delle persone, la sicurezza dei loro dati e valutare l’impatto della perdita dei dati e deve inoltre poter dimostrare la bontà e congruità delle sue scelte ed azioni.

L’impatto positivo del GDPR sulle imprese

Il principio di responsabilizzazione introdotto dal GDPR spinge le imprese all’adozione di un sistema basato soprattutto sulle procedure, associato a documentazione formale.

La predisposizione del sistema e il monitoraggio periodico che ne deriva attraverso opportuni audit e aggiornamenti della valutazione dei rischi, si traducono in una strategica opportunità per le aziende.

L’analisi dei processi e delle attività volta a verificare e migliorare il trattamento dei dati, innesca infatti un meccanismo virtuoso che impatta positivamente su tutti i più importanti processi d’impresa e può rappresentare una spinta fondamentale per la riorganizzazione e per affrontare la sfida della trasformazione digitale.

I nostri corsi GDPR

Visualizza i nostri corsi GDPR per le aziende
Visualizza i nostri corsi GDPR per la scuola