GDPR: Il Regolamento generale sulla protezione dei dati (2016/679) è il Regolamento UE in materia di Protezione dei dati, entrato in vigore il 25 maggio 2018.
Dati personali: informazioni relative a un individuo vivente che è, o può essere, identificato,
compresi i dati che possono essere combinati con altre informazioni per identificare un individuo.
Questa può essere una definizione molto ampia, a seconda delle circostanze, e può includere
dati relativi all’identità, alle caratteristiche o al comportamento di un individuo o
influenza il modo in cui quell’individuo viene trattato o valutato.
Trattamento: significa eseguire qualsiasi operazione o insieme di operazioni sui dati personali,Compresi:
✓ ottenere, registrare o conservare dati;
✓ organizzare o alterare i dati;
✓ recupero, consultazione o utilizzo dei dati;
✓ divulgazione dei dati a terzi (inclusa la pubblicazione); e
✓ cancellare o distruggere i dati.
Titolare del trattamento: un Titolare del trattamento è la persona o l’organizzazione che decide il finalità e modalità con le quali i dati personali sono trattati. La finalità del trattamento dei dati implica il “perché” i dati personali vengono elaborati e i “mezzi” del trattamento implica “come” i dati vengono elaborati.
Responsabile del trattamento: una persona o un’organizzazione che tratta i dati personali per conto del titolare del trattamento.
Interessato: Il soggetto di cui vengono trattati i dati.
Valutazione dell’impatto sulla protezione dei dati (DPIA): una valutazione dell’impatto sulla protezione dei dati (DPIA) descrive un processo progettato per identificare i rischi derivanti dal trattamento di dati personali e riduzione al minimo di questi rischi il più presto possibile.
Base giuridica del trattamento: per trattare i dati personali è necessario individuare la legittimazione legale, per ciascuna attività di trattamento. Le basi legali sono individuate dall’art. 6 GDPR ( consenso, esecuzione di un contratto; rispetto di un obbligo legale; protezione di un interesse vitale dell’interessato o di un terzo; l’esecuzione di un compito svolto nell’interesse pubblico; legittimo interesse).
Per quanto riguarda le “categorie particolari di dati personali” (articolo 9 del Regolamento), il loro trattamento è vietato, in prima battuta, a meno che il titolare possa dimostrare di soddisfare almeno una delle condizioni fissate all’articolo 9, paragrafo 2 del Regolamento (quali ad esempio il consenso esplicito dell’interessato, in caso di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali).
Periodo di conservazione: per quanto tempo i dati verranno trattati? Il termine di conservazione potrebbe essere individuato in base a diversi fattori, come ad esempio normative o ragionate prassi interne. Il GDPR non fornisce delle tempistiche prestabilite ma prescrive ai titolari di individuare tale termine, riducendolo al minimo necessario, assicurando i requisiti di sicurezza e rispettando la tempistica individuata, che va comunicata all’interessata nell’informativa.
Categorie particolari (c.d. dati sensibili) di dati personali: categoria definita nell’articolo 9, paragrafo 1, del GDPR come dati che rivelano l’origine razziale o etnica, opinioni politiche, religiose o filosofiche convinzioni personali, o appartenenza sindacale, il trattamento di dati genetici, dati biometrici allo scopo di identificare in modo univoco una persona fisica, dati relativi alla salute o dati riguardante la vita sessuale o l’orientamento sessuale di una persona fisica ». In questi casi il trattamento di tali dati non è consentito a meno che non siano soddisfatte una o più delle condizioni di cui all’articolo 9, paragrafo 2, del GDPR. Dove questo requisito è soddisfatto, i responsabili del trattamento richiedono anche una base giuridica ai sensi dell’articolo 6 per giustificare il trattamento di dati personali di categoria speciale.
Principi generali del trattamento di dati personali
Ogni trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’articolo 5 del Regolamento (UE) 2016/679, che qui si ricordano brevemente:
liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato;
limitazione della finalità del trattamento, compreso l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati;
minimizzazione dei dati: ossia, i dati devono essere adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento;
esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento;
limitazione della conservazione: ossia, è necessario provvedere alla conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
integrità e riservatezza: occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento.
Per garantire l’osservanza della norma, il titolare deve rispettare tutti questi principi ed essere “in grado di comprovarlo”. Questo è il principio detto di “responsabilizzazione” (o accountability), indicato nell’art. 24 par.1 del GDPR, che richiede al titolare di mettere in atto “misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente” al Regolamento.
Consenso
Quando il trattamento si fonda sul consenso dell’interessato, il titolare deve sempre essere in grado di dimostrare (articolo 7.1 del Regolamento) che l’interessato ha prestato il proprio consenso), che è valido se:
all’interessato è stata resa l’informazione sul trattamento dei dati personali (articoli 13 o 14 del Regolamento);
è stato espresso dall’interessato liberamente, in modo inequivocabile e, se il trattamento persegue più finalità, specificamente con riguardo a ciascuna di esse.
Il consenso deve essere sempre revocabile. Non è ammesso il consenso tacito o presunto (per esempio, presentando caselle già spuntate su un modulo).