CHE COS’È IL GDPR?

Come riportato nel nostro precedente articolo, Il GDPR è il Regolamento europeo sulla protezione dei dati personali, applicabile dal 25 maggio 2018 e volto a semplificare ed uniformare la normativa in materia di Privacy in tutta Europa e garantire il diritto alla riservatezza e alla protezione dei dati personali.

Con dato personale si identifica “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, come per esempio: nome, numero di identificazione, dati relativi all’ubicazione, ecc.

Nel concetto di dato personale rientra anche l’indirizzo IP.

I SOGGETTI INTERESSATI ALL’APPLICAZIONE DEL REGOLAMENTO

Il soggetto principale per l’applicazione del GDPR è il Titolare del Trattamento, ovvero “la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, singolarmente o insieme ad altri, determina la finalità e i mezzi di trattamento dei dati personali”. 

Egli agisce, quindi, in totale e piena autonomia per adottare misure tecniche e organizzative adeguate al fine di garantire, ed essere in grado di dimostrare, la conformità del trattamento dei dati. Nel settore privato tale ruolo è affidato ad una persona fisica o giuridica, mentre nel pubblico è direttamente l’ente.

Il secondo soggetto più importante è il Responsabile del Trattamento, cioè “la persona fisica o giuridica, l’autorità pubblica, il servizio o l’atro organismo che tratta dati personali per conto del Titolare del Trattamento”.

Il Titolare ha la responsabilità di scegliere per tale incarico un soggetto / organismo che presenti garanzie sufficienti per mettere in atto le prescritte misure tecniche e organizzative adeguate.

Il terzo soggetto fondamentale è l’Incaricato al Trattamento, ossia “il soggetto persona fisica che effettua materialmente le operazioni di trattamento sui dati personali”.

Questa è una figura di primissima rilevanza di qualsiasi struttura poiché, sotto la diretta autorità del Titolare e / o del Responsabile, egli effettua materialmente le operazioni di trattamento sui dati, dietro apposita autorizzazione.

Per alcune realtà organizzative può essere individuato anche il Data Protection Officer (DPO) o Responsabile della Protezione dei Dati (RDP).

Tale figura (interna o esterna) deve possedere specifiche competenze giuridiche, informatiche, di risk management e di analisi dei processi. Si evidenzia, tuttavia, che tale ruolo non è sempre obbligatorio.

LE PRINCIPALI ATTIVITÀ PER IL TITOLARE DEL TRATTAMENTO

Come accennato precedentemente, il Titolare del Trattamento attua tutte le misure tecniche ed organizzative per garantire la protezione del dato, con la collaborazione del Responsabile e dell’Incaricato.

Le attività principali che devono essere prese in considerazione possono essere semplificate come segue:

• Mappare i dati, predisponendo il Registro dei Trattamenti e mantenendolo costantemente aggiornato;
• Individuare ruoli, responsabilità e compiti
• Definire ed attuare gli adempimenti, come per esempio la predisposizione di apposita informativa
• Mettere in atto misure di sicurezza adeguate
• Monitorare costantemente quanto implementato

L’IMPORTANZA DELL’INFORMATIVA PRIVACY

Secondo il GDPR, il Titolare del Trattamento “adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34, relative al trattamento in forma concisa, trasparente, intelligibile, facilmente accessibile, con linguaggio semplice e chiaro […]”.

In sostanza, l’informativa è il documento con il quale il titolare del trattamento, in forma scritta o orale, informa il soggetto interessato circa le finalità e le modalità del trattamento medesimo.

Poiché non è sempre necessario acquisire il consenso da parte dell’interessato, sarà sufficiente rendere conoscibile l’informativa, tramite per esempio l’affissione in bacheca, senza provvedere alla sua sottoscrizione.