Come riportato nel nostro precedente articolo, Il GDPR è il Regolamento europeo sulla protezione dei dati personali, applicabile dal 25 maggio 2018 e volto a semplificare ed uniformare la normativa in materia di Privacy in tutta Europa e garantire il diritto alla riservatezza e alla protezione dei dati personali.
Con dato personale si identifica “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, come per esempio: nome, numero di identificazione, dati relativi all’ubicazione, ecc.
Nel concetto di dato personale rientra anche l’indirizzo IP.
Il soggetto principale per l’applicazione del GDPR è il Titolare del Trattamento, ovvero “la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, singolarmente o insieme ad altri, determina la finalità e i mezzi di trattamento dei dati personali”.
Egli agisce, quindi, in totale e piena autonomia per adottare misure tecniche e organizzative adeguate al fine di garantire, ed essere in grado di dimostrare, la conformità del trattamento dei dati. Nel settore privato tale ruolo è affidato ad una persona fisica o giuridica, mentre nel pubblico è direttamente l’ente.
Il secondo soggetto più importante è il Responsabile del Trattamento, cioè “la persona fisica o giuridica, l’autorità pubblica, il servizio o l'atro organismo che tratta dati personali per conto del Titolare del Trattamento”.
Il Titolare ha la responsabilità di scegliere per tale incarico un soggetto / organismo che presenti garanzie sufficienti per mettere in atto le prescritte misure tecniche e organizzative adeguate.
Il terzo soggetto fondamentale è l’Incaricato al Trattamento, ossia “il soggetto persona fisica che effettua materialmente le operazioni di trattamento sui dati personali”.
Questa è una figura di primissima rilevanza di qualsiasi struttura poiché, sotto la diretta autorità del Titolare e / o del Responsabile, egli effettua materialmente le operazioni di trattamento sui dati, dietro apposita autorizzazione.
Per alcune realtà organizzative può essere individuato anche il Data Protection Officer (DPO) o Responsabile della Protezione dei Dati (RDP).
Tale figura (interna o esterna) deve possedere specifiche competenze giuridiche, informatiche, di risk management e di analisi dei processi. Si evidenzia, tuttavia, che tale ruolo non è sempre obbligatorio.
Come accennato precedentemente, il Titolare del Trattamento attua tutte le misure tecniche ed organizzative per garantire la protezione del dato, con la collaborazione del Responsabile e dell’Incaricato.
Le attività principali che devono essere prese in considerazione possono essere semplificate come segue:
Secondo il GDPR, il Titolare del Trattamento “adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34, relative al trattamento in forma concisa, trasparente, intelligibile, facilmente accessibile, con linguaggio semplice e chiaro […]”.
In sostanza, l’informativa è il documento con il quale il titolare del trattamento, in forma scritta o orale, informa il soggetto interessato circa le finalità e le modalità del trattamento medesimo.
Poiché non è sempre necessario acquisire il consenso da parte dell’interessato, sarà sufficiente rendere conoscibile l’informativa, tramite per esempio l’affissione in bacheca, senza provvedere alla sua sottoscrizione.