IGM Consulting Lecco
Consulenza e formazione su sicurezza sul lavoro, ambiente, certificazioni ISO

Privacy secondo GDPR

Privacy secondo GDPR

IGM CONSULTING di Lecco si occupa della consulenza per la privacy GDPR. La protezione dei dati personali, quale diritto sancito dalla Carta dei diritti fondamentali dell’Unione europea, è normata all’interno dell’Unione dal Regolamento (UE) n.2016/679 (detto anche “GDPR”), che è stato recepito a livello nazionale con il D.Lgs. n.101/2018, con il quale sono state introdotte modifiche al D.Lgs. 30 giugno 2003, n. 196 (il cosiddetto “Codice Privacy”). Le organizzazioni sono tenute ad applicare le prescrizioni e le indicazioni di entrambe le normative.

Cosa cambia per professionisti e imprese

Con particolare riferimento alle imprese, chiara è l’impronta verso un maggior rigore generale, la previsione di sanzioni molto più gravi e la programmazione di adempimenti più articolati, oltre a un maggior livello di protezione del soggetto cui i dati si riferiscono (e di cui vengono trattati).

In primis, la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale deve essere visto, anche da professionisti e imprese che trattano quei dati, come un vero e proprio diritto fondamentale radicato nella tradizione europea.

Finalità del regolamento in materia di protezione dei dati personali

Il primo scopo del Regolamento è quello di stabilire norme volte a proteggere i diritti e le libertà fondamentali dell’individuo, in particolare il diritto alla protezione dei dati personali, ponendo quindi al centro le persone fisiche, ovvero i loro dati personali. Ad ogni modo il diritto alla alla protezione dei dati personali non è una prerogativa assoluta ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità (rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la libertà di pensiero, ecc.).

Il secondo scopo è quello di promuovere la libera circolazione dei dati riferibili alle persone fisiche, e quindi l’economia attuale della società digitale che prevede lo scambio dei dati, commercio delle informazioni; il Regolamento non vuole infatti essere un ostacolo ma intende responsabilizzare chi svolge le attività di trattamento e tutelare nel contempo i diritti e le libertà fondamentali degli interessati.

Ambito di applicazione

La norma si applica solo alle persone fisiche, non disciplina il trattamento dei dati relativi a persone giuridiche e riguarda sia il trattamento manuale sia il trattamento automatizzato.

È esclusa significativamente l’applicazione al trattamento dei dati personali effettuati da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e, quindi, senza una connessione con un’attività commerciale o professionale. Si pensi alla corrispondenza privata, agli indirizzari, all’uso di social network.

Tutti i dati che possono identificare una persona, usando tutti i mezzi, tenendo conto anche dei costi e del tempo necessari per identificare quella persona e degli sviluppi tecnologici, sono considerati dati personali protetti dal regolamento. La norma non si applica a informazioni anonime né ai dati delle persone decedute; oltre a ciò, viene esplicitamente sollecitato l’uso di pseudonimi.

Con riferimento, in particolare, agli adempimenti e obblighi da parte di soggetti che trattano i dati, assumono particolare importanza i principi di liceità e correttezza di ogni azione, con trasparenza di tutte le modalità di trattamento e la centralità della raccolta del consenso e della sua libertà.

Con riferimento, in particolare, agli adempimenti e obblighi da parte di soggetti che trattano i dati, assumono particolare importanza i principi di liceità e correttezza di ogni azione, con trasparenza di tutte le modalità di trattamento e la centralità della raccolta del consenso e della sua libertà.

Analisi dei rischi e introduzione di nuove figure

Il GDPR sottolinea che le misure tecniche ed organizzative adottate per la protezione dei dati devono essere conseguenti e giustificate da un’attenta Analisi dei Rischi (“risk assessment”); sono pertanto state eliminate le cosiddette “misure minime” richieste dalla precedente normativa.

È stata introdotta infine una nuova figura: il Data Protection Officer “DPO” o Responsabile della Protezione dei Dati (RPD); tale figura viene nominata dal Titolare o dal Responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative ed informative relativamente all’applicazione del Regolamento. Nonché cooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento.

Diritti degli interessati

Il GDPR ha, da un lato, rafforzato i diritti riconosciuti agli interessati e, dall’altro lato, ha introdotto nuovi diritti fra cui il diritto alla portabilità dei dati (ad es. del numero telefonico) e diritto all’oblio, che si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata. Dal punto di vista professionale e imprenditoriale, quindi, particolare attenzione andrà prestata non solo alle modalità di trattamento, alle informative e alla raccolta del consenso, e a tutte le cogenze che ne derivano, ma anche alle modalità per l’esercizio di tutti i diritti da parte degli interessati nonché alla riposta fornita all’interessato la quale deve avere carattere di “intellegibilit√†”, essere concisa, trasparente e facilmente accessibile, oltre ad utilizzare un linguaggio semplice e chiaro.