Dal 25 Maggio 2018 il GDPR (General Data Protection Regulation UE 2016/679) sostituirà le normative nazionali in termini di privacy. Questo regolamento verrà attuato allo stesso modo in tutti gli stati dell’Unione Europea senza possibilità di adattamento. Il suo obiettivo è, infatti, quello di armonizzare la regolamentazione in materia di trattamento di dati personali tra gli stati UE.
Nel nuovo regolamento si definisce Dato Personale “qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale che pubblica […] come nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer”
Il GDPR è un meccanismo complesso e quindi per le aziende non sarà semplice prepararsi. In parole semplici, le aziende devono effettuare una revisione completa dei dati che raccolgono e trattano, verificando le basi giuridiche per tali trattamenti e quale è l’impatto di tali trattamenti per gli interessati. Fatto questo, bisogna comunicare tutto ciò all’esterno, precisando anche quali diritti hanno gli individui in relazione a tali trattamenti.
Principi generali del GDPR:
- Liceità e correttezza del trattamento nei confronti dell’interessato: il trattamento è lecito solo quando l’interessato ha espresso il proprio consenso.
- Trasparenza: le modalità con cui sono raccolti i dati personali devono essere facilmente accessibili e comprensibili.
- Limitazione delle finalità dei dati: questi devono essere raccolti per finalità determinate, esplicite e legittime e successivamente devono essere trattati in una modalità che sia compatibile con tali finalità.
- Minimizzazione dell’uso dei dati: questi devono essere sempre adeguati, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati.
- Esattezza dei dati: devono essere esatti e aggiornati.
- Limitazione della conservazione: i dati devono essere conservati per il tempo necessario al raggiungimento delle finalità per le quali sono trattati.
- Integrità e riservatezza: i dati devono essere trattati con un’adeguata sicurezza.
Il nuovo regolamento spiega anche meglio due concetti che erano già presenti nel Codice di Tutela dei Dati Personali:
- Privacy by Default: le imprese dovrebbero trattare solo dati personali nella misura necessaria e sufficiente per le finalità previste. In sintesi, la necessità della tutela della vita privata dei cittadini deve essere di default, cioè un’impostazione predefinita.
- Privacy by Design: nel “disegnare” un nuovo processo aziendale, si deve sempre e comunque prevedere la parte che riguarda la protezione dei dati. In sintesi, si sottolinea la necessità di tutelare il dato sin dalla progettazione di sistemi informatici che ne prevedano l’utilizzo.
Questo articolo vuole fornire linee guida generali sul nuovo regolamento. Per informazioni più dettagliate consultare la guida del Garante della Privacy Italiano: Guida all’applicazione del GDPR
