GDPR: Il regolamento per la protezione dei dati personali

È entrato in vigore il 25 maggio 2018 in tutti gli stati membri dell’Unione Europea, il Regolamento UE 2016/679 meglio noto come GDPR (General Data Protection Regulation), relativo alla protezione delle persone fisiche in riferimento al trattamento e alla libera circolazione dei dati personali.

In cosa consiste il GDPR?

Il regolamento GDPR è composto da 99 articoli (il numero sale a 173 se si considerano anche quelli che hanno solo un valore interpretativo), contiene tutte le regole da adottare, affinché all’interno dell’Unione Europea, il trattamento dei dati personali dei singoli individui adempia al rispetto dei termini privacy. Ciò perché con il Trattato di Lisbona, entrato in vigore il 1° dicembre 2009, la protezione dei dati personali è diventata diritto fondamentale dei cittadini, e quindi va garantito allo stesso modo in tutto il territorio dell'UE (anche se sono contemplati dei margini di manovra riservati ai legislatori nazionali in alcune materie, in particolare quelle che riguardano in via diretta l'esercizio di pubblici poteri, come da decreto di adeguamento 101 del 2018).

Gli altri obiettivi del GDPR sono quelli di garantire lo sviluppo del Mercato Unico Digitale Europeo (Digital Single Market), infatti, grazie alla maggiore tutela dei dati si alimenta la fiducia dei cittadini nella società digitale e nell'uso dei relativi servizi e quello di rispondere in maniera adeguata e tempestiva alle nuove sfide derivanti dall’implementazione delle nuove tecnologie digitali.

Cosa cambia in pratica con l’attuazione del GDPR?

Attraverso la messa in atto del Regolamento si garantisce un controllo del dato, diversamente alla visione precedente che intendeva una proprietà del dato. In sostanza, oggi, si favorisce la libera circolazione dei dati, ponendo più attenzione sugli stessi e rafforzando i diritti dell'interessato, il quale deve poter sapere se i suoi dati sono usati e in che modo, per tutelare lui e l'intera collettività dai rischi insiti nel trattamento stesso.

Con il GDPR si proclama l’assoluta tutela del diritto alla protezione dei dati personali inteso come diritto fondamentale delle persone fisiche, così come esplicitamente recitato dall’Art.1 Par. 2 “Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali”.

A questo punto la responsabilità sul trattamento dei dati è da imputare al titolare (del trattamento) e ai responsabili che li utilizzano per il trattamento, ciò dietro “accountability” ovvero rendicontazione da parte degli stessi che si è rispettato e adottato pienamente il GDPR.

Oggi l’attenzione è puntata sul dato e non più sull’individuo, questo perché si è adottato un approccio basato sulla valutazione del rischio (risk based), attraverso la quale si stabilisce la misura di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti. Attraverso questa tipologia di approccio risk based, infatti, si ottiene il vantaggio di pretendere degli obblighi che possono andare oltre la mera aderenza alla legge, e risulta anche più flessibile rispetto ai cambiamenti repentini della tecnologia.

Quanto c’è di negativo è rappresentato dal fatto che è l’azienda a doversi assumere la valutazione di suddetto rischio, in base a parametri non del tutto generatori di consenso; infatti, attraverso il GDPR si pone maggiore attenzione all’azienda, che può permettersi di considerare ad “alto rischio” la violazione dei dati di un minore e rischio più basso quella riferita a un adulto, così come la violazione di un grande insieme di dati è “high risk” rispetto a quella di un gruppo più ristretto.

Attraverso l’attuazione del GDPR si prevede anche:

  • Sanzioni amministrative fino al 4% del fatturato delle aziende in caso non ottemperanza alle direttive;
  • Le aziende risponderanno solo all’Autorità di Vigilanza dello Stato nel quale è sita la sede principale (secondo la modalità dello “sportello unico” o “One Stop Shop”);
  • Le imprese hanno l’obbligo di notifica alla suddetta Autorità di violazione grave dei dati dei cittadini;
  • Istituzionalizzazione del “diritto all’oblìo” come prevede la Corte di Giustizia europea, che consentirà di chiedere ed ottenere la rimozione dei dati quando viene meno l'interesse pubblico alla notizia;
  • Portabilità dei dati, che permetterà il trasferimento dei dati personali tra i diversi servizi online;
  • Un accesso più semplificato per i cittadini ai loro dati e alle finalità e modalità di utilizzo degli stessi.

A quali dati si applica il GDPR

Il Regolamento si mette in pratica a due tipologie di trattamento dei dati personali:

  • I dati che sono interamente o parzialmente automatizzati;
  • Quelli non automatizzati, ovvero su carta, contenuti in archivi.

Mentre non trova applicazione in merito a trattamenti effettuati:

  • Per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione Europea;
  • Dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, TUE (politica estera);
  • Da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico (inteso anche come la memorizzazione di un numero di telefono di un amico in agenda);
  • Dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.

Il GDPR regolamenta solo il trattamento dei dati per le persone fisiche, non include le persone giuridiche. Fa riferimento a soggetti stabiliti nell’Unione Europea, quindi vale anche per quelle aziende che offrono servizi a utenti dell’UE (quindi anche per aziende che non hanno sede nell’Unione Europea).

Quali sono i settori più impattati dagli attacchi ai dati?

Sono numerosi i mercati soggetti all’attacco della privacy dei dati, ma alcune stime sono in grado di indicarci quali sono più nel mirino:

  • Finanza e assicurazioni (17%);
  • Commercio al dettaglio (16%);
  • Trasporti, Media & Entertainment e Servizi professionali (10%).

Si tratta di settori assolutamente comuni all’interno dei quali sono contenuti un’enormità di dati, per questo è fondamentale affidarsi a professionisti che possano seguire le aziende, in modo da svolgere accurate analisi del panorama normativo in materia di protezione dei dati e che di conseguenza siano in grado di individuare e implementare una strategia mirata ed efficace per garantire i diritti dei cittadini.