Nozioni di base sul Regolamento generale sulla protezione dei dati (GDPR)

Il GDPR centralizza la protezione dei dati personali nell’UE. Le aziende devono conoscere bene ruoli e responsabilità.Le regole si applicano anche fuori dall’UE, se si trattano dati di cittadini UE. Serve un contratto chiaro tra titolare e responsabile del trattamento. È fondamentale conoscere il rischio legato al tipo di dati trattati per adottare misure adeguate.

1. La protezione dei dati personali come diritto umano

  • È un diritto riconosciuto dalla Carta dei diritti fondamentali dell’UE e dal TFUE.
  • Non è un diritto assoluto: va bilanciato con altri diritti fondamentali (es. libertà di espressione e informazione).

2. Cos’è il GDPR e perché è stato introdotto

  • Prima del GDPR esistevano normative nazionali frammentarie e incoerenti.
  • Il GDPR è nato per:
    • Uniformare la protezione dei dati in UE.
    • Rispondere alle sfide del mondo digitale (es. social media, cloud, e-commerce).
    • Garantire alle persone un maggior controllo sui propri dati.

3. Ambito di applicazione

  • Si applica anche a imprese extra-UE che offrono servizi/beni o monitorano comportamenti di persone nell’UE.
  • Si applica sia a trattamenti automatizzati che non automatizzati, purché i dati siano parte di un sistema organizzato (es. archivi).

4. Cosa sono i dati personali

  • Ogni informazione che identifica o rende identificabile una persona fisica: nome, foto, indirizzo email, dati sanitari, IP, ecc.
  • Alcune categorie particolari richiedono protezione rafforzata: dati sanitari, religiosi, etnici, politici, biometrici, ecc.

5. Chi sono i soggetti del trattamento

  • Titolare del trattamento: decide finalità e modalità del trattamento.
  • Responsabile del trattamento: tratta i dati per conto del titolare, secondo le sue istruzioni.
  • Contitolari del trattamento: decidono congiuntamente finalità e modalità.
  • Autorità Garante (GPDP): organo di controllo italiano, può effettuare verifiche, dare supporto, irrogare sanzioni.

6. Articolo 28 del GDPR – Responsabile del trattamento

Stabilisce che il titolare deve nominare solo responsabili che offrano garanzie adeguate. Le responsabilità del responsabile includono:

  • Agire solo su istruzioni del titolare.
  • Garantire riservatezza e sicurezza.
  • Assistere il titolare nei diritti degli interessati.
  • Cancellare o restituire i dati al termine del contratto.
  • Cooperare con il Garante.