Call us now:
Cos’è il GDPR di cui negli ultimi anni abbiamo sentito parlare molto spesso?
Il GDPR è il Regolamento generale sulla protezione dei dati che disciplina il modo in cui vanno trattati i dati personali nei paesi membri dell’UE.
E’ il documento più importante degli ultimi venti anni in materia, essendo la principale normativa europea sulla protezione dei dati personali.
Naturalmente ha avuto grandi ripercussioni nell’organizzazione dei vari settori che si sono dovuti adeguare ad esso.
GDPR è l’acronimo di General Data Protection Regulation in inglese, che in italiano sta per Regolamento Generale sulla Protezione dei Dati.
E’ la sigla che ormai solitamente designa il Regolamento UE 2016/679 che stabilisce regole uguali e valide in materia di privacy nei ventotto paesi membri dell’Unione Europea.
Entrata in vigore e campo d’applicazione del GDPR
L’adozione del Regolamento è avvenuta il 27 aprile 2016 e la pubblicazione sulla Gazzetta ufficiale dell’Unione europea il 4 maggio 2016.
E’ entrato in vigore il 24 maggio dello stesso anno ed è diventato operativo dal 25 maggio 2018.
Dalla sua entrata in vigore, il GDPR ha sostituito i contenuti della direttiva sulla protezione dei dati (Direttiva 95/46/CE).
Mentre in Italia ha abrogato gli articoli del Codice per la protezione dei dati personali (D.Lgs196/2003) incompatibili con esso.
E’ composto da 99 articoli e 173 considerando, e questi ultimi hanno solo un valore interpretativo.
Il Regolamento ha consentito di armonizzare le diverse normative sulla protezione dei dati in tutta l’Unione.
Così è garantita una più forte tutela dei dati dei cittadini europei ed è resa più facile l’osservanza delle norme da parte delle imprese anche non europee.
Difatti il regime di protezione dei dati estende gli obiettivi della legge europea sulla protezione dei dati ad ogni impresa estera che tratta dati di residenti europei.
Ciò a prescindere dal luogo ove li trattano e dalla sede legale dell’impresa.
La maggior tutela è stata possibile anche mediante la previsione di una severa disciplina di protezione dei dati, con rigide sanzioni che possono arrivare al 4% del volume globale di affari.
In Italia c’è stato l’adeguamento alla normativa europea con il decreto legislativo n. 101 del 10 agosto 2018.
In sostanza il campo di applicazione del Regolamento riguarda i dati personali unicamente delle persone fisiche trattati in qualsiasi attività (professionale, economica, di interesse pubblico, associativa, ecc.).
E’ esclusa la vita domestica, non professionale, tranne per la pubblicazione on line di dati personali di persone fisiche, pur se nell’ambito personale o domestico, dato che trattasi di divulgazione indistinta.
Perché è stato redatto il GDPR?
In via preliminare cerchiamo di comprendere le ragioni che hanno spinto per la redazione del Regolamento in commento.
Il GDPR è il regolamento con il quale la Commissione Europea ha voluto rafforzare e uniformare (render omogenea) la protezione dei dati personali dei cittadini dell’Unione europea.
Per molto tempo il Regolamento è stato oggetto di studio a livello europeo.
La sua elaborazione mirava proprio a rafforzare la normativa in materia e consentire che la stessa fosse omogenea in ogni paese facente parte dell’Unione Europea.
Molte regole contenute nel GDPR sono simili alla Direttiva sulla protezione dei dati dell’Unione Europea del 1995 poi recepita nell’ordinamento italiano nel 2003 come Codice della Privacy.
Nonostante ciò una successiva regolamentazione è stata necessaria per adeguare la materia della protezione dei dati allìevoluzione tecnologica della società.
Infatti la Direttiva UE del 1995 era precedente all’era dei social media e delle trasformazioni che l’uso di internet ha subito di recente.
Per non parlare delle profonde modifiche nelle dinamiche quotidiane, nella nostra vita lavorativa e in generale in tutti i settori della società odierna.
Come noto il web, in seguito all’uso massiccio, a volte è diventato terreno fertile per un uso distorto dello stesso con conseguenti atteggiamenti devianti.
Inoltre l’utilizzo notevole di Internet ha collaborato a un’enorme diffusione di dati personali riferiti a soggetti di tutte le età.
Ecco perchè si è ritenuto opportuno disciplinare la protezione dei dati con un successivo Regolamento con lo scopo di una maggiore tutela dei dati.
Gli obiettivi del Regolamento
In sintesi possiamo dire che il Regolamento è nato con gli obiettivi esposti di seguito.
In primo luogo la definitiva armonizzazione della regolamentazione in materia di protezione dei dati personali all’interno dell’Unione europea.
Questo obiettivo è connesso alla circostanza che col Trattato di Lisbona la protezione dei dati personali è diventata diritto fondamentale dei cittadini, e pertanto va garantito allo stesso modo in tutto il territorio dell’Unione.
Un altro scopo è stato lo sviluppo del Mercato Unico Digitale (Digital Single Market) europeo.
Mediante il potenziamento della tutela dei dati si alimenta la fiducia dei cittadini nella società digitale e nell’uso dei servizi digitali.
Per ultimo ma non meno importante, l’obiettivo di rispondere alla nuova sfida derivante dalle tecnologie digitali e dalle loro continua innovazioni.
I principi del GDPR sulla protezione dei dati
Nell’articolo 5 il Regolamento indica i sei principi della protezione dei dati personali.
Le organizzazioni devono rispettare tali principi quando raccolgono, trattano e memorizzano i dati personali dei residenti dell’Unione Europea.
Ecco di seguito elencati i principi:
- liceità, correttezza e trasparenza: i dati personali sono trattati modo lecito, corretto e trasparente nei confronti dell’interessato;
- minimizzazione dei dati: i dati sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
- limitazione della finalità: raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;
- esattezza: i dati sono esatti e, se necessario, aggiornati e vengono adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità;
- limitazione della conservazione: i dati sono conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.
- integrità e riservatezza: i dati sono trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
Il diritto fondamentale della protezione dei dati
Il nuovo regolamento ha posto in primo piano la tutela del diritto alla protezione dei dati personali inteso come diritto fondamentale delle persone fisiche.
Proprio nell’articolo 1, invero, si sancisce che il regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.
In quest’ottica il principio cardine del nuovo regolamento è costituito dall’autodeterminazione informativa.
Per completezza espositiva, spieghiamo che con l’espressione “autodeterminazione informativa” ci si riferisce al principio in base al quale è il singolo a decidere se e entro quali limiti rendere noti i fatti della propria vita personale.
La legislazione punta a dare a ogni individuo il controllo sull’uso dei propri dati, a tutela di “diritti e libertà fondamentali delle persone fisiche”.
Ed è proprio questo lo scopo nella fissazione di requisiti precisi e rigorosi per il trattamento dei dati, la trasparenza, la documentazione da produrre e conservare e il consenso degli utenti.
Come è ovvio si tratta di diritto non assoluto poiché deve esser contemperato con altri diritti.
Particolarmente va temperato con le esigenze della società a conoscere i fatti rilevanti per il pubblico, quindi con il diritto di informazione.
Allo stesso piano si pongono le esigenze alla protezione dei diritti altrui e alla prevenzione e repressione dei reati.
