GDPR è la sigla di General Data Protection Regulation, il regolamento europeo su privacy e dati che è diventato operativo il 25 maggio 2018.

Si rivolge a tutte le aziende e attività professionali esercenti nel territorio dell’UE.

Art. 40 – Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese.

Le disposizioni del GDPR si applicano a Titolari e Responsabili:

• stabiliti con le proprie attività in uno o più Paesi membri UE
• stabiliti fuori UE ma con attività di trattamento dati di individui che si trovano nell’UE

Sono tutte le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..

Esistono:

• dati identificativi
• dati sensibili
• dati anonimi, pseudonimi e la minimizzazione

Sono dati che consentono l’identificazione diretta dell’interessato, come nome, cognome, indirizzo di casa, email, data di nascita, informazioni genetiche, account name…

Sono dati la cui tutela ha lo scopo di garantire la libertà di pensiero e di opinione, evitando possibili discriminazioni come origine etnica, opinioni politiche, credenze religiose, condizioni di salute…

I dati anonimizzati sono i dati privati degli elementi identificativi, non sono quindi dati personali e di conseguenza non sono soggetti alle norme a tutela dei dati personali.

I dati pseudonimi sono dati personali nei quali gli elementi identificativi sono stati sostituiti da elementi diversi, come stringhe di caratteri o numeri, oppure sostituendo al nome un nickname.
Una pseudonimizzazione corretta è sicura e il rischio di violazione (data breach) è improbabile.

La minimizzazione è la raccolta dei soli dati pertinenti, limitandosi ai dati realmente necessari ed indispensabili rispetto le finalità.

• Informativa sul trattamento dei dati personali: maggior contenuto informativo espresso in termini semplici e chiari
• Diritti di opposizione: diritto di opposizione in ogni caso per motivi legittimi al trattamento e diritto di opposizione alla profilazione o al trattamento per legittimo interesse
• Data portability: diritto di ricevere indietro i dati
• Diritto all’oblio: diritto di ottenere la cancellazione dei dati

Il registro dei trattamenti è obbligatorio per le aziende con più di 250 dipendenti.

Le aziende con meno di 250 dipendenti sono esentate da questo obbligo, a meno che il trattamento effettuato sia di natura particolare, tale da poter portare un rischio per i dati stessi

• Trattare i dati personali eseguendo le istruzioni ricevute dal Titolare.
• Cooperare con il Titolare del Trattamento per la gestione delle richieste di diritto d’accesso e per gli obblighi imposti dal Regolamento
• Cancellare o restituire i dati personali al termine del trattamento su richiesta del Titolare
• Assicurare che tutti coloro che trattano i dati personali su sua indicazione rispettino i vincoli di riservatezza
• Implementare e mantenere tutte le misure tecniche e organizzative adeguate
• Prevedere la presenza del Data Protection Officier (DPO), ove prescritto

Il Data Protection Officier (DPO) è il Responsabile della Protezione dei Dati.

La sua presenza è obbligatoria, ai sensi dell’art. 37, primo paragrafo, in tre ipotesi:

1. se il trattamento di dati personali è effettuato da un’autorità pubblica o da un organismo pubblico
2. quando le attività principali dell’organizzazione consistono in trattamenti che, richiedono il “monitoraggio regolare e sistematico” degli interessati “su larga scala”
3. quando le attività principali dell’organizzazione consistono nel trattamento “su larga scala” di dati sensibili o “giudiziari” (dati personali relativi a condanne penali e reati).

I suoi compiti sono:

• sensibilizzare il Titolare in merito agli obblighi, misure tecniche ed organizzative
• Sorvegliare l’attuazione delle misure di protezione dei dati
• Formazione del personale incaricato
• Sorvegliare Privacy By-Design e Privacy By-Default
• Controllare che le violazioni dei dati siano documentati, notificate e comunicate

Il Data Breach è una qualsiasi violazione dei dati personali, ovvero la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati personali trattati.

In caso di Data Breach il Titolare dovrà:

1. Notificare entro 72 ore la violazione al Garante Privacy (l’eventuale ritardo dovrà essere motivato)
2. Avviare attività di analisi, documentazione e contenimento
3. Comunicare la violazione agli interessati