Servizi G.D.P.R. e Privacy

CSI - Via Enrico Fermi 14, 51100, Pistoia · 0573 22342 · P.IVA 00968430470 · info@csipt.it

Premessa

E’ il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali e dalla loro libera circolazione, ed introduce, su questi temi, una legislazione uniforme e valida per tutta l’Europa.
Il GDPR è stato approvato dal Parlamento europeo il 14 aprile 2016, è attualmente in vigore, ma diverrà definitivamente applicabile in tutti gli Stati membri a partire dal 25 maggio 2018.
Nel biennio di transizione le previsioni del Regolamento conviveranno con quelle della direttiva madre (95/46/CE) e della disciplina nazionale di recepimento (D.Lgs.196/2003)
Con il termine Privacy comunemente intendiamo il diritto di ogni individuo alla riservatezza, ma anche il diritto dell’individuo a controllare la diffusione delle informazioni che lo riguardano esercitando così una sorta di proprietà sui suoi dati personali, la cui gestione, a seguito del cambiamento costante della società e del progresso tecnologico, è divenuta negli anni un grande business.
Il Regolamento ha abrogato la direttiva 95/46/CE, ossia il Regolamento Generale sulla protezione dei dati, che aveva impegnato gli stati membri ad emanare ciascuno una propria legge nazionale sulla protezione dei dati personali.
L’Italia, in ottemperanza, aveva dapprima emanato la Legge 675/96, poi sostituita dal D.Lgs196/2003 (Codice della Privacy).
Il Regolamento Europeo consta di 99 articoli ed è preceduto da 173 “considerando” che non hanno carattere normativo bensì valore interpretativo del corpo del testo laddove non apparisse chiaro o risultasse impreciso.
Le autorità dei singoli stati membri potranno comunque integrare i contenuti del Regolamento con l’introduzione di linee guida generali e di settore meglio specificandone gli aspetti che al momento appaiono poco chiari (ciò è sancito nel considerando 10 del GDPR).
In buona sostanza il Codice della Privacy non viene abrogato, ma subisce una rilettura in chiave di GDPR, sarà pertanto di applicata la legge statale in favore del GDPR, laddove v’è incompatibilità tra le due norme, mentre rimane applicabile, in caso di compatibilità, laddove il Codice della Privacy disciplini in maniera più dettagliata ambiti che il Regolamento non approfondisce. In tal senso si pone un interrogativo circa le misure di sicurezza, attualmente ben disciplinate  all’allegato B del Codice della Privacy, che prevede un elenco di misure minime di sicurezza, mentre il Regolamento UE parla in termini di adeguatezza senza effettuare una tipizzazione puntuale come quella prevista nel suddetto allegato B: tale scelta è in linea con il principio dell’ accountability (responsabilizzazione e rendicontazione) su cui si basa l’intero GDPR, ossia il titolare ed il responsabile del trattamento debbono responsabilizzarsi e porre in atto misure di sicurezza adeguate alla loro realtà Aziendale valutandole di volta in volta.
L’autorità nazionale in materia di protezione dei dati personale è il Garante per la protezione dei dati personali ed è l’autorità che principalmente verificherà gli adempimenti da attuare per dare corretta applicazione alla normativa.
E’un organo collegiale composto da quattro membri, due eletti dalla Camera dei deputati e due dal Senato, dura in carica sette anni e non può più essere rieletto.
Il Garante Italiano ha già elaborato una prima “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali” con la quale ha tracciato un quadro generale delle principali innovazioni introdotte dalla normativa europea ed indicato le prassi da seguire per la corretta attuazione degli adempimenti da porre in essere.
Il Garante opera in piena autonomia e gode di poteri di intervento, a tutela dei dati personali, sganciati dalla preventiva presentazione di ricorsi, reclami e segnalazioni.

Di cosa si occupa il regolamento

Il Regolamento si occupa di due argomenti strettamente legati: il primo è la tutela delle persone con riguardo al trattamento dei dati (viene ampliato il concetto di dato personale introducendo anche l’indirizzo IP e di cookies in quanto lasciano una traccia che potrebbe ricondurre ad una persona fisica e viene altresì introdotta la categoria degli pseudo anonimi il cui utilizzo affievolisce gli 
obblighi in materia di protezione dei dati, in quanto il collegamento tra la persona fisica ed i suoi dati è meno diretto); il secondo è la circolazione dei dati.
Beneficiario della protezione dei dati è la persona fisica non la persona giuridica.
Trattamenti esclusi dal Regolamento: normativa extraUE (trattamento di dati per finalità estranee al diritto della Comunità Europea), politica estera e sicurezza, scopi personali (trattamento dei dati effettuati da persona fisica nell’ambito di attività non connesse all’attività commerciale o professionale), sicurezza pubblica o giustizia (trattamento dei dati effettuato dalle relative autorità competenti).
L’ambito di applicazione delle disposizioni del regolamento riguarda sia il trattamento dei dati personali automatizzati sia il trattamento di quelli manuali che debbono essere contenuti in archivio o destinati ad esservi trasferiti (abolita la vecchia disciplina relativa alla tenuta dei fascicoli e rispettive copertine).
Il GDPR introduce nuovi obblighi e responsabilità che per molti rappresentano un’autentica rivoluzione nel panorama della protezione dei dati mentre per altri rappresenta una puntualizzazione ed una codificazione di elementi che già da tempo erano entrati nel novero delle disposizioni afferenti al sicuro trattamento dei dati.
Comunque la si pensi, il GDPR, di fatto, cambia la prospettiva della privacy: si passa da un approccio formale, burocratico, fatto di carta (fare quanto previsto dalla legge) ad uno sostanziale basato su metodologie di valutazione del rischio adottando sin dall’inizio le soluzioni adeguate al caso concreto e dallo specifico livello di rischio. Il Regolamento non dice quali sono le misure di sicurezza da adottare: chiede di farle bene e di poterlo dimostrare.