Il GDPR in 6 punti

Il GDPR compie un anno e la privacy è a tutti gli effetti riconosciuta come un diritto da garantire e tutelare. Ma in che cosa consiste questo nuovo Regolamento dell’UE?

Uno spettro si aggira per l’Europa: è quello del GDPR (General Data Protection Regulation). Si tratta del nuovo Regolamento europeo in materia di privacy approvato nel 2016 e che negli ultimi mesi sta diventando una realtà sempre più concreta, a partire dalla multa milionaria fatta a Google a inizio 2019 fino ai corsi di formazione messi in piedi dalle aziende per i propri dipendenti, tra cui EDUCatt, in cui si sono di recente svolti i percorsi di aggiornamento previsti per i lavoratori.
Ma perché è così importante il GDPR? E perché adesso sentiamo parlare sempre più spesso dei suoi effetti?

Storia

Partiamo con qualche cenno storico. La necessità di tutelare le informazioni personali non è una novità della nostra epoca, ma risale a ben due secoli fa quando nel 1890, con l’Harvard Law Review, si è parlato per la prima volta in termini giuridici di privacy e di protezione di dati personali. Il tema è diventato tuttavia sensibile soltanto un secolo dopo, quando la rivoluzione digitale e la nascita dei primi PC hanno notevolmente incrementato la diffusione dei dati. Negli anni ’70 del Novecento gli Stati Uniti hanno emanato la loro prima legge sulla tutela della privacy, seguiti con un ritardo di circa 20 anni dall’UE che nel 1995 ha approvato una prima direttiva in materia, che ogni stato membro ha poi adeguato alla propria legislazione nazionale (nel nostro Paese innanzitutto con la l. 975/1996).
Nel 2003 l’Italia ha emanato il suo primo Codice Privacy con il D.lgs 196/03.
Nel 2010 l’UE si è resa conto che la direttiva del 1995 era ormai obsoleta e ha iniziato pertanto a discutere una nuova norma europea che nel 2016 è diventata un vero e proprio Regolamento – il GDPR – che tutti gli Stati membri hanno avuto l’obbligo di applicare entro due anni dall’approvazione, ridefinendo così il perimetro delle normative emanate negli anni precedenti. Il nuovo Regolamento Europeo è divenuto effettivamente applicabile dal 25 maggio 2018. Con il D.lgs 10/2018 l’Italia ha adeguato il proprio Codice Privacy al GDPR, mantenendo il nome della norma del 2003.
Ed eccoci al 2019: a un anno dall’entrata in vigore del Regolamento, scattano le prime sanzioni (salatissime) per chi lo viola. Il GDPR, da enigmatico acronimo che occupa le bande inferiori dei siti internet alla loro apertura, si è trasformato in una realtà evidente che è utile – se non necessario – conoscere.

Principi fondamentali

I principi su cui si fonda il GDPR sono due: il principio di accountability, secondo cui ogni organizzazione societaria deve individuare un Titolare che si assuma la responsabilità del trattamento dei dati personali; e i principi di privacy by design e di privacy by default che prevedono, sempre per ogni organizzazione, un progetto di tutela di privacy disegnato dal suddetto Titolare (by design) e l’obbligo di trattare i dati il meno possibile (by default).
Ma che cosa intende il GDPR con dato personale? Sono dati personali tutte le informazioni riguardanti una persona fisica (non giuridica) e possono essere divisi in diverse categorie:

  • dato identificativo (nome, cognome, luogo e data di nascita, codice fiscale…);
  • dato comune (indirizzo di casa, IBAN…);
  • dato particolare, o sensibile per la normativa italiana (collegato al nostro modo di essere, riguardanti quindi i nostri orientamenti politici, religiosi, sessuali, ecc.).

I dati che secondo il GDPR non possono essere trattati, salvo alcuni casi, sono quelli particolari, dove per “trattamento di un dato” si intende un’operazione che lascia una traccia e che si può dimostrare mediante supporto, che sia cartaceo o digitale.
Ogni organizzazione giuridica dovrà in ogni caso procurarsi una informativa, che indichi il tipo di dati usati e per quali finalità, da sottoporre ai propri utenti che dovranno firmarne il consenso.

Soggetti previsti dalla normativa

Il Titolare della privacy o Data Controller deve essere obbligatoriamente presente in qualsiasi organizzazione. Ha il compito di definire le finalità e i mezzi del trattamento dei dati, assumendo la responsabilità civile e penale dell’operazione. In EDUCatt il Titolare della privacy è il Reppresentante dell’organizzazione, identificato nel Direttore generale, l’ing. Angelo Giornelli.
Il DPO (Data Protection Officer), noto anche come Responsabile della protezione dei dati, è l’esperto di privacy che affianca il Titolare nel trattamento ed è anche questa una nomina obbligatoria per tutte le organizzazioni. In EDUCatt è l’avv. Cosimo Calabrese.
Il Responsabile del trattamento non è una figura obbligatoria, ma è tuttavia una nomina consigliata per rendere ancora più capillare e preciso il trattamento dei dati. Non deve essere obbligatoriamente un esperto di privacy, ma deve essere esperto del settore di cui si affida il controllo.
L’Interessato è il soggetto che cede le proprie informazioni.

Garante della privacy

Ogni stato membro dell’Unione Europea deve nominare un proprio Garante della privacy che ciclicamente si riunisce in una Commissione europea. Il Garante è un organo collegiale, costituito da forze politiche eterogenee, con il compito di emanare provvedimenti nazionali. Il presidente del Garante della privacy italiano è Antonello Soro.

Nuovi adempimenti

Il GDPR ha anche introdotto una serie di adempimenti a cui ogni organizzazione giuridica deve attenersi. Il primo è un Registro delle attività di trattamento, non obbligatorio per le imprese con meno di 250 dipendenti per la norma europea, ma obbligatorio secondo i provvedimenti del nostro Garante della privacy. Ogni organizzazione deve inoltre fare una valutazione dei rischi del trattamento dei dati, prendendo poi le misure di sicurezza adeguate e fornendo valide procedure al personale addetto al trattamento. Il Titolare infine, in caso di Data Breach, ovvero la violazione dei dati da parte di qualcuno non autorizzato, deve convocare entro 72 ore il DPO e decidere se comunicare o meno l’accaduto al Garante della privacy che farà a quel punto partire un’operazione di controllo delle procedure di trattamento.

Responsabilità

La violazione del GDPR ha conseguenze civili (in carico all’organizzazione giuridica, al Titolare e al Dpo), amministrative (in carico all’organizzazione giuridica) con sanzioni fino a 100 milioni di euro e penali fino a una pena di tre anni.

Che cosa ha fatto EDUCatt

In vista dell’entrata in vigore del Regolamento europeo, già nel 2017 la Fondazione ha costituito un gruppo di lavoro che si è occupato di verificare lo stato di fatto e le azioni necessarie all’adeguamento per la nuova normativa, definendo l’approccio strategico e le azioni prioritarie. Il gruppo di lavoro, composto da funzioni interne e da consulenti ed esperti, ha condotto l’Assesment del sistema privacy utilizzato, verificando la documentazione presente, intervistando i referenti di processo e conducendo una verifica sui rischi, e ha poi definito gli adeguamenti necessari (nomina del DPO, nuovo Protocollo di gestione del sistema, Registro dei trattamenti e delle informative, Aggiornamento del registro dei responsabili). Di seguito è stato dunque nominato il DPO (Data Protection Officier), che ha sostituito la figura del Referente interno per la privacy, e il processo è stato portato a compimento in modo che il 25 maggio 2018 l’organizzazione dell’Ente dal punto di vista della privacy fosse corrispondente alle richieste della normativa.
Con la nuova informativa ai dipendenti, gli approfondimenti necessari per le aree critiche e infine la formazione alle persone autorizzate al trattamento il nuovo sistema è arrivato finalmente al pieno regime e può essere considerato uno strumento prezioso per una sicura operatività.

 

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *