Cos’è il GDPR? Privacy GDPR 2018
Il General Data Protection Regulation è il regolamento europeo (Regolamento UE 2016/679) per la protezione dei dati personali (ovvero, tutela della privacy). E’ nato con l’intento di uniformare la normativa all’interno dell’Unione Europea e per i cittadini dell’UE.
In parole povere è il nuovo regolamento per la privacy riguardo la gestione dei dati personali, uniforme per tutta l’Unione Europea. Qui trovate la pagina ufficiale del regolamento sul sito dell’UE, tradotta in tutte le lingue, e qui la relativa pagina sul sito del Garante per la privacy italiano (la stessa norma, con l’aggiunta di alcune note esplicative da parte del Garante italiano).
Quando entra in vigore?
Il GDPR entra in vigore a partire dal 25 maggio 2018.
Ed il nostro caro vecchio codice per la privacy dlgs.n. 196/2003?
Il GDPR si sovrappone al dlgs.n. 196/2003 e, di fatto, ne abroga le norme incompatibili. In soldoni, da adesso in poi fa fede il GDPR. Solo per quanto non specificato nel GDPR, rimane in vigore quanto scritto nel dlgs.n. 196/2003.
Il Garante dovrebbe promuovere una nuova normativa italiana di collegamento e armonizzazione. Ancora non pervenuta.
Vocabolario essenziale
Supponiamo che Michele Bianchi compili un form di informazioni sul sito web dell’azienda ESEMPIO, e che tale sito sia stato fatto e sia gestito dalla Web Agency Pippo Inc (vedi art. 2).
- Titolare del trattamento: l’entità (azienda, autorità, professionista) che utilizza i dati personali (ESEMPIO)
- Interessato: persona fisica identificabile a cui si riferiscono i dati (Michele Bianchi)
- Responsabile del trattamento: l’entità che tratta i dati personali per conto del titolare del trattamento (Pippo Inc).
DPIA (Valutazione Impatto)
La DPIA è una procedura che permette di valutare e dimostrare la conformità con le norme in materia di protezione dei dati personali.
QUANDO LA DPIA E’ OBBLIGATORIA?
In tutti i casi in cui un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Il Gruppo Art. 29 individua alcuni criteri specifici a questo proposito:
– trattamenti valutativi o di scoring , compresa la profilazione ;
– decisioni automatizzate che producono significativi effetti giuridici (es: assunzioni, concessione di prestiti, stipula di assicurazioni); – monitoraggio sistematico (es: videosorveglianza);
– trattamento di dati sensibili, giudiziari o di natura estremamente personale (es: informazioni sulle opinioni politiche);
– trattamenti di dati personali su larga scala;
– combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal consenso iniziale (come avviene, ad esempio, con i Big Data);
– dati relativi a soggetti vulnerabili (minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani, ecc.);
– utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (es: riconoscimento facciale, device IoT , ecc.);
– trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (es: screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).
La DPIA è necessaria in presenza di almeno due di questi criteri, ma – tenendo conto delle circostanze – il titolare può decidere di condurre una DPIA anche se ricorre uno solo dei criteri di cui sopra.
QUANDO LA DPIA NON E’ OBBLIGATORIA?
Secondo le Linee guida del Gruppo Art. 29, la DPIA NON è necessaria per i trattamenti che:
– non presentano rischio elevato per diritti e libertà delle persone fisiche;
– hanno natura , ambito, contesto e finalità molto simili a quelli di un trattamento per cui è già stata condotta una DPIA ;
– sono stati già sottoposti a verifica da parte di un’Autorità di controllo prima del maggio 2018 e le cui condizioni (es: oggetto, finalità, ecc.) non hanno subito modifiche;
– sono compresi nell’elenco facoltativo dei trattamenti per i quali non è necessario procedere alla DPIA;
– fanno riferimento a norme e regolamenti, Ue o di uno stato membro, per la cui definizione è stata condotta una DPIA