Regolamento generale sulla protezione dei dati regolamento (UE) n. 2016/679 


Il regolamento generale sulla protezione dei dati, regolamento (UE) n. 2016/679 è meglio noto con la sigla GDPR, è un regolamento dell'Unione europea in materia di trattamento dei dati personali e di privacy. Con questo regolamento, la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini dell'Unione europea e dei residenti nell'Unione europea , sia all'interno che all'esterno dei confini dell'Unione europea (UE). Il testo, adottato il 27 aprile 2016, è stato pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno; è operativo a partire dal 25 maggio 2018. Il testo affronta anche il tema dell'esportazione di dati personali al di fuori dell'UE e obbliga tutti i titolari del trattamento dei dati (anche con sede legale fuori dall'Unione europea) che trattano dati di residenti nell'Unione europea ad osservare e adempiere agli obblighi previsti. Gli obiettivi principali della Commissione europea nel GDPR sono quelli di restituire ai cittadini il controllo dei propri dati personali e di semplificare il contesto normativo che riguarda gli affari internazionali unificando e rendendo omogenea la normativa privacy dentro l'UE.[1] Dalla sua entrata in vigore, il GDPR ha sostituito i contenuti della direttiva sulla protezione dei dati (Direttiva 95/46/CE)[2] e, in Italia, ha abrogato le norme del codice per la protezione dei dati personali (d. lgs. n. 196/2003) con esso incompatibili. Ambito Il regolamento si applica al trattamento dei dati personali, ed al trattamento non automatizzato dei dati conservati in un "archivio", definito (artt. 2 e 4) in modo simile all'espressione "banca di dati", presente nel codice della privacy italiano. Inoltre, a differenza dell'attuale direttiva, il regolamento si applica anche a imprese ed enti, organizzazioni in generale, con sede legale fuori dall'UE che trattano dati personali di residenti nell'Unione Europea. Ciò anche a prescindere dal luogo o dai luoghi ove sono collocati i sistemi di archiviazione (storage) e di elaborazione (server). Il regolamento non riguarda la gestione di dati personali per attività di sicurezza nazionale o di ordine pubblico ("le autorità competenti per gli scopi di prevenzione, indagine, individuazione e persecuzione di reati penali o esecuzione di provvedimenti penali"). Secondo la Commissione Europea "i dati personali sono qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale o pubblica. Può riguardare qualunque dato personale: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer." Il regolamento disciplina solo il trattamento di dati personali delle persone fisiche (ivi compresi quelli di persone fisiche trattati in ambito professionale ovvero nei rapporti tra imprese, enti e associazioni) e pertanto le informazioni anagrafiche e simili di soggetti aventi personalità giuridica (società di capitali, aziende ed enti pubblici, associazioni e fondazioni) sono esclusi dall'applicazione del codice (questo non vale per le ditte individuali perché identità personale e professionale coincidono). In pratica, il campo di applicazione riguarda i dati personali di persone fisiche trattati in qualsiasi attività (professionale, economica, di interesse pubblico, associativa, ecc.) a esclusione delle sole attività della vita personale o domestica (eccezion fatta per la pubblicazione on line di dati personali di persone fisiche, anche se nell'ambito personale o domestico, in quanto si tratta di divulgazione indistinta). In base al principio di stabilimento le sue norme si applicano ai trattamenti di dati personali posti in essere da titolari e responsabili stabiliti nell’Unione Europea, senza alcun rilievo per il luogo in cui si effettua il trattamento stesso o per il luogo in cui si trova il data subject. Dati: Vengono ampliate e caratterizzate le definizioni sui dati presenti nella corrente direttiva e aggiunte di nuove. Quindi, oltre al dato personale, troviamo dati genetici, biometrici e relativi alla salute, comunque tutte informazioni che consentono l'identificazione univoca o l'autenticazione di una persona fisica. • Dato personale (art. 4 paragrafo 1): informazioni relative a persona fisica identificata o identificabile. La novità risiede proprio nel criterio di identificazione, la persona può essere identificata direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. • Dati sensibili (art. 9 paragrafo 1): si considerano i dati personali come l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, dati relativi alla vita sessuale o all'orientamento sessuale della persona, nonché: • Dati genetici: ereditati o acquisiti, ottenuti tramite analisi di DNA ed RNA da un campione biologico della persona fisica in questione. • Dati biometrici: come l’immagine facciale, grazie ai quali è possibile identificare una ed una sola persona fisica. • Dati sulla salute: sia fisica che mentale, passata, presente o futura, ma anche informazioni su servizi di assistenza sanitaria, laddove presenti, indipendentemente dalla fonte, quale, ad esempio, un medico. • Dati personali relativi a condanne penali o reati (art.10). Misure tecniche di sicurezza suggerite Le misure per garantire la sicurezza dei dati personali sono presentate nell'art. 32: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Il responsabile e il titolare del trattamento hanno l'onere di dimostrare la conformità dei sistemi al regolamento europeo. Possono aderire a codici di condotta, oppure della certificazione di conformità. La certificazione non riduce la responsabilità del titolare del trattamento o del responsabile, né i poteri e compiti delle authority (art. 42, par. 4), ed ha durata massima di cinque anni (art. 43, par.4).

Sanzioni Le sanzioni possono raggiungere il 4% del volume globale di affari.

Bibliografia Wikipedia e note in esso riportate