Cos’è il GDPR e quali regole devono essere rispettate nel trattamento dati dei cittadini europei

Che cos’è il GDPR? In tempi recenti se ne è sentito parlare parecchio tra bilanci dei primi anni di operato, la recente accusa a Google di non averlo rispettato e la scelta della Cina di avere anche lei un proprio DGPR, ovvero una legge sulla protezione dei dati personali che le Bog Tech devono provare di rispettare nei paesi che hanno scelto di dotarsene approvando un testo in merito.

Partiamo chiarendo cosa significa GDPR, acronimo con il quale identifichiamo questo regolamento dell’Unione europea: General Data Protection Regulation, che è l’estensione della sigla che a tutti suona più familiare per parlare di questa legge, che in italiano diventa RGDP, ovvero Regolamento Generale sulla Protezione dai dati. Prima di scendere nel dettaglio in merito a cosa sia il GDPR, cosa si intende per trattamento di dati personali, quando si applica il GDPR e a chi rivolgersi per il GDPR, vediamo insieme le date: l’Europa ha scelto di adottarlo a partire dal 27 aprile 2016 con pubblicazione in Gazzetta ufficiale datata 54 maggio 2016. L’entrata in vigore è stata il 24 maggio dello stesso anni con operatività a partire dal 25 maggio 2018 (recentemente, come abbiamo accennato, il GDPR ha compiuto quattro anni di operatività).

LEGGI ANCHE >>> La causa contro la Commissione Europea per la violazione del GDPR

Che cos’è il GDPR e cosa si intende per trattamento di dati personali

Si tratta del regolamento europeo che va a disciplinare il modo in cui aziende e organizzazioni devono trattare i dati personali dei cittadini. Si tratta del provvedimento più significativo in materia di dati personali che si è visto negli ultimi vent’anni e che viene preso come modello nel resto del mondo, con lo sguardo rivolto sempre all’Europa quando si tratta di trovare uno spunto per mettere su un impianto di regolamentazione di livello. Qual è lo scopo del GDPR? Ogni cittadino deve avere il controllo massimo possibile sull’utilizzo dei propri dati.

Per fare questo sono stati stabiliti requisiti rigorosi ed estremamente precisi sul trattamento dati effettuato da aziende e organizzazioni che deve garantire la massima trasparenza con documentazione in merito generate e conservate e il consenso esplicito ottenuto da parte degli utenti in maniera non forzata. In tal senso, ogni organizzazione e ogni azienda che si trova ad avere a che fare con i cittadini deve documentare e monitorare le attività di trattamento dei dati personali e poter, qualora i cittadini o l’autorità lo richiedessero, renderne conto.

Cosa si intende per trattamento dei dati personali? Ci sono diversi tipi di trattamento che vanno dalla raccolta alla registrazione dei dati passando per conservazione e diffusione. Tutte le azioni che possono essere compiute per le ragioni più svariate (soprattutto cedere dati a terze parti) sono state regolamentate in maniera puntuale – talmente tanto che è stata messa in piedi una causa per accusare di non aver rispettato la legge la Commissione europea, ovvero l’organo che l’ha creata, per aver trasferito i dati dei cittadini in Usa.

Esiste l’articolo 4 del Regolamento che definisce, con precisione, cosa sia il trattamento dei dati personali: si tratta di qualunque operazione o insieme di operazioni (qualche esempio lo abbiamo appena fornito) fatte con o senza l’ausilio di processi automatizzati che hanno come oggetto i dati personali dei cittadini. Raccolta, registrazione, organizzazione, conservazione, strutturazione, adattamento o modifica: sono tutte operazioni inglobate nella definizione di trattamento dati personali che devono tenere conto di regole precise.

Come adeguarsi al GDPR?

Che cos’è il GDPR si capisce anche apprendendo che esiste un principio di responsabilizzazione secondo cui il titolare del trattamento dati deve essere in gradi di dimostrare la conformità del trattamento che ha messo in atto. Il regolamento chiarisce che tutti i dati raccolti o trattati in maniera illecita non possono essere utilizzati in alcuno modo, pena – on caso contrario – sanzioni e condanne al risarcimento danni secondo gli articoli 2050 cod. civ. e 13 Cod. Privacy.

Il trattamento dei dati secondo il GDPR deve essere fatto in modo lecito, corretto e trasparente che vuol dire raccogliere e trattare i dati per scopi esplicitati e legittimi, utilizzandoli poi in modi compatibili con altri scopo. I dati, poi, devono essere aggiornati e esatti, completi e pertinenti e non devono mai eccedere (ovvero non ne vanno chiesti più di quanti ne servano) a seconda dello scopo per cui se ne sta disponendo. Anche rispetto alla conservazione dei dati ci sono regole precise: occorre che vengano custoditi per un periodo che non vada oltre il tempo necessario affinché gli scopi del trattamento siano raggiunti. Al termine di questo lasso di tempo quelle informazioni devono essere cancellate o anonimizzate.

Per adeguarsi al GDPR e non rischiare di andare incontro a sanzioni, quindi, è necessario informare gli utenti in modo semplice e chiaro sulla modalità di utilizzo e di archiviazione dei dati attraverso l’informativa sulla privacy. Il processo del consenso, inoltre, deve essere semplice e frutto di un’azione esplicita dell’utente. L’utente deve essere informato rispetto al modo in cui vengono profilati e utilizzati i loro dati. Qualora dovesse esserci un data breach, chi dispone del trattamento è tenuto ad avvisare entro 72 ore della violazione avvenuta. Qualora un utente o richiedesse, deve essere garantita la cancellazione dei dati per il diritto all’oblio del richiedente.

I dati devono essere protetti e crittografati con tutela particolare nei confronti dei minori. Per adeguarsi è importante, inoltre, garantire che i messaggi pubblicitari vengano inviati se e solo se l’utente ha dato un consenso esplicito e inequivocabile.

Quando si applica il GDPR e a chi rivolgersi

Per capire in pieno che cos’è il GDPR occorre anche capire, senza lasciare spazio a dubbi, quando si applica il GDPR. Definiamo con precisione quelle che finora abbiamo chiamato aziende e organizzazioni scendendo nel merito. Il GDPR deve essere tenuto in considerazione e rispettato da società, imprese, professionisti e studi professionali che svolgono un qualsiasi tipo di attività relativa ai dati personali degli utenti e che abbiano la loro sede in qualsiasi paese dell’Unione europea. Il regolamento si applica anche a quei soggetti la cui sede si trova al di fuori dei confini europeo ma che esercitano la loro attività (che sia l’offerta di bene o servizi anche di tipo telematico) per cittadini europei.

Detto in parole povere, ogni azienda del mondo che abbia a che fare con dati di cittadini europei è soggetta al rispetto delle regole del GDPR. Per quanto riguarda a chi rivolgersi per il GDPR, è importante rivolgersi a personale competente e consulenti esterni che possano – grazie alle esperienze pregresse e alla conoscenza del regolamento – far sì che ognuna delle entità che deve rispettare il regolamento possa farlo in maniera puntuale e aggiornata.