I concetti chiave del GDPR

Questa breve guida è stata scritta apposta per te, per ripassare le definizioni dei concetti chiave legati al GDPR. Buona lettura!

Che cos’è il GDPR?

A partire dal 24 maggio 2016 è entrato in vigore il nuovo Regolamento Europeo sulla Privacy, chiamato anche GDPR (General Data Protection Regulation).

Le norme previste saranno applicata a partire dal 25 maggio 2018 e introdurranno una serie di novità che riguardano il singolo cittadino, le associazioni, le aziende, gli enti pubblici e i liberi professioni.

Lo scopo è quello di dare regole più chiare e trasparenti in merito al trattamento dei dati, alla relativa violazione ed all’interscambio degli stessi al di fuori della Comunità Europea.

Con la nuova normativa cambiano o vengono ampliate anche alcune definizioni di aspetti fondamentali, che riguardano la privacy e il trattamento dei dati. Vediamo insieme quali sono le principali.

Dati personali, trattamento e consenso dell’interessato

Per prima cosa bisogna sapere che l’oggetto d’interesse del GDPR (General Data Protection Regulation) sono i cosiddetti dati personali, ovvero «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale».

La gestione di questi dati viene chiamata trattamento, termine con cui si intende «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione».

Secondo la nuova normativa è obbligatorio richiedere un consenso effettivo, inequivocabile ed esplicito per il trattamento dei dati, inoltre il cittadino ha il diritto di verificare come questo viene applicato in qualsiasi momento e deve avere la possibilità di revocarlo in modo semplice.

Il Regolamento Europeo definisce il consenso dell’interessato come «qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento».

Profilazione, titolare e responsabile del trattamento

La possibilità di informare in modo più chiaro e trasparente l’utente inciderà anche sulle attività di web marketing come la profilazione, definita come «qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica».

Il GDPR garantisce all’interessato il diritto di opporsi alle attività di profilazione, in aggiunta riconosce in modo chiaro il diritto all’oblio, cioè la cancellazione dei propri dati personali da parte di un titolare del trattamento nel caso in cui, ad esempio, cessino i motivi per cui si era dato il consenso.

Il precedente esempio introduce un attore di primo piano previsto dal nuovo regolamento: il titolare del trattamento. Qual è la sua precisa funzione? Questa figura «determina, singolarmente o insieme ad altri, le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri». Questo ruolo importante può essere ricoperto da «persona fisica o giuridica, autorità pubblica, servizio o altro organismo».

Il titolare del trattamento è uno dei nuovi ruoli che le aziende dovranno definire, in aggiunta ad un’altra figura: il responsabile del trattamento, ovvero «la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento».