Il GDPR introduce e modifica numerosi aspetti della disciplina della privacy, tra cui il concetto di accountability del Titolare del trattamento, ovvero una responsabilizzazione dello stesso, che dovrà ora infatti essere in grado di comprovare il rispetto dei principi fissati dal GDPR (liceità, correttezza e trasparenza nel trattamento dei dati; limitazione delle finalità di trattamento; minimizzazione ed esattezza dei dati trattati; integrità e riservatezza nonché limitazione della conservazione dei dati trattati) e che permeano tutti i relativi adempimenti e obblighi.

In linea con questo approccio, è stato introdotto il concetto di “Privacy by Design”, ovvero il rispetto e la considerazione di possibili future implicazioni durante la progettazione di un nuovo bene/servizio che verrà offerto in futuro sul mercato.

 

È dato personale qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
In particolare il Regolamento include – a differenza del Codice Privacy - i significati di dato genetico, biometrico e sanitario.
Il GDPR attribuisce anche una specifica protezione per i dati personali “particolari” che, per loro natura, sono maggiormente sensibili. Sono particolari, ed è vietato trattare, i dati personali che rivelino:
•    l’origine razziale o etnica;
•    le opinioni politiche;
•    le convinzioni religiose o filosofiche;
•    l’appartenenza sindacale;
•    dati genetici;
•    dati biometrici intesi a identificare in modo univoco una persona fisica;
•    dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
salvo consenso esplicito degli interessati o necessità di assolvere a specifici obblighi.
 

Qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

 

Secondo i principi generali il trattamento del dato deve essere lecito, corretto e trasparente e le finalità devono essere determinate, esplicite, legittime.

Il dato deve essere adeguato, pertinente, limitato, esatto, aggiornato e conservato per il tempo necessario per il quale è stato raccolto.
 

L’informativa è la comunicazione che deve essere sempre resa all’interessato, all’atto della raccolta dei dati, oralmente o per iscritto, per informarlo in merito alle finalità e modalità del trattamento, alla natura obbligatoria o facoltativa del conferimento dei dati ed alle eventuali conseguenze del mancato conferimento, agli estremi del Titolare ed eventuale Responsabile del trattamento, al soggetto, o categorie di soggetti, cui i dati personali possono essere comunicati, ai diritti dell’interessato.
 

Ai sensi del GDPR il consenso deve avere queste caratteristiche:

•    informato;
•    specifico per ciascuna finalità del trattamento;
•    libero, prestato cioè senza condizionamenti e senza dover subire pregiudizi (l’esecuzione di un contratto, compresa la prestazione di un servizio, non deve essere subordinata ad un consenso non necessario per tale esecuzione);
•    inequivocabile: deve essere manifestato attraverso una dichiarazione o azione positiva inequivocabile, la richiesta di consenso, laddove inserita nel contesto di una dichiarazione scritta che riguarda anche altre questioni, deve essere chiaramente distinguibile dalle altre materie; non è ammesso il consenso tacito o presunto e non costituiscono valido consenso caselle pre-spuntate su un modulo.
Il presupposto indefettibile è che il soggetto che conferisce il consenso abbia la capacità giuridica per farlo.
In caso di trattamento di dati di minori occorre acquisire il consenso dai genitori o dagli esercenti la patria potestà se l'interessato ha meno di 16 anni.
 

Il Titolare del trattamento è il soggetto al quale competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza.

 

Il Responsabile del trattamento è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.

 

Si tratta di una figura introdotta dal GDPR (Data Protection Officer o più semplicemente “DPO”), dotata di esperienza e competenze specifiche, tenuta ad occuparsi specificamente dell’attuazione del Regolamento ed a garantire la corretta applicazione della normativa all’interno della struttura e dell’organizzazione aziendale, nonché a fungere da raccordo con l’Autorità Garante e con i singoli interessati.

 

Per “Violazione di dati” o “Data Breach” si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
In tal caso il Titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare i danni; potrà decidere di non informare gli interessati se riterrà che la violazione non comporti un rischio elevato per i loro diritti oppure se dimostrerà di avere già adottato misure di sicurezza oppure qualora ritenga che informare gli interessati potrebbe comportare uno sforzo sproporzionato al rischio. In questo ultimo caso è dovrà provvedere con una comunicazione pubblica.
L’Autorità Garante potrà comunque imporre al titolare del trattamento di informare gli interessati sulla base di una propria valutazione dei rischi correlati alla violazione commessa.
 

In breve i più comuni diritti riconosciuti dal GDPR sono i seguenti:

il diritto di essere informato, il diritto di accedere i dati personali, il diritto alla rettifica, il diritto all’oblio, il diritto di limitare il trattamento, il diritto alla portabilità dei dati, il diritto di obiettare e di limitare la presa automatica di decisioni.

Vediamone alcuni nel dettaglio:

•    L’interessato ha il diritto di essere informato su tutto quello che accade con i suoi dati personali, per quale finalità sono utilizzati, avervi accesso, modificarli ed infine revocare il consenso;
•    L’interessato ha diritto di limitare il trattamento dei propri dati personali in varie circostanze. Ad esempio si può limitare il trattamento dei propri dati quando si teme che gli stessi non siano precisi o quando se ne contesta il trattamento;
•    Ha inoltre il diritto alla portabilità dei dati. Il GDPR consente all’interessato di ricevere i dati personali forniti a un titolare, in un formato strutturato, di uso comune e leggibile da dispositivo automatico e di trasmetterli ad altro titolare del trattamento senza impedimenti in maniera facile e veloce;
•    Un altro diritto importante è quello alla cancellazione (o diritto all’oblio). Il principio generale è quello secondo il quale una persona ha diritto di richiedere la cancellazione o la rimozione dei propri dati personali. Tale diritto non è assoluto; ad esempio se i dati personali vengono utilizzati per adempire un obbligo legale o a scopi relativi alla salute pubblica, per la ricerca scientifica o per l’esercizio o la protezione delle richieste legali, allora il diritto di cancellazione può essere rifiutato.