GDPR, molto più di una sigla
Un focus con tutti i collegamenti del caso sul Regolamento voluto dall’Unione Europea in materia di protezione dei dati. Una spiegazione sintetica, le applicazioni pratiche in ambito digitale e il senso di una normativa la cui parola chiave è ‘accountability’.
‘Fra i tanti acronimi che popolano il mondo digitale, quello che da mesi circola febbrilmente è il “temibile” GDPR (General Data Protection Regulation) che entra in vigore il 25 maggio 2018.
Ma che cos’è il GDPR?
Si tratta del Regolamento generale sulla protezione dei dati personali (Regolamento Europeo 2016/679) e chiarisce come i dati personali debbano essere trattati, incluse le modalità di raccolta, utilizzo, protezione e condivisione.
Qual è il suo obiettivo?
Il GDPR intende rafforzare la protezione dei dati per tutte le persone le cui informazioni personali ricadono entro il suo ambito di applicazione, dando loro il pieno controllo sugli stessi dati.
Qual è l’ambito di applicazione?
I dati possono essere trattati se sussiste almeno una base giuridica del trattamento:
— consenso prestato
— esecuzione di un contratto
— adempimento a un obbligo di legge
— tutela di interessi vitali dell’utente
— esecuzione di un’attività di interesse pubblico
— interesse legittimo del titolare del trattamento
Che cos’è il trattamento dei dati?
Trattamento è ogni operazione compiuta — manualmente o con strumenti elettronici — sui dati personali di un individuo. Ad esempio: la raccolta, la conservazione, l’elaborazione, la modifica, il collegamento e il confronto, la comunicazione e la diffusione a terzi, la cancellazione e la distruzione (art. 4, comma 1, lettera a), del Codice in materia di protezione dei dati personali).
I soggetti che procedono al trattamento dei dati personali altrui devono adottare particolari misure per garantire il corretto e sicuro utilizzo dei dati.
Di che tipo di dati stiamo parlando?
Come riferisce il Garante della privacy, i dati personali sono le informazioni che identificano e rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica. Ce ne sono di tre tipi:
→ Dati IDENTIFICATIVI: anagrafici, immagini, filmati video, audio, itinerari di viaggio, geolocalizzazione, email, pagamenti effettuati, operazioni finanziarie, storico ricerche in rete.
→ Dati SENSIBILI: origine etnica, convinzioni religiose, filosofiche o di altro genere, opinioni politiche, adesione a partiti, sindacati, organizzazioni o associazioni, stato di salute, vita sessuale.
→ Dati GIUDIZIARI: provvedimenti giudiziari come condanna penale definitiva, liberazione condizionale, divieto od obbligo di soggiorno, misure alternative alla detenzione, qualità di imputato o indagato.
In che situazioni si applica il GDPR?
Si applica all’organizzazione/azienda/ente che tratta i dati personali di una persona in tre diversi casi:
1. L’organizzazione ha sede nell’Unione Europea.
2. L’organizzazione, pur trovandosi al di fuori dell’UE, offre servizi a residenti europei.
3. L’organizzazione, pur trovandosi al di fuori dell’UE, monitora il comportamento di persone che vi risiedono (e sono fisicamente all’interno del territorio UE).
Dunque, gli attori coinvolti nell’applicazione dei princìpi GDPR sono le persone titolari dei propri dati e le organizzazioni che trattano questi dati in funzione di un servizio.
Tutto quanto ruota attorno al consenso, che deve essere inequivocabile.
Per questo, le organizzazioni/aziende/enti (intendendo con esse anche siti e app web) sono tenute a dotarsi di una chiara Privacy Policy nella quale enuncino come, quali e con che finalità vengono trattati i dati per cui si chiede il consenso al trattamento.
Inoltre, ogni registrazione di consenso va archiviata in maniera conforme, conservando copia del modulo compilato dalla persona e le informazioni complete con un suo identificativo univoco e la data di compilazione del modulo.
In che modo c’entrano i cookies col GDPR?
Sempre nell’ambito del consenso e con stretto riferimento al web, è da tenere in considerazione anche la Direttiva ePrivacy (meglio nota come Cookie Law), che in futuro sarà sostituita dal Regolamento ePrivacy pronto a funzionare insieme al GDPR.
Ma poi, cosa sono i cookies?
Sono dei piccoli file di testo che vengono memorizzati sul dispositivo di chi naviga al momento di una visita a un sito/app, poi ritrasmessi agli stessi siti/app alla visita successiva. Insomma, delle specie di post-it attaccati sulla schiena per rendere il visitatore riconoscibile. Facciamo perciò un breve excursus anche sulle diverse tipologie di cookie:
· Cookie tecnici: usati e necessari per fornire un servizio migliore agli utenti (es. i cookie provvisori per il login di autenticazione a una sessione di navigazione riservata).
· Cookie di profilazione: usati per creare “profili utente” e con cui poter inviare messaggi pubblicitari in linea con le abitudini di navigazione (es. il remarketing praticato da Google o Facebook).
· Cookie di terze parti: usati all’interno di un sito ma che provengono da terze parti (es. i bottoni di condivisione social e strumenti come Google Analytics).
Per i cookie tecnici non è necessario richiedere alcun consenso, mentre la presenza degli altri due deve essere segnalata e opportunamente spiegata in un’apposita Cookie Policy che il visitatore può accettare.
Quali sono le parti in gioco con il GDPR?
Come ben sintetizzato dallo schema esemplificativo redatto dall’Ufficio del Garante per la privacy, sono quattro le figure interessate dal Regolamento in materia di protezione dei dati:
· L’interessato (persona fisica) a cui si riferiscono i dati personali.
· Il titolare (persona fisica, azienda, ente, associazione) cui spettano le decisioni su scopi e modalità del trattamento dei dati.
· Il responsabile (persona fisica, azienda, ente, associazione) cui il titolare affida specifici compiti di gestione e controllo del trattamento dei dati.
· L’incaricato (persona fisica) che, per conto del titolare, elabora o utilizza i dati in base alle istruzioni ricevute dal titolare e/o dal responsabile.
Quasi alla fine di questa sintetica disamina della questione GDPR, non resta che specificare l’importanza della figura del responsabile, che può essere identificato con l’acronimo italiano RPD (Responsabile per la protezione dei dati) o quello inglese più correntemente utilizzato DPO (Data Protection Officer).
Questa figura deve avere un’approfondita conoscenza della legislazione in materia di protezione dei dati e la sua nomina è obbligatoria se:
— il trattamento o l’autorità è effettuata da un organismo pubblico;
— il trattamento richiede “il monitoraggio regolare e sistematico degli interessati su larga scala”;
— il trattamento riguarda dati sensibili o giudiziari.
L’adeguamento normativo, che il GDPR mette in campo per qualsiasi attore — online e offline — operi nel trattamento dei dati, ruota intorno a una sola fondamentale parola.
ACCOUNTABILITY
Un termine inglese che si traduce in responsabilità, ossia essere sempre in grado di dimostrare che si è fatto qualcosa di conforme alle regole. Avere l’onere di dimostrazione del perché si è compiuta un’azione e delle decisioni prese dal responsabile della Protezione dati.
In ultimo, significa tutelare qualsiasi utente usufruisca di un servizio che ne comporta il trattamento dei dati, rendendolo consapevole dei suoi diritti e della base giuridica (consenso in primis) che li regola.
Per la redazione di questo documento ci siamo appoggiati all’autorevolezza di fonti quali il Garante per la protezione dei dati personali e il sito web generatore di privacy policy Iubenda, a cui anche noi diLatoquadrato ci affidiamo.
In particolare, segnaliamo un’esaustiva guida sul GDPR preparata dal team di Iubenda con tutti (ma proprio tutti!) i dettagli tecnici relativi alla questione, un documento che spiega in pratica come fare ad adeguarsi al GDPR (con o senza Iubenda); infine una soluzione Cookie Law.
Se il post vi è piaciuto, vai con gli 👏👏👏👏👏👏👏👏👏👏👏
