Che cos’è il GDPR?
L’acronimo GDPR (General Data Protection Regulation) fa riferimento al regolamento ufficiale sulla protezione dei dati adottato dall’Unione Europea, entrato in vigore il 25 Maggio del 2016 e divenuto esecutivo il 25 Maggio del 2018.
L’obiettivo che si prefigge è salvaguardare i dati personali dei cittadini dell’UE, ma anche di terzi soggetti non cittadini comunque residenti in uno degli Stati membri dell’Unione.
Tale protezione si attua sia all’interno che al di fuori dei confini dell’Unione, e ciò è possibile grazie ad una fitta rete di obblighi, che il regolamento impone ai Soggetti titolari del trattamento dei dati, anche nel caso che gli stessi abbiano la loro sede legale al di fuori del contesto dell’Unione.
Cosa si intende per dati personali
Al fine di tutelare i dati personali dei soggetti interessati, il regolamento definisce in maniera univoca cosa si intende con tale terminologia.
Lo fa operando un netto distinguo, e estendendo le categorie dei dati da proteggere.
Un dato personale è tutto ciò che consente di identificare, direttamente o indirettamente, un soggetto.
Questo è valido, ed ha pari dignità e pari diritto di tutela, tanto per l’identificazione reale (nome, cognome, etc.), quanto per quella online (profili sui social network, indirizzo di posta elettronica, etc.)
Accennavamo all’estensione del concetto di Dato personale, introdotto dal GDPR.
Vediamo dunque quali categorie rientrano in questa macroarea:
I dati sensibili quali orientamento politico e sessuale, origine etnica e razziale, fede religiosa;
i dati genetici (DNA, gruppo sanguigno, etc.) e quelli biometrici, che consentono di identificare fisicamente la persona;
infine i dati relativi allo stato di salute (anche mentale) di una persona, e alle eventuali cure o terapie sostenute, e quelli inerenti ad eventuali condanne civili o penali subite in passato.
Sanzioni e ambiti di applicazione
il GDPR si applica soltanto alle persone fisiche, ma vincoli ed obblighi coinvolgono tutte le imprese che trattano dati di residenti europei.
La persona che affida la gestione dei propri dati ad un’impresa, deve sempre esprimere esplicitamente, in maniera libera ed informata, il consenso al trattamento dei propri dati sensibili.
Può inoltre vantare il diritto all’oblio. Ossia, pretendere la cancellazione dei propri dati personali, qualora dovessero risultare non pertinenti o non più pertinenti, rispetto alle finalità del trattamento.
Le sanzioni comminate dai garanti della privacy dei singoli Stati europei, in caso di violazione degli obblighi imposti, sono di natura pecuniaria, e in alcuni casi le multe inflitte sono state esemplari e pesanti.
Tuttavia si è manifestato anche un certo margine di tolleranza verso la (presunta) ignoranza delle imprese.
Un’azienda potrebbe violare inconsapevolmente i vincoli imposti dal GDPR.
A loro tutela esiste il concetto di Accountability, vale a dire la consapevolezza di dover fornire una giustificazione per ogni scelta e decisione operata; il tutto accompagnato dalla premura di adeguarsi quanto prima alle prassi operative introdotte dal regolamento.
I titolari di piccole e medie imprese che volessero verificare e regolarizzare la loro posizione al riguardo, possono chiedere supporto e consulenza sul sito www.saltech.it