Cosa si intende per Data Protection e a cosa serve

6 Dic , 2019 Digital Security

Cosa si intende per Data Protection e a cosa serve

La protezione e la tutela della privacy hanno assunto, soprattutto negli ultimi anni, una crescente importanza. Le sempre più ampie possibilità di acquisizione e condivisione di informazioni e dati personali attraverso dispositivi e piattaforme digitali (applicazioni, social network e simili) hanno aumentato i rischi di violazione della privacy. Per questo, dal 2016 è entrato in vigore in tutti i paesi dell’Unione Europea uno specifico regolamento per disciplinare il trattamento dei dati personali.

Cos’è il Data Protection

Per “Data Protection” si intende l’insieme delle procedure e delle disposizioni rivolte alla protezione dei dati personali. Come spiega Salvatore Piccinni – Managing Director Head of Southern Europe di Inside Intelligence & Security Investigations, nella protezione dei dati personali rientra anche l’utilizzo trasparente degli stessi e si inserisce in particolare nella prospettiva della relazione tra la raccolta di informazioni e dati e i dispositivi tecnologici che possono raccoglierle e veicolarle. Nella maggior parte dei casi, lo scopo delle tecniche di “data protection” è quello di assicurare il giusto compromesso tra la tutela del diritto alla privacy delle persone fisica e l’utilizzo dei dati a scopi commerciali. In altri termini, chi acquisisce dati ‘sensibili’ ha il dovere di tutelare la persona identificata utilizzando le informazioni in proprio possesso solo per gli scopi consentiti dalla legge e per i quali è stato autorizzato esplicitamente (mediante consenso) dal soggetto direttamente interessato.

Cosa dice la legge

Il principale riferimento normativo in materia di protezione dei dati personali è il Regolamento Generale sulla Protezione dei Dati, meglio noto come GDPR (acronimo dell’inglese “General Data ProtectionRegulation”), entrato in vigore il 27 aprile 2016. Il regolamento stabilisce “norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati” e si propone di proteggere “i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali”.

Le disposizioni del Regolamento si applicano al trattamento automatizzato (anche solo in parte) dei dati personali, anche quelli destinati ad essere raccolti in archivio. Fanno eccezione i dati che non rientrano negli ambiti di applicazione del diritto dell’Unione Europea, quelli raccolti per uso personale o domestico e quelli raccolti dalle autorità competenti a scopi preventivi, di indagine o di accertamento.Nell’ambito del GDPR, si parla di “dato personale” in relazione a “qualsiasi informazione riguardante una persona fisica identificata o identificabile” per mezzo del nominativo o di un qualsiasi altro genere di dato.

Naturalmente, il Regolamento disciplina il trattamento dei dati personali e i principi ai quali questo deve sottostare, ovvero “liceità, correttezza e trasparenza”.Le informazioni possono essere acquisite solo per “finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità”; i dati raccolti devo essere “adeguati, pertinenti e limitati”, oltre che corretti ed eventualmente aggiornati, utilizzando tutti i mezzi necessari per cancellare le informazioni inesatte in relazione alla finalità dell’acquisizione delle stesse. Il GDRP stabilisce inoltre che i dati devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (e il trattamento deve garantire la sicurezza delle informazioni acquisite).

Il trattamento dei dati personali è lecito solo al verificarsi di determinate condizioni, ovvero:

  • L’interessato ha dato il proprio consenso; in tal caso, il titolare del trattamento – ovvero il soggetto che acquisisce le informazioni – deve essere in grado di poter dimostrare l’ottenimento del consenso; di contro, l’interessato può revocare il consenso con la stessa facilità con la quale lo ha concesso, in qualsiasi momento. Ciò non toglie che il trattamento dei dati sia lecito fino al momento della revoca del consenso;
  • Il trattamento è necessario per l’esecuzione di un contratto, per l’adempimento di un obbligo legale, per la salvaguardia dell’interessato, per l’esecuzione di un compito di pubblico interesse o per il perseguimento di un legittimo interesse del titolare del trattamento o di un soggetto terzo (eccezion fatta per il trattamento appannaggio della pubblica amministrazione).

Il Regolamento individua anche i dati che non possono essere trattati, ovvero “dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.Tali dati possono essere trattati solo in presenza dell’esplicito consenso dell’interessato (e negli altri casi di liceità sopra elencati).

A quest’ultimo il GDPR riconosce una serie di diritti: trasparenza, informazione, accessibilità ai dati, informazioni relative a chi ha fornito i dati (se si tratta di un soggetto diverso dal diretto interessato), diritto alla rettifica, alla limitazione del trattamento ed alla cancellazione.

 

Chi è il Data ProtectionOfficer

Il “Data ProtectionOfficer” (DPO) è il responsabile della protezione dei dati. Questa figura viene citata nell’articolo 37 del GDPR, secondo il quale “il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati”.La designazione viene effettuata “in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”.  La nomina di un Data ProtectionOfficer è necessaria quando il trattamento viene effettuato da un’autorità pubblica, quando le attività del titolare dei dati personali richiedono un monitoraggio costante degli interessati e quando il titolare è chiamato a trattare categorie particolare di dati. In tutti gli altri casi si fa riferimento alle normative dell’Unione Europea o dello Stato membro.

Il DPO può essere nominato da un gruppo imprenditoriale a condizione che risulti facilmente raggiungibile da ogni stabilimento; per quanto riguarda l’ambito pubblico, se il titolare del trattamento dei dati è un’autorità pubblica o un organismo pubblico, un unico responsabile può essere designato per più autorità o organi.

Quali sono i suoi compiti

I compiti del DPO sono elencati nell’articolo 39 del Regolamento; essi comprendono:

  • Fornire informazioni e consulenzaal titolare del trattamento dei dati ed ai dipendenti incaricati in merito agli obblighi previsti dalla normativa in vigore;
  • Accertare l’osservanza degli obblighi di legge (sia europee che degli Stati membri) e delle politiche imposte dallo stesso titolare del trattamento dei dati;
  • Esprimere un parere (su richiesta)“in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento”;
  • Cooperare con le autorità di controllo e fungere da contatto con queste ultime.

Il GDPR dispone, in aggiunta, che il Data ProtectionOfficer – nello svolgimento dei propri compiti – deve tenere in debita considerazione i rischi connessi al trattamento dei dati, in considerazione della natura degli stessi, del contesto di utilizzo e applicazione e delle finalità del trattamento.


Desideri ricevere una consulenza gratuita o un preventivo senza impegno su questo argomento?
CONTATTACI SUBITO: