Il trattamento dei dati personali consiste nella raccolta, nella registrazione, nella conservazione, nella consultazione, nella modifica, nella comunicazione e nella cancellazione di dati di proprietà di un’altra persona.
Esso è regolamentato dal GDPR, per quanto riguarda le persone fisiche. Vediamolo più nel dettaglio.
Premessa
Il nuovo Regolamento (UE) 2016/679 relativo alla “Protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” (di seguito GDPR), abroga la Direttiva 95/46/CE e prevede un’applicazione uniforme della disciplina in tutto il territorio dell’Unione Europea a partire da 25 maggio 2018.
È un Regolamento Generale sulla protezione dei dati. La gestione dei dati personali non è più solo un adempimento meramente cartaceo ma è divento un processo aziendale che incide sull’organizzazione stessa dell’impresa, della società o del professionista.
Il Regolamento introduce nuove regole organizzative per il corretto trattamento dei dati personali, definisce sia sanzioni per le persone fisiche che sanzioni commisurate al fatturato delle aziende per le persone giuridiche, e crea meccanismi di tracciabilità che impongono ai titolari del trattamento di allocare al loro interno le responsabilità nel trattamento dati personali.
I destinatari sono tutti quei soggetti (in alcuni casi anche extraeuropei) che sono chiamati a trattare (in maniera automatizzata o meno) i dati relativi, per esempio, a clienti, pazienti, dipendenti, utenti, fornitori.
Invero, viene introdotto il principio dell’applicazione del diritto dell’Unione Europea anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o servizi, anche a titolo gratuito, a cittadini UE o tali da comportare il monitoraggio dei loro comportamenti.
Le novità introdotte dal nuovo GDPR riguardano principalmente:
- il consenso prestato dall’interessato e l’obbligo di informativa da conferire allo stesso, secondo i parametri individuati dal nuovo GDPR e nel rispetto dei nuovi diritti introdotti a tutela dell’interessato al trattamento;
- l’adeguatezza societaria nel rispetto del principio di responsabilizzazione (accountability), con l’obbligo generale di attuare misure volte a gestire adeguatamente i rischi per i diritti e le libertà degli interessati, effettuando in modo costante (o comunque quando risulta necessario poiché cambiano alcuni fattori ad es. strumenti, esternalizzazione, nuovi trattamenti ecc.) la valutazione preliminare sui rischi creati dalle loro attività al fine di stabilire quando una tipologia di trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche;
- La Data Protection Impact Assessment, ovvero la valutazione dell’impatto dei trattamenti sulla protezione dei dati, con contestuale valutazione preliminare del rischio al fine di verificare la obbligatorietà o meno della stessa;
- la nomina del Data Protection Officer (DPO), Responsabile Protezione Dati, figura autonoma e distinta dal titolare e dal responsabile del trattamento dati, con contestuale valutazione preliminare del rischio sulla obbligatorietà o meno della nomina dello stesso nel caso di specie;
- la tenuta di un registro delle operazioni di trattamento dei dati, con contestuale valutazione della obbligatorietà o meno della tenuta dello stesso.
Principi generali
Il Regolamento europeo 2016/679 stabilisce, all’articolo 5, che i dati personali devono essere trattati nel rispetto dei seguenti principi fondamentali:
- liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato;
- limitazione della finalità del trattamento, compreso l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati;
- minimizzazione dei dati: ossia, i dati devono essere adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento;
- esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento;
- limitazione della conservazione: ossia, è necessario provvedere alla conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
- integrità e riservatezza: occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento. (link)
Mentre i dati raccolti in modo illecito non possono essere trattati, pena la violazione della privacy e relative sanzioni.
Diritti fondamentali del titolare dei dati personali
In quanto titolare dei dati personali, un individuo possiede una serie di diritti, nello specifico:
- il diritto di esprimere il consenso al trattamento dei dati personali;
- il diritto ad essere informato sull’identità del responsabile al trattamento dei suoi dati;
- il diritto di essere informato sulle modalità del trattamento;
- il diritto di essere informato sulle finalità del trattamento;
- il diritto di ottenere informazioni e modifiche dei dati, ad esempio la conferma del possesso dei propri dati da parte dell’interrogato, la loro rettifica o cancellazione;
- il diritto al risarcimenti per il trattamenti illecito dei dati personali (vedi l’articolo diritto alla privacy);
- il diritto di opporsi al trattamenti dei dati anche con finalità esplicitamente dichiarate;
- il diritto di opporsi al trattamenti dei propri dati personali con finalità pubblicitarie, commerciali o di ricerca di mercato;
- il diritto di opporsi al trattamento dei dati personali con finalità di profilazione.
Il trattamento dei dati personali sul web: i cookies
A partire dal 9 gennaio 2022 sono entrate in vigore nuove linee guida per il trattamento dei dati personali sul web, che interessano, nello specifico, i cookies.
Si tratta di informazioni che i siti web prelevano e immagazzinano, con finalità diverse, dal miglioramento dell’esperienza utente, a fini di profilazione e commerciali.
Le nuove linee guida, varate dal Garante per la privacy, prevedono una modifica nella richiesta di consenso, nei confronti dell’utente. Quest’ultimo, infatti, deve essere esaustivamente informato e notificato della presenza di questi cookies, con la possibilità di scegliere se e quali accettare.
Le sanzioni previste in caso di mancato adeguamento sono:
- un’ammenda da 6.000 a 36.000 euro per informativa non idonea o assente;
- un’ammenda da 10.000 a 120.000 euro per l’installazione di cookies senza consenso.