Guida completa al trattamento dei dati per la protezione della privacy 

Testo Regolamento Generale Sulla Protezione Dei Dati Gdpr stampato su carta

Il GDPR (Regolamento Generale sulla Protezione dei Dati) è una normativa europea, il Regolamento Europeo 2016/679, che stabilisce come i dati personali debbano essere trattati, compresa la raccolta, l’utilizzo, la protezione e la condivisione di tali dati. Il suo obiettivo principale è rafforzare la protezione dei dati personali e garantire alle persone il pieno controllo sui propri dati. 

Cosa sono i dati personali e chi sono i protagonisti del GDPR? 

Ai sensi del GDPR, i dati personali includono tutte le informazioni relative a una persona fisica identificata o identificabile. Questi dati possono riferirsi a una vasta gamma di informazioni, come il nome, l’indirizzo, l’indirizzo IP, l’indirizzo e-mail, i dati biometrici, le opinioni politiche, l’orientamento sessuale e molto altro ancora. È importante sottolineare che i dati personali possono essere criptati o presentati con l’uso di pseudonimi, ma se è possibile risalire all’identità della persona, allora tali dati rientrano comunque nel campo di applicazione del GDPR. 

Nel contesto del GDPR, ci sono tre figure principali da conoscere: 

  1. L’utente: è la persona fisica i cui dati personali sono trattati da un’organizzazione. 
  1. Il titolare del trattamento: è la persona fisica o giuridica che determina le finalità e i mezzi del trattamento dei dati personali degli utenti. 
  1. Il responsabile del trattamento: è la persona fisica o giuridica che tratta i dati personali degli utenti per conto del titolare del trattamento. 

Ad esempio, se un’azienda raccoglie informazioni personali tramite il suo sito web e le memorizza utilizzando un servizio di cloud computing di terze parti, l’azienda è il titolare del trattamento dei dati, mentre il fornitore del servizio di cloud computing è il responsabile del trattamento dei dati. 

Ambito di applicazione del GDPR 

Il GDPR si applica in diverse situazioni: 

  1. Se l’organizzazione ha sede nell’Unione Europea: indipendentemente dal fatto che il trattamento dei dati avvenga o meno all’interno dell’UE, se l’organizzazione ha sede nell’UE, il GDPR si applica. 
  1. Se l’organizzazione offre beni o servizi a cittadini europei: anche se l’organizzazione non ha sede nell’UE, se offre beni o servizi (anche gratuitamente) ai cittadini europei, il GDPR si applica. 
  1. Se l’organizzazione monitora il comportamento delle persone nell’UE: anche se l’organizzazione non ha sede nell’UE, se monitora il comportamento delle persone all’interno dell’UE, il GDPR si applica. 

Quindi, in pratica, il GDPR si applica a quasi tutte le attività, indipendentemente dalla sede dell’organizzazione.  

Esistono, tuttavia, alcune eccezioni in cui il GDPR non si applica

  1. Trattamento dei dati personali da parte degli Stati membri per la politica estera e di sicurezza comune dell’UE. 
  1. Trattamento dei dati personali da parte delle autorità competenti per la prevenzione, l’indagine e l’accertamento di reati o l’esecuzione di sanzioni penali. 
  1. Trattamento dei dati personali da parte delle istituzioni, degli organi, degli uffici e delle agenzie dell’UE. 
  1. Trattamento dei dati personali da parte di una persona fisica per scopi personali o domestici. 

Ad esempio, se raccogli i dati personali dei tuoi amici per la tua rubrica telefonica personale, non sei soggetto al GDPR. 

Principi chiave del GDPR 

Il Regolamento Generale sulla Protezione dei Dati ha introdotto una serie di principi fondamentali che mirano a garantire una maggiore protezione e trasparenza nel trattamento dei dati personali. Questi principi non sono solo regole da seguire, ma rappresentano la colonna vertebrale di una nuova era nella gestione dei dati. 

Innanzitutto, c’è il principio della trasparenza. Questo significa che ogni organizzazione ha il dovere di informare gli utenti in modo chiaro e comprensibile su come vengono utilizzati i loro dati. Non si tratta solo di una formalità, ma di garantire che le persone sappiano esattamente come e perché i loro dati vengono utilizzati. Il secondo principio, la limitazione della finalità, stabilisce che i dati possono essere raccolti solo per motivi ben definiti e legittimi. In altre parole, non si possono raccogliere dati “giusto per averli”, ma devono avere uno scopo preciso. Poi, c’è la minimizzazione dei dati: questo principio sottolinea l’importanza di raccogliere solo le informazioni strettamente necessarie, se un’organizzazione non ha bisogno di una specifica informazione, non dovrebbe chiederla. 

L’esattezza è un altro pilastro del GDPR, garantire che i dati siano corretti e aggiornati non è solo una buona pratica, ma una necessità, per evitare errori o incomprensioni. 

Seguono Il principio della limitazione della conservazione che impone alle organizzazioni di non conservare i dati più a lungo del necessario e i principi di integrità e riservatezza essenziali per garantire che i dati siano protetti da accessi non autorizzati o usi impropri. Infine, la responsabilizzazione pone l’accento sulla responsabilità delle organizzazioni; non basta dire di rispettare il GDPR; bisogna dimostrarlo e prendere tutte le misure necessarie per garantire la conformità. 

Basi giuridiche del trattamento dei dati 

Secondo il GDPR, i dati personali possono essere trattati solo se esiste almeno una base giuridica per il trattamento. Le basi giuridiche possibili includono: 

  1. Il consenso dell’utente: l’utente ha prestato il proprio consenso per una o più specifiche finalità. 
  1. Esecuzione di un contratto: il trattamento dei dati è necessario per l’esecuzione di un contratto al quale l’utente ha aderito o per l’adozione di misure precontrattuali su richiesta dell’utente. 
  1. Adempimento di un obbligo di legge: il trattamento dei dati è necessario per adempiere a un obbligo di legge al quale il titolare del trattamento è soggetto. 
  1. Tutela degli interessi vitali: il trattamento dei dati è necessario per tutelare gli interessi vitali dell’utente o di terzi. 
  1. Esecuzione di un’attività di interesse pubblico o nell’esercizio di pubblici poteri: il trattamento dei dati è necessario per l’esecuzione di un’attività di interesse pubblico o nell’esercizio dei poteri pubblici conferiti al titolare del trattamento. 
  1. Interesse legittimo: il trattamento dei dati è necessario per gli interessi legittimi del titolare del trattamento o di terzi, a meno che non prevalgano gli interessi, i diritti e le libertà dell’utente, in particolare se l’utente è un minore. 

È importante notare che il consenso è solo una delle basi giuridiche possibili per il trattamento dei dati personali. Le organizzazioni possono avvalersi di altre basi giuridiche in determinate circostanze, ma è sempre consigliabile consultare un avvocato per determinare la base giuridica corretta da utilizzare nel proprio caso specifico. 

Il consenso nel trattamento dei dati personali 

Il consenso è una questione fondamentale nel trattamento dei dati personali ai sensi del GDPR. Per effettuare il trattamento dei dati personali, un’organizzazione deve ottenere un consenso inequivocabile da parte degli utenti. 

È importante che il consenso sia informato, specifico, libero, inequivocabile e revocabile, l’organizzazione deve fornire informazioni chiare e comprensibili sulle finalità del trattamento dei dati e sugli eventuali trasferimenti di dati a terze parti, inoltre, il consenso non può essere ottenuto tramite caselle preselezionate o altre forme di opt-out, ma deve essere ottenuto attraverso una chiara azione di opt-in da parte dell’utente. 

Nel caso di minori, l’organizzazione deve ottenere un consenso verificabile da parte di un genitore o tutore legale, a meno che il trattamento dei dati non sia finalizzato alla prevenzione o alla consulenza. L’organizzazione deve anche fare ogni ragionevole sforzo per verificare che la persona che presta il consenso abbia effettivamente l’autorità genitoriale sul minore. 

È obbligatorio per le organizzazioni registrare in modo accurato i consensi ottenuti per dimostrare che l’utente abbia prestato il consenso. Il registro dei consensi dovrebbe includere informazioni come chi ha fornito il consenso, quando e come è stato ottenuto il consenso, il modulo di raccolta del consenso utilizzato e i documenti legali in vigore al momento del consenso. 

Conclusioni 

Il GDPR ha introdotto importanti cambiamenti nella protezione dei dati personali, ponendo l’accento sulla trasparenza, la responsabilizzazione e il pieno controllo degli utenti sui propri dati. È fondamentale che le organizzazioni comprendano le disposizioni del GDPR e si adeguino ad esse per garantire la conformità e la protezione dei dati personali. Per rispondere alla sempre crescente necessità di essere informati e preparati sull’argomento, Alias Digital propone un corso di formazione per gli incaricati della privacy. 

Scopri il corso

Condividi: