Concetti basici per comprendere l’RGPD: la tua attività è pronta alla nuova legislazione in materia di protezione dei dati? | Parte I
L’origine del diritto della protezione dei dati si lega al Diritto alla privacy. Nel 1890 Samuel Warren e Louis Brandeis hanno pubblicato “The right to privacy” (4 Harvard LR 193 – 15 dicembre 1890), un articolo innovativo scritto con la convinzione che fosse necessario proteggere la vita privata. Ma già dal 1879 era nota l’espressione ‘THE RIGHT TO BE LET ALONE’.
Oggi, 140 anni dopo, continuiamo a parlare di Diritto fondamentale alla protezione dei dati, della facoltà che abbiamo di controllare i nostri dati personali e della capacità di disporre e decidere degli stessi. Il Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche riguardo al trattamento dei dati personali e alla loro libera circolazione (RGPD) è entrato in vigore il 25 maggio 2016 e sarà obbligatorio a partire dal 25 maggio 2018.
MDirector ti presenta i Concetti basici per comprendere l’RGPD e le azioni da fare:
[Fonte: REGOLAMENTO (UE) 2016/679]INDICE DEI CONTENUTI
10 concetti basici per comprendere l’RGPD
1. «Dati personali»
Tutte le informazioni riguardo a una persona fisica identificata o identificabile (l’interessato) o un identificativo, come un nome, un numero di identificazione, dati di localizzazione online o uno o vari elementi propri dell’identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale di detta persona.
2. «Trattamento»
Qualsiasi operazione realizzata riguardo ai dati personali, che sia per procedimenti automatizzati o no, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modificazione, l’estrazione, la consultazione, l’utilizzo, la comunicazione per trasmissione, diffusione o qualsiasi altra forma di abilitazione di accesso, interconnessione, limitazione, sospensione o distruzione.
3. «Principi della protezione dei dati»
Azioni lecite, lealtà e trasparenza, limitazione della finalità, minimizzazione dei dati (devono essere adeguati, pertinenti e limitati al necessario in relazione ai fini per cui sono trattati), esattezza, limitazione di conservazione, integrità, confidenzialità e responsabilità proattiva (agire ed essere in grado di dimostrarlo).
4. «Consenso dell’interessato»
Manifestazione di volontà libera, specifica, informata e inequivocabile per cui l’interessato accetta, mediante una dichiarazione o un’azione affermativa, il trattamento dei dati personali relativi.
5. «Diritti degli interessati»
Diritto di accesso (sapere quali dati vengono trattati), rettifiche (poterli modificare), sospensione(il diritto di cancellazione); diritto di limitazione del trattamento; portabilità ottenere i dati tramite altra fonte) e il diritto di opposizione, per esempio, al trattamento dei dati con fini di attività commerciali dirette ed elaborazione di profili.
6. «Responsabile del trattamento o responsabile»
La persona fisica o giuridica, autorità pubblica, servizio o altro organismo che solo o con altri determina i fini e i mezzi del trattamento. Per esempio i clienti di MDirector.
7. «Incaricato del trattamento o incaricato»
La persona fisica o giuridica, autorità pubblica, servizio o altro organismo che tratti dati personali per conto del responsabile del trattamento. Per esempio MDirector.
8. «DPO (Delegato alla protezione dei dati)»
Team o persona che supervisiona l’attuazione del RGPD e offre supporto al responsabile o all’incaricato del trattamento, riguardo agli obblighi in materia e collabora con l’autorità di controllo.
9. «Sicurezza dei dati personali»
Misure che includano, tra gli altri aspetti: gli pseudonimi (trattamento di dati personali in maniera tale che non possano essere attribuiti a un interessato senza utilizzare informazioni addizionali, sempre che dette informazioni addizionali siano separate e disponibili per garantire che i dati delle persone non vengano attribuiti a una persona fisica identificata o identificabile); i dati cifrati; la capacità di garantire la confidenzialità, l’integrità, la disponibilità e la resilienza permanenti dei sistemi o servizi di trattamento: la capacità di ripristinare la disponibilità e l’accesso ai dati personali in forma rapida in caso di incidente fisico o tecnico; un processo di verifica, valutazione e valorizzazione regolare riguardo all’efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento; Notifica di una violazione di sicurezza dei dati personali all’autorità di controllo non oltre le 72 ore successive all’evento; Valutazione dell’impatto relativo alla protezione dei dati quando è probabile che un tipo di trattamento, in particolare se utilizza nuove tecnologie, per sua natura, contesto o fine, abbia a che fare con alti rischi riguardo ai diritti e alle libertà delle persone fisiche.
10. «Trasferimenti di dati»
Trasferimenti di dati personali che siano oggetto di trattamento o che lo diventeranno dopo un trasferimento a un paese terzo o organizzazione internazionale. Potrà essere effettuato un trasferimento di dati personali a un terzo paese o organizzazione internazionale quando la Commissione Europea avrà deciso che il paese terzo, un territorio o vari settori specifici del paese terzo, o l’organizzazione internazionale di cui si tratta, siano in grado di garantire un livello di protezione adeguato. In mancanza di una decisione, il responsabile o l’incaricato del trattamento potrà solo trasmettere dati personali a un paese terzo o organizzazione internazionale se è in grado di offrire garanzie adeguate e alla condizione che gli interessati vedano preservati i loro diritti e possano intraprendere azioni legali effettive, come ad esempio gli stati uniti.
Nel post successivo vi parleremo dei punti chiave per mettere in atto il RGPD.