Nella vita di tutti i giorni, le persone trasmettono in modo volontario o del tutto inconsapevole un elevato numero di informazioni, inerenti ai loro interessi, alle loro abitudini, allo stile di vita, alle opinioni, etc.
Il fenomeno ha assunto una grande importanza soprattutto da quando le nuove tecnologie si sono ampiamente diffuse nella società. Pochi decenni fa, infatti, la situazione era molto diversa rispetto a quella attuale, in quanto non erano presenti i rischi potenziali che ci sono oggi.
Se da una parte i nuovi mezzi di comunicazione rendono la vita più facile a tutti noi, dall’altra aprono la strada a nuovi problemi, che è necessario gestire prontamente. L’intenzione del GDPR, il regolamento europeo entrato in vigore nel 2018 è proprio quello di favorire un corretto sviluppo delle nuove tecnologie, senza perdere di vista i diritti fondamentali dell’uomo, come quello alla privacy, alla riservatezza e all’oblio.
Cosa sono i dati personali?
Prima di descrivere cosa si intende per trattamento dei dati personali, è necessario capire quali sono le informazioni che devono essere protette, e perché è importante questo tipo di tutela.
Innanzitutto i dati personali corrispondono a tutte le informazioni che rendono possibile identificare una persona fisica, ad esempio:
- nome e cognome;
- numero di identificazione;
- indirizzo di domicilio o residenza;
- particolarità fisiche, generiche e psichiche;
- situazione economica;
- preferenze culturali;
- opinioni politiche;
- orientamento sessuale;
- vita sociale.
Si tratta di informazioni, che quotidianamente le persone comunicano alle aziende che offrono servizi nel web, anche senza averne una reale percezione.
Cosa significa trattamento dei dati personali?
Quando si parla di trattamento dei dati personali si fa riferimento a diverse azioni che possono riguardare le informazioni private degli individui.
Mentre si naviga nel web attraverso un computer o uno smartphone è quasi impossibile non fornire elementi in grado di determinare i propri interessi e preferenze.
In particolare l’art, 4 del Regolamento Europeo definisce chiaramente quali sono le operazioni che possono essere effettuate in merito:
- la raccolta: rappresenta l’inizio del trattamento, e riguarda l’acquisizione delle informazioni;
- la registrazione: ovvero la memorizzazione del dato in un supporto;
- l’organizzazione: classificazione secondo determinate logiche;
- la strutturazione: distribuzione secondo schemi precisi;
- la conservazione: tenere le informazioni memorizzate in determinati supporti;
- la consultazione: lettura dei dati;
- l’elaborazione: modifica del dato;
- la selezione: individuare le informazioni all’interno di gruppi già memorizzati;
- l’estrazione: estrapolazione dei dati di interesse;
- il raffronto: un confronto tra vari dati;
- l’utilizzo: attività generica sulle informazioni raccolte;
- l’interconnessione: uso di più banche dati;
- il blocco: conservazione, ma sospendendo tutte le altre operazioni di trattamento;
- la cessione: fare conoscere le informazioni ad altri soggetti interessati;
- la diffusione: mettere le informazioni a disposizione di soggetti terzi indeterminati;
- la cancellazione: eliminazione del dato;
- la distruzione: eliminazione definitiva.
È evidente come tutte le azioni elencate sopra possano costituire una lesione al diritto alla privacy, se non effettuate correttamente, nel rispetto delle norme vigenti.
Tutti i vari trattamenti devono essere effettuati in maniera lecita, quindi devono essere raccolti ed utilizzati solamente per determinati scopi, che devono essere comunicati in maniera trasparente all’utente.
In caso contrario l’utilizzatore andrà incontro a sanzioni, e dovrà risarcire i danni causati.
Le novità introdotte dalla Normativa Europea GDPR
Il 25 maggio 2018 è entrato in vigore il nuovo Regolamento Europeo in materia di privacy, ovvero il General Data Protection Regulation (GDPR). L’obiettivo è quello di fornire delle norme in grado di unificare le regole nei vari paesi dell’Europa.
Il nuovo Regolamento ha mandato in pensione la nostra storica “Legge sulla Privacy”, del 1996, e superato anche il successivo “Codice in materia di protezione dei dati personali” del 2004, diventando l’unico riferimento normativo.
L’aspetto forse più significativo riguarda l’obbligo per le aziende di chiedere il permesso agli utenti prima di potere raccogliere le loro informazioni personali, fornendo tutte le indicazioni in merito a come verranno effettivamente usate.
L’utente ha comunque la facoltà di revocare il consenso o modificare i propri dati, contattando il responsabile.
In ogni caso, se non viene rispettato il diritto alla riservatezza e non vengono seguite le norme contenute nel GDPR, è possibile denunciare la situazione al Garante della Privacy, l’autorità di controllo nazionale.
Le nuove norme hanno lo scopo di:
- definire delle regole più chiare per quanto riguarda la necessità di chiedere il consenso e per redigere la relativa informativa;
- limitare il trattamento automatizzato dei dati;
- imporre dei criteri per il trasferimento delle informazioni al di fuori dei confini UE;
- stabilire le conseguenze in caso di violazione, cioè se avviene il “data breach”.
Inoltre, va sottolineato che il GDPR deve essere rispettato anche dalle aziende con sede fuori dal territorio UE, se offrono prodotti e servizi nel mercato europeo.
Rispetto alle leggi precedenti, con il Nuovo Regolamento ha assunto una rilevanza maggiore la responsabilizzazione dei titolari dei dati “accountability”, per incentivare l’attivazione di misure volte ad evitare i rischi connessi al trattamento stesso.
Trattamento dati personali: approccio Risk Based
Nel paragrafo precedente abbiamo evidenziato come le nuove normative emanate dall’UE abbiamo concentrato i loro sforzi nello stabilire le responsabilità specifiche dei titolari dei trattamenti, quando di parla di proteggere il diritto alla privacy degli individui
Tutto ciò si può sintetizzare dicendo che il nuovo approccio è “risk based”, cioè tutte le azioni devono essere messe in atto con lo scopo di minimizzare i rischi.
Quindi non è più sufficiente un approccio di tipo formalistico, nel quale è sufficiente dimostrare di avere il consenso dell’utente, ma è necessario dimostrare di avere messo in atto le nuove politiche. “Accountability” significa proprio questo, cioè dovere rendere conto del proprio operato.
La valutazione del rischio, deve essere effettuata tenendo in considerazione la natura, la portata, il contesto e l’obiettivo del trattamento, per evitare di causare danni agli utenti, ledendo i loro diritti e libertà.
Tale orientamento ha i seguenti vantaggi:
- pretendere che vengano rispettati determinati obblighi;
- ha una maggiore flessibilità e quindi è adattabile al mutamento degli strumenti tecnologici.
Ma anche alcuni svantaggi:
- la valutazione dei rischi è delegata all’azienda, quindi le contestazioni sono più difficili;
- pone maggiore rilievo ai grandi trattamenti di dati, come se nelle piccole realtà non fosse possibile causare danni agli individui.
Il tuo sogno è specializzarti nel campo della Privacy?
Scopri i corsi targati Musa Formazione e richiedi informazioni.
Alla prossima sul nostro blog!