GDPR – General Data Protection Regulation

Il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio sulla protezione dei dati (GDPR) disciplina il trattamento dei dati personali relativi alle persone nell’UE, da parte di persone, società o organizzazioni. Non si applica al trattamento dei dati personali di persone decedute o di persone giuridiche.

Le norme non si applicano ai dati trattati da un individuo per motivi strettamente personali o per attività svolte in casa, a condizione che non vi sia alcun legame con attività professionali o commerciali. Quando invece una persona utilizza i dati personali al di fuori della «sfera personale», ad esempio per attività socio-culturali o finanziarie, allora occorre rispettare la normativa sulla protezione dei dati.

I dati personali sono tutte le informazioni relative a una persona vivente identificata o identificabile. Anche le varie informazioni che, raccolte insieme, possono portare all’identificazione di una determinata persona costituiscono i dati personali.

I dati personali sottoposti a deidentificazione, cifratura o pseudonimizzazione, ma che possono essere utilizzati per reidentificare una persona, rimangono dati personali e rientrano nell’ambito di applicazione della normativa.

I dati personali che sono stati resi anonimi, in modo tale che l’individuo non sia o non sia più identificabile, non sono più considerati dati personali. Perché i dati siano veramente anonimi, l’anonimizzazione deve essere irreversibile.

Il regolamento protegge i dati personali a prescindere dalla tecnologia utilizzata per trattare tali dati. Si dice quindi neutrale sotto il profilo tecnologico e si applica sia al trattamento automatizzato che a quello manuale, a condizione che i dati siano organizzati in base a criteri predefiniti (ad es. in ordine alfabetico). Inoltre, non importa come vengono archiviati i dati: in un sistema informatico, tramite videosorveglianza o su carta; in tutti questi casi, i dati personali sono soggetti agli obblighi di protezione stabiliti nel regolamento.

Maggiori informazioni sul sito della Commissione europea

Esempio di dati personali:

  • nome e cognome
  • indirizzo di casa
  • indirizzo e-mail, come nome.cognome@azienda.com
  • numero della carta d’identità
  • dati sulla posizione (ad es. la funzione di posizionamento su un telefono cellulare)
  • un indirizzo IP (Internet Protocol)
  • un ID cookie
  • l’identificativo pubblicitario del proprio telefono
  • i dati conservati in un ospedale o da un medico, che possono essere un simbolo che identifica univocamente una persona

IL TRATTAMENTO

Il «trattamento» copre una vasta gamma di operazioni eseguite sui dati personali, incluse quelle con mezzi manuali o automatizzati. Comprende la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione di dati personali.

Il regolamento generale sulla protezione dei dati si applica al trattamento dei dati personali con strumenti parzialmente o interamente automatizzati e al trattamento non automatizzato, se è parte di un sistema di archiviazione strutturato.

Esempi di trattamento:

  • gestione del personale e amministrazione delle paghe
  • accesso/consultazione di una banca dati di contatti contenente dati personali
  • invio di e-mail promozionali
  • triturazione di documenti contenenti dati personali
  • postare/mettere una foto di una persona su un sito web
  • memorizzazione di indirizzi IP o indirizzi MAC
  • videoregistrazione (CCTV)

LE AUTORITA’

Le autorità pubbliche indipendenti che vigilano, tramite i poteri investigativi e correttivi, sull’applicazione della normativa sulla protezione dei dati forniscono una consulenza specialistica sulle questioni legate alla protezione dei dati e gestiscono i reclami presentati contro le violazioni del regolamento generale sulla protezione dei dati e delle leggi nazionali pertinenti. Ne esiste una per ogni Stato membro dell’UE.

In linea generale, il punto di contatto principale per le domande sulla protezione dei dati è l’autorità nello Stato membro dell’UE in cui è basata la propria azienda/organizzazione. Tuttavia, se la propria azienda tratta dati in diversi Stati membri dell’UE o fa parte di un gruppo di società con sede in diversi Stati membri dell’UE, questo punto di contatto principale potrebbe essere un’autorità in un altro Stato membro dell’UE.

Trova online la tua autorità nazionale per la protezione dei dati.

 

Pin It on Pinterest