Terminologia del GDPR

Il 25 maggio, giorno dell’entrata in vigore del General Data Protection Regulation (GDPR) – il nuovo regolamento sulla privacy – è alle porte. In questo periodo si è cercato di capire cosa cambia e come andar d’accordo con il nuovo dispositivo, dissipando “paure”, indicando processi e soluzioni informatiche utili al raggiungimento della conformità di legge, la “famosa” compliance aziendale.

Facendo il punto della situazione, è quindi utile adesso, assimilare la terminologia del GDPR. Ciò consentendo ad ognuno di individuare il proprio ruolo sulla scena dell’attuazione del nuovo regolamento; di comprendere quali diritti e doveri ci riguardano in via preventiva, quali azioni mettere al più presto in pratica per arrivare pronti al 25 maggio!

Chi è il “soggetto interessato”? Chi sono e che differenza c’è fra il “Responsabile del trattamento” e il “Titolare del trattamento”? Cosa sono i “Dati personali”? Cosa si intende quando si parla di “Diritto all’oblio”, alla cancellazione? In che misura la legge coinvolge i responsabili e i titolari del trattamento rispetto alla “Violazione dei dati personali”? Cosa significano le locuzioni “Privacy by default” “Privacy by design” e principio di “Accountability”?

Avere ben chiare le risposte a queste domande consente di affrontare il processo di conformità alla nuova legge con coscienza, consapevolezza e successo.

Soggetto interessato

È qualsiasi cittadino UE (anche che si trovi al di fuori degli stati membri), identificabile tramite i propri dati personali. L’interessato, ad esempio, è il consumatore che effettua un acquisto online, il paziente di un sistema sanitario, il cittadino che accede ai sevizi della pubblica amministrazione online, l’utente delle applicazioni di social media e in generale qualsiasi persona fisica che fornisca informazioni personali per poter utilizzare dei prodotti/servizi.

Titolare del trattamento

È l’azienda che opera entro i confini della UE o al di fuori della UE ma che ha relazioni commerciali con i cittadini UE e che acquisisce dati sensibili sui cittadini UE nel corso della propria attività. Così secondo la legge n. 675/1996

il “titolare” è la persona fisica [dove per persona fisica si intende in questo caso il libero professionista, il piccolo imprenditore etc] o giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le scelte di fondo sulle finalità e sulle modalità del trattamento dei dati, anche per ciò che riguarda la sicurezza[1].

Responsabilità del titolare del trattamento è anche quella di scegliere partner in grado di erogare soluzioni conformi alla normativa.

Alcune esempi sono le aziende che ricevono informazioni su ordini online, indirizzi e carte di pagamento dai clienti o i fornitori di servizi sanitari che conservano la documentazione dei pazienti.

Responsabile del trattamento

È ad esempio, il tuo fornitore di servizi cloud! Il Responsabile del trattamento si configura come contraente per un Titolare del trattamento. È quindi il fornitore di servizi per un’altra azienda, la quale anch’essa offre servizi ai cittadini UE. Anche il responsabile del trattamento acquisisce dati sensibili sulle persone. Gli esempi includono anche aziende che offrono servizi di hosting delle applicazioni, fornitori di storage e fornitori di servizi cloud come il backup.

Dati personali

Sono dati personali le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..[2]

Particolarmente importanti sono: i dati identificativi come ad esempio i dati anagrafici; i dati sensibili come quelli che rivelano religione, opinioni politiche, lo stato di salute e la vita sessuale; i dati giudiziari che rivelano ad esempio l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale…

La definizione fornita dalla UE è anche più ampia di quella di altri governi e include nome, indirizzo email, post dei social media, informazioni fisiche, fisiologiche o genetiche, informazioni mediche, ubicazione, dati bancari, indirizzo IP, cookie, identità culturale ecc. del cittadino UE.

Diritto all’oblio

È il diritto di ogni cittadino UE, dunque del soggetto interessato, di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali. Le persone possono richiedere la cancellazione definitiva e completa di tutti i loro dati personali raccolti e/o archiviati dal titolare del trattamento. Ciò può avvenire ad esempio: quando il trattamento violi una disposizione del Regolamento stesso; quando le finalità per cui i dati sono stati raccolti o trattati siano terminate; quando l’interessato abbia ritirato il proprio consenso al trattamento dei propri dati.

Violazione dei dati personali

Il nuovo regolamento impone alle aziende, titolari del trattamento dei dati personali, di comunicare all’autorità di controllo, entro 72 ore dalla venuta a conoscenza dell’accaduto la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Privacy by default e privacy by design

Sono i due fari guida nella dinamica di definizione delle politiche sulla sicurezza dei dati. Sono i concetti dai quali muove il GDPR. Il regolamento introduce il concetto di Privacy by default per sottolineare la necessità della tutela della vita privata dei cittadini “di default” appunto: come impostazione predefinita. Con ciò si richiede alle aziende l’adozione di un processo di raccolta dei dati che ne tuteli la diffusione. Il processo di adozione dei dati si verifica ad esempio in occasione di registrazione a servizi telematici o della stipula di contratti. Così come in ogni caso ciascun interessato rende noti i propri dati ad un terzo (titolare e/o responsabile del trattamento).

Ciò si lega ai principi generali della protezione dei dati, quali la minimizzazione dei dati e la limitazione delle finalità.

La privacy by default comporta, da una parte, che i sistemi informatici utilizzati garantiscano conformità alla legge anche rispetto a come questi vengono impostati e che determinate informazioni vengano protette in modo rafforzato. Dall’altra parte comporta l’utilizzo di determinate impostazioni in automatico di maggiore tutela per l’utente: queste impostazioni vengono affidate a chi “costruisce” il sistema informatico.

Per privacy by design si intende, invece, la necessità di tutelare il dato sin dalla progettazione di sistemi informatici che ne prevedano l’utilizzo. L’attuale codice della privacy contiene in nuce la definizione delle PET – Privacy enabling technologies – che costituiscono il fondamento della privacy by design. Significa che i programmi informatici e i sistemi informativi devono essere configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi. Ciò consente di escludere il trattamento dei dati quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi o opportune modalità che permettano di identificare l’interessato solo in caso di necessità.

Accountability

Si può tradurre in italiano con “responsabilizzazione” dei titolari e responsabili del trattamento dei dati. Il GDPR pone con forza l’accento su questo concetto. Esso rappresenta l’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento. Da questo approccio muovono le attività connesse ai criteri di privacy by default e privacy by design. Pertanto, tale principio richiede un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili[3]

 

[1] http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/39785.

Vedi anche: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/49205

[2] http://www.garanteprivacy.it/web/guest/home/diritti/cosa-intendiamo-per-dati-personali

[3] http://www.garanteprivacy.it/approccio-basato-sul-rischio-e-misure-di-accountability-responsabilizzazione-di-titolari-e-responsabil