“LA RUBRICA”
PRIVACY E PROTEZIONE DEI DATI PERSONALI
a cura dell’Avv. Maurizio Todini
DPO (Data Protection Officer)
***
Questo è il primo appuntamento con “La Rubrica” sulla tema della privacy e della protezione dei dati personali.
La affronteremo rispondendo alle più frequenti domande sull’argomento.
– Spesso si sente parlare di privacy e della sua tutela, ma è vero che in Italia l’argomento è ancora poco conosciuto?
Secondo alcune ricerche, in Italia, le aziende che si sono adegutate alla normativa in materia di privacy non superano il 40% e questo nonostante siano passati ormai due anni dall’entrata in vigore del GDPR (General Data Protection Regulation), ovvero il Regolamento UE 2017/679.
Questo dato evidenzia quindi come il tema della privacy, sebbene oggetto di discussioni anche a livello mediatico, abbia trovato, ad oggi, davvero una scarsa applicazione con conseguenti notevoli rischi di sanzioni.
– A chi si applica il GDPR?
Il Regolamento si applica ad ogni azienda o ente che tratta dati personali nell’ambito delle attività di una delle sue filiali stabilite nell’Unione Europea, indipendentemente dal luogo in cui sono trattati.
Si applica però anche ad una ad una azienda stabilita fuori dell’Unione Europea ma che offre beni o servizi o che monitora il comportamento delle persone nell’UE.
Per essere più concreti, ogni azienda (anche di piccole dimensioni), ogni professionista, ogni associazione (anche operante nel terzo settore), ogni ente pubblico deve rispettare il Regolamento.
Tuttavia, se il trattamento dei dati personali non è parte essenziale dell’attività alcuni obblighi del GDPR non troveranno attuazione (es. la nomina del DPO).
– Il GDPR prevede una normativa diversa per i soggetti privati e pubblici?
No. Il GDPR non contiene una normativa differenziata in ragione dello status del titolare del trattamento, sia esso pubblico o privato, e non contiene neanche norme dedicate al settore pubblico.
Alla base della disciplina non c’è, dunque, la natura pubblica o privata del titolare del trattamento, ma la “tipologia del trattamento”.
– Cosa si intende per “Dato personale”?
Tra gli aspetti più significativi del GDPR c’è la definizione di dato personale, arrichita dall’introduzione dell’identificativo on-line
Ai sensi dell’art. 4 del GDPR, il dato personale è “qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirittamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo on-line o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Il riferimento del GDPR è esclusivamente al dato personale inerente le persone fisiche.
La disciplina previgente, la Direttiva 95/46/CE (denominata Direttiva madre), consentiva invece ai singoli Stati di introdurre una disciplina nazionale che estendesse la tutela della riservatezza anche alle persone giuridiche.
Nel GDPR non ci sono le definizioni di dati personali sensibili e giudiziari.
Arrivederci al prossimo numero.
Maurizio TODINI
Avvocato e DPO (Data Protection Officer)
