Per GDPR (“General Data Protection Regulation”) si intende il Regolamento Europeo n. 679/2016 riguardante la protezione dei dati personali, normativa entrata in vigore nei Paesi UE dal 25 maggio 2018.

Se sei un’azienda o uno studio professionale che tratta dati personali in Italia o in un altro Paese dell’Unione Europea, sei tenuto ad adeguarti al GDPR. Il Regolamento si applica anche ad organizzazioni con sede al di fuori dell’Unione Europea, quando, ad esempio, vendono beni o servizi, anche via internet, all’interno dell’Unione Europea (Art. 3 “Ambito di applicazione territoriale”).

Il Regolamento UE 679/2016 si applica ai “dati personali”.

Il regolamento, all’articolo 4, definisce come dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

In pratica per dato personale si intende qualsiasi informazione riconducibile ad un individuo.

I dati personali devono essere trattati nel rispetto dei principi di liceità, correttezza e trasparenza.

Il titolare del trattamento è l’entità che determina gli scopi, le condizioni ed i mezzi del trattamento dei dati personali, mentre il responsabile del trattamento è l’entità che elabora i dati personali per conto del titolare del trattamento stesso.

L’informativa è un avviso contenente le informazioni che il Titolare del trattamento dei dati è tenuto a fornire a tutti gli interessati. Deve essere chiara e concisa in modo tale da risultare comprensibile agli interessati e deve contenere indicazioni in merito alle procedure di raccoglimento ed utilizzo dei dati.

I soggetti interessati hanno diritto alla cancellazione dei propri dati personali (art. 17 GDPR). Questo diritto si applica quando l’interessato non vuole mantenere il consenso al trattamento dei suoi dati e non ci sono ragioni legittime per conservarli.

Il nuovo Regolamento prevede rilevanti sanzioni in caso di violazione, multe fino a 20 milioni di euro o, nel caso di imprese, fino al 4% del fatturato globale dell’esercizio precedente, se superiore.

Le decisioni del Garante sono impugnabili davanti al Tribunale del luogo ove risiede il titolare, entro 30 giorni dalla data di comunicazione del provvedimento o dalla data del rigetto tacito.

Il mancato esercizio del diritto dinnanzi al titolare del trattamento comporta l’inammissibilità del ricorso. La proposizione immediata del ricorso è possibile solo nel casi in cui il decorso del tempo necessario per interpellare il titolare esporrebbe taluno a pregiudizio imminente o irreparabile.

Il regolamento prevede attività di formazione per i soggetti interessati, ovvero coloro che entrano in gioco nel trattamento dei dati personali, per questo è indispensabile affidarsi a professionisti, come EPRA, in grado di offrire un servizio completo.

Con il termine Data Breach si intende un incidente di sicurezza in cui dati sensibili, protetti o riservati vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato.

L’art. 33 del GDPR impone al titolare di notificare la violazione all’autorità di controllo entro 72 ore dal momento in cui ne viene a conoscenza. Il tempo di riferimento da cui iniziano a decorrere i termini della notifica viene individuato quindi nel momento in cui il titolare acquisisce consapevolezza dell’avvenuta violazione.