Italiano
GDPR chi deve adeguarsi? La domanda ricorre spesso tra Aziende ed Enti pubblici ancora confusi dagli obblighi normativi introdotti dal nuovo Regolamento europeo sul trattamento dei dati personali. Dal punto di vista territoriale, il GPDR ha espanso, in effetti, l’ambito di applicazione, stabilendo che alle sue disposizioni debbano adeguarsi non solo tutti i soggetti presenti nel territorio europeo, ma anche tutte quelle realtà che, pur operando a livello extra-europeo, trattano comunque dati di cittadini residenti nell’Unione. Questo significa che il nuovo Regolamento impatta potenzialmente qualsiasi organizzazione, indipendentemente dalla sua collocazione geografica. Inoltre, anche la dimensione o la forma societaria adottata non influiscono sull’obbligo al rispetto delle disposizioni del GDPR, ad eccezione di alcune prescrizioni specifiche (come ad esempio la redazione del Registro delle attività di trattamento).
In sostanza, qualunque organizzazione tratti dati personali, siano essi di clienti, fornitori, cittadini, privati, dipendenti, utenti o pazienti, è obbligata all’adeguamento normativo, se non vuole rischiare di incorrere in pesanti sanzioni di carattere non solo amministrativo ma anche penale.
GDPR chi deve adeguarsi e i principali obblighi in dettaglio
In base alle disposizioni GDPR ogni organizzazione che tratta dati personali è tenuta alla compliance. Gli adempimenti riguardano tutte le aziende (dalle società di capitali a quelle di persone fino alle ditte individuali), tutti gli Enti e le Pubbliche Amministrazioni, i liberi professionisti, le associazioni e le cooperative. Le uniche attività escluse sono quelle di tipo personale, non riconducibili ad ambiti commerciali o professionali. Gli obblighi da ottemperare sono numerosi e riguardano, in prima istanza, la verifica dei rischi associati alle attività di trattamento effettuate in azienda. Se le attività di trattamento presentano rischi elevati per i diritti delle persone, l’azienda è tenuta infatti a realizzare un Data Protection Impact Assessment, un’accurata valutazione d’impatto sulla protezione dei dati. Il loro utilizzo professionale è, poi, subordinato alla tenuta di un Registro delle attività di trattamento, obbligatorio non solo per tutte le PA e le Aziende con più di 250 dipendenti, ma anche per le imprese che effettuano trattamenti considerati rischiosi per la libertà e la dignità della persona, indipendentemente quindi dalle loro dimensioni. Per facilitarne la redazione e la tenuta, il Garante ha elaborato due schemi di Registro pronti alla compilazione (uno per il Titolare e l’altro per il Responsabile del trattamento): strumenti di semplificazione fondamentali, soprattutto per le piccole e medie imprese.
GDPR chi deve adeguarsi alla obbligatorietà del DPO
Accanto a disposizioni che impattano trasversalmente tutte le aziende, il GDPR ha introdotto anche la figura obbligatoria del Data Protection Officer per alcuni casi specifici. In particolare, la nomina del DPO rappresenta un adempimento obbligatorio quando il titolare del trattamento è un’autorità o un organismo pubblico; in tutti i casi in cui le attività principali dell’organizzazione consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; e quando l’azienda effettua come attività principale trattamenti su larga scala di dati sensibili, genetici, biometrici o giudiziari. In tutti questi casi deve essere nominato un DPO, cui sono delegati compiti di informazione, formazione, consulenza e sorveglianza dell'adempimento della disciplina 'privacy'. Sarà lui a svolgere anche la funzione di interlocutore con l'Autorità di controllo, ossia il Garante della privacy, la cui competenza riguarda la gestione dei reclami e delle violazioni al GDPR e a tutte le norme nazionali vigenti in materia di protezione dei dati personali.
Quali dati sono da considerarsi personali?
Qualunque azienda, ente pubblico, libero professionista o associazione che tratti dati personali è tenuto a osservare le disposizioni stabilite dal GDPR. Ma quali sono i dati da considerare “personali”? E cosa si intende per “trattamento”? Le risposte a queste domande sono fornite dallo stesso Regolamento, che in modo estremamente chiaro precisa cosa si debba intendere per dato personale e per suo trattamento. Il primo riguarda qualsiasi informazione relativa a una persona fisica identificata o identificabile attraverso nome, cognome, indirizzo, numero di telefono, codice fiscale, partita IVA, dati bancari e assicurativi, o dati inerenti il nucleo familiare, la professione, il reddito, il profilo creditizio o la sua identità fisica, fisiologica, genetica, psichica, culturale o sociale. Per trattamento si intende, invece, qualsiasi operazione compiuta su dati personali come: la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione, la diffusione, il raffronto, l’interconnessione, la limitazione, la cancellazione o la distruzione. Chiunque tratti dati di questo tipo con le modalità sopra elencate è tenuto al rispetto delle disposizioni GDPR: dalla Pmi all’enterprise fino alla PA.
