Glossario dei termini del GDPR dell’UE

Legislazione

La Direttiva sulla Protezione dei Dati

La direttiva europea 95/46/CE disciplina l’elaborazione dei dati personali all’interno dell’UE e sarà sostituita dal GDPR a partire dal 25 maggio 2018. La Direttiva ha introdotto delle norme minime, che dovevano essere attuate con una legislazione separata in ciascuno Stato membro dell’UE. Ciò ha dato agli Stati membri la possibilità di estendere il campo di applicazione della direttiva o di mantenere norme superiori esistenti o di decidere di non sfruttare appieno le deroghe, il che spiega perché in tutta Europa siano applicate norme diverse sulla protezione dei dati. Il testo della Direttiva può essere trovato online: https://ec.europa.eu/justice/policies/privacy/docs/95-46-ce/dir1995-46_part1_it.pdf

Il GDPR dell’UE

Il Regolamento Generale sulla Protezione dei Dati (o GDPR – General Data Protection Regulation) è stato adottato come Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio Europeo il 27 aprile 2016.

A differenza della Direttiva sulla Protezione dei Dati, il GDPR è destinato ad applicarsi direttamente in ciascuno Stato membro dell’UE senza la necessità di implementare una legislazione e creare un quadro normativo entro cui possano essere adottate regole più dettagliate. Questo armonizza la legislazione in tutta Europa [vedi Ambito di Applicazione territoriale]. Ad esempio, l’obbligo di notificare l’Autorità di Protezione dei Dati [vedi Autorità di Protezione dei Dati] di nuove elaborazioni sarà abolito (ad eccezione di un numero limitato di casi) e sarà sostituito dall’obbligo di documentare tutti i processi. I Controllori1 [vedi Controllori di dati] e i Processori2 [vedi Processore di dati] dovranno concordare le responsabilità tra di loro, altrimenti saranno responsabili congiuntamente e gravemente. Il regolamento è disponibile online: https://eur-lex.europa.eu/legal-content/IT/TXT/

Glossario dei termini del GDPR dell'UE - Advisera

Direttiva sulla e-Privacy

La Direttiva sulla e-Privacy è stata adottata la prima volta come Direttiva 2002/58/EC del Parlamento Europeo.  Attualmente controlla i diritti alla privacy applicati alla tecnologia e al contenuto delle comunicazioni elettroniche. La Direttiva può essere consultata online all’indirizzo: https://eur-lex.europa.eu/LexUriServ/LexUriServ.do

Regolamento sulla e-Privacy

A seguito dell’adozione del GDPR, la Direttiva sulla e-Privacy sarà rivista per conformarsi al GDPR e gestire le innovazioni tecnologiche create dall’ultima modifica della Direttiva del 2009. Una bozza di proposta di Regolamento intitolata “Regolamento sulla riservatezza e le comunicazioni elettroniche” è stata emessa il 10 gennaio 2017. Il regolamento sarà applicabile a qualsiasi fornitore di servizi di comunicazione elettronica o a qualsiasi entità che elabori i dati attraverso la comunicazione elettronica. Essa influenzerà il modo in cui le organizzazioni interagiscono elettronicamente con i cittadini dell’UE, compreso il monitoraggio degli utenti, la raccolta di dati nei dispositivi degli utenti e il direct marketing. La bozza del Regolamento e i relativi documenti possono essere trovati online: https://ec.europa.eu/digital-single-market/en/news/proposal-regulation-privacy-and-electronic-communications

Organismi coinvolti nel GDPR

Il GEPD

Il Garante Europeo della Protezione dei Dati (GEPD) è stato istituito nel 2004 con l’obiettivo di garantire che le istituzioni e gli organismi dell’UE rispettino il diritto alla privacy delle persone durante l’elaborazione dei loro dati personali. Nelle sue principali funzioni, il GEPD (1) sorveglia l’elaborazione dei dati personali dell’amministrazione europea per garantire il rispetto delle norme sulla privacy, gestisce i reclami e conduce indagini; e (2) consiglia le istituzioni e gli organi dell’Unione Europea su tutti gli aspetti relativi all’elaborazione dei dati personali e alle relative politiche e legislazioni.

Il Gruppo di lavoro Articolo 29

Il Gruppo di lavoro Articolo 29 è un organismo non regolamentare per la protezione dei dati. La sua funzione principale è quella di fornire pareri di esperti e di presentare raccomandazioni agli Stati membri e al pubblico in materia di protezione dei dati e di trattamento dei dati personali. L’organo stesso è costituito da rappresentanti delle autorità nazionali di protezione dei dati dell’Unione europea, del Garante Europeo della Protezione dei Dati (GEPD) e dalla Commissione Europea. È stato trasformato in “Comitato Europeo per la Protezione dei Dati (CEPD)” ai sensi del GDPR.

Il CEPD

Il Comitato Europeo per la Protezione dei Dati sostituirà il Gruppo di lavoro Articolo 29, e le sue funzioni comprenderanno assicurare la coerenza nell’applicazione del GDPR, fornire consulenza alla Commissione Europea, l’emissione di linee guida, codici di pratica e raccomandazioni, l’accreditamento degli organismi di certificazione e l’emissione di pareri in merito alle proposte di decisioni delle autorità di vigilanza.

L’Autorità di Protezione dei Dati / L’Autorità di Controllo / L’Autorità Capofila

Le Autorità di Protezione dei Dati sono le autorità nazionali di protezione dei dati incaricate della tutela della privacy e dei dati personali. Ogni Stato Membro ha nominato un’Autorità di Protezione dei Dati per attuare e applicare la legislazione locale in materia di protezione dei dati e fornire indicazioni. Le Autorità di Protezione dei Dati hanno notevoli poteri esecutivi, tra cui la possibilità di imporre notevoli ammende.

Terminologia del GDPR

Interessato

Un interessato è una persona fisica. Esempi di interessati possono essere un individuo, un cliente, un potenziale cliente, un dipendente, un referente, ecc.

Dati personali

Qualsiasi informazione relativa a un individuo identificato / identificabile, che riguardi la sua vita privata, professionale o pubblica. Può essere qualsiasi cosa, da un nome, una foto, un indirizzo di posta elettronica, i dati bancari, i post sui siti di social networking, informazioni mediche, l’indirizzo IP o una combinazione dei dati che identifichi direttamente o indirettamente la persona.

Dati personali sensibili

Il GDPR si riferisce a dati personali sensibili come a “categorie speciali di dati personali”. Le categorie speciali di dati includono l’origine razziale o etnica, le opinioni politiche, le opinioni religiose o filosofiche, l’appartenenza sindacale, l’orientamento sessuale e i dati sanitari, genetici e biometrici elaborati per identificare un individuo in modo univoco. I dati personali relativi alle condanne penali e ai reati non sono inclusi, ma simili garanzie supplementari si applicano al loro trattamento.

Il Controllore dei dati

Qualsiasi organizzazione, persona fisica o organismo che determina le finalità e i mezzi del trattamento dei dati personali, controlla i dati e ne è responsabile, singolarmente o insieme ad altri. Esempi di quando il controllore di dati è un individuo comprendono i medici generici, i farmacisti e i politici, quando questi individui conservano informazioni personali sui loro pazienti, clienti, membri del collegio elettorale ecc. Esempi di organizzazioni possono essere i controllori di dati, a scopo di lucro o non, privati ​​o governativi, grandi o piccoli, quando queste organizzazioni conservano informazioni personali sui propri dipendenti, clienti, ecc.

Il Processore di dati

Un processore di dati elabora i dati per conto del controllore di dati. Esempi includono società che elaborano le buste paga, i contabili e le società di ricerca di mercato.

Il Responsabile della Protezione dei Dati

La nomina di un Responsabile della Protezione dei Dati è obbligatoria se: (1) il trattamento è effettuato da un’autorità pubblica; o 2) le “attività principali” di un controllore dei dati / processore di dati richiedono “il controllo regolare e sistematico degli interessati su larga scala” o consistono nel trattamento di categorie particolari di dati o dati sulle condanne penali “su larga scala”.

Responsabilizzazione

La responsabilizzazione è la capacità di dimostrare la conformità al GDPR. Il Regolamento stabilisce esplicitamente che questa sia a carico dell’organizzazione. Per dimostrare la conformità è necessario implementare adeguate misure tecniche e organizzative. Gli strumenti di miglior pratica come le valutazioni dell’impatto sulla vita privata e la privacy by design sono ora legalmente richiesti in determinate circostanze.

Consenso

Il consenso è qualsiasi “manifestazione di volontà libera, specifica, informata e inequivocabile” dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento  per uno o più scopi specifici.

L’azione positiva, significa che il consenso non può essere dedotto dal silenzio, dalle caselle pre-selezionate o dall’inattività. Deve inoltre essere separato dai termini e dalle condizioni e avere un modo semplice per ritirare il consenso. Le autorità pubbliche e i datori di lavoro dovranno prestare particolare attenzione per garantire che il consenso sia dato liberamente.

I consensi esistenti non devono essere aggiornati automaticamente in preparazione al GDPR, ma devono rispettare lo standard del GDPR di essere specifici, chiari, correttamente documentati e facili da ritirare. In caso contrario, sarà necessario modificare i meccanismi di consenso e chiedere un nuovo consenso conforme al GDPR o trovare un’alternativa al consenso.

Il concetto di sportello unico

Se un’impresa ha sede in più di uno Stato membro, avrà una “autorità capofila”, determinata dal luogo del suo “stabilimento principale” nell’UE. Un’autorità di controllo che non sia l’autorità capofila può anche avere un ruolo regolatore, ad esempio quando il trattamento influisce sugli interessati nel paese in cui tale autorità di controllo è l’autorità nazionale.

Valutazione dell’impatto sulla privacy

Il GDPR impone un nuovo obbligo ai controllori dei dati e ai processori di dati di condurre una Valutazione d’Impatto sulla Protezione dei Dati (nota anche come valutazione d’impatto sulla privacy, o PIA – Privacy Impact Assessment) prima di intraprendere un trattamento che presenti un rischio specifico sulla privacy in virtù della sua natura, del campo di applicazione o dello scopo.

Trattamento

Il trattamento è qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate ai dati personali, come la creazione, raccolta, registrazione, visualizzazione, estrazione, utilizzo, modifica, trasmissione, cancellazione, ecc.

Profilazione

La profilazione è qualsiasi forma di trattamento automatizzato di dati personali intesi a valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, l’ubicazione, la salute, le preferenze personali, l’affidabilità o il comportamento.

Accesso dell’interessato

È il diritto dell’interessato di ottenere dal controllore, su richiesta, alcune informazioni relative al trattamento dei propri dati personali.

Ambito di applicazione territoriale

L’ambito di applicazione territoriale del GDPR comprende lo Spazio Economico Europeo (SEE – tutti e 28 gli stati membri dell’UE), l’Islanda, il Lichtenstein e la Norvegia e non include la Svizzera.

Terzo

Un terzo è qualsiasi persona fisica o giuridica, autorità pubblica, agenzia o altro organismo diverso dall’oggetto interessato, dal controllore, dal processore e dalle persone che, sotto l’autorità diretta del controllore o del processore, è autorizzata a elaborare i dati.

Trasferimento

Il trasferimento di dati personali a paesi al di fuori del SEE o a organizzazioni internazionali è soggetto a restrizioni. Come per la Direttiva sulla Protezione dei Dati, i dati non devono essere trasportati fisicamente per essere trasferiti. La visualizzazione dei dati conservati in un’altra ubicazione costituirebbe un trasferimento per gli scopi del GDPR.

 


1 Si utilizza qui e in tutto l’articolo il termine non ufficiale “Controllore” di dati invece del termine ufficiale “Titolare del trattamento” utilizzato nel testo UE, in quanto più intuitivo.

2 Si utilizza qui e in tutto l’articolo il termine non ufficiale “Processore” di dati invece del termine ufficiale “Responsabile del trattamento” utilizzato nel testo UE, in quanto più intuitivo.