Sans-serif

Aa

Serif

Aa

Font size

+ -

Line height

+ -
Light
Dark
Sepia

GDPR in chiaro

Pochi cenni ed un po’ di chiarezza sul GDPR – Regolamento Europeo 679/2016!

“Fantozzi contro tutti” è un film del 1980 diretto da Neri Parenti con Paolo Villaggio nei panni di Fantozzi.

Il nuovo direttore della “Megaditta”, il visconte Cobram, appassionato di ciclismo, organizza per i suoi dipendenti una corsa ciclistica, la Coppa Cobram.

Fantozzi e il suo fido amico e collega, il ragioniere Filini, interpretato da Gigi Reder, tentano di non partecipare alla corsa, per pigrizia e per l’assoluta mancanza del benché minimo interesse sportivo.

Decidono che l’unico modo per sottrarsi è fingere di essere afflitti da una malattia debilitante e quindi  incompatibile con lo sforzo fisico.

Per realizzare il piano, i due compari organizzano una telefonata al visconte Cobram:  con voce artatamente camuffata, Fantozzi finge di essere un medico che “sconsiglia, anzi proibisce” la partecipazione alla gara dei due dipendenti, viste le condizioni di salute di entrambi.

Fantozzi per  camuffare la voce e non farsi riconoscere dal visconte Cobram, dapprima cerca di usare una molletta per tapparsi il naso, poi si infila una patata in bocca, quindi si avvolge un asciugamano intorno al viso, poi prova a parlare in una pentola. Risultato di tanti maldestri tentativi: il visconte subito lo riconosce.

Inevitabile la sua partecipazione alla gara.

La sua goffagine lo ha fatto immediatamente identificare, in un certo senso gli ha fatto  “evaporare” la privacy: qualcuno lo conosceva bene, tanto bene da ri/conoscerlo e poi da costringerlo a fare cose che mai avrebbe voluto fare.

E’ un po’ quello che succede con i nostri dati sensibili che , messi in mani sbagliate,  possono essere la nostra rovina; chi conosce perfettamente la nostra identità ed è custode di tutta una serie di informazioni  può manipolare pericolosamente la nostra esistenza se non rispetta regole e procedure di correttezza.

E’ sempre più sentita e necessaria l’esigenza di protezione dei dati personali, soprattutto in un  periodo come quello attuale, nel quale è ancora vivo il ricordo della vicenda di Facebook e Cambridge Analytica.

Il 25 maggio 2018 è entrato in vigore il GDPR (General Data Protection Regulation), il nuovo Regolamento Europeo 679/2016.

Il Regolamento è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 4 maggio 2016, è entrato in vigore il 24 maggio 2016 ed è applicabile in tutti i Paesi dell’UE dal 25 maggio 2018 (l’art. 99 GDPR stabilisce che “ … il regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri).

In Italia da quindici anni è in vigore il Codice della Privacy (D.lgs 196/2003) e  non è abrogato; la normativa nazionale, tuttavia, qualora in contrasto con quella Europea dovrà essere disapplicata, prevalendo tra le due quest’ultima.

Ma cosa significa trattamento dei dati personali?

L’art. 4 del GDPR, al comma 1 detta la definizione di “dato personale”: “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Il Regolamento all’art 9 distingue, all’interno dei dati personali, alcune categorie particolari, i c.d. dati sensibili, genetici, biometrici, relativi alla salute, stabilendo che  È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona ” salvo ad esempio alla lettera a)“ … l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1”, mentre alla lettera e) “il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato”, alla lettera f) “il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali”

Inteso il significato di dato personale, cosa si intende per trattamento?

Ritornando all’art. 4 GDPR il comma 2 fornisce una definizione di  “trattamento” intendendo “ … qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”

L’operazione del trattamento dei dati personali, a mente dell’art. 6 del GDPR è lecita se corre almeno una delle seguenti condizioni …”  e, tra le condizioni spicca, la lettera a) : “… l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità …”

L’ art. 7 GDPR stabilisce che “ il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali …

se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata … in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro …

l’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento …”

L’art. 17 GDPR rubricato come “diritto alla cancellazione (“diritto all’oblio”) stabilisce che “  l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti: A) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati … … … D) i dati personali sono stati trattati illecitamente … … …”.

Occorre, quindi, esprimere il consenso al fine di permettere un corretto e lecito trattamento dei propri dati personali. Il consenso dovrà essere libero e specifico.

Non è prevista la forma scritta ma il consenso deve essere specifico e non tacito o mediante opzioni preselezionate.

Senza che l’elenco sia da intendere come esaustivo, tra le informazioni da fornire in maniera chiara e dettagliata sull’utilizzo dei dati personali, e che dovranno essere oggetto di approvazione del soggetto interessato, rientrano quelle che indicano:

– quali dati vengono utilizzati e come

– per quanto tempo sono conservati e chi può averne accesso

  a chi possono essere comunicati e trasferiti.

– qualora nominato, è opportuno anche evidenziare chi è il DPO (Data Protection Officer), ovvero il responsabile della protezione dei dati, previsto dall’art. 37 GDPR. Quest’ultimo è nominato dal titolare del trattamento e dal responsabile del trattamento.

Di tutto questo era ignaro il povero Fantozzi quando artigianalmente camuffava la sua stessa voce per non farsi riconoscere al telefono.

Riproduzione riservata ex l.633/1941.

Se hai bisogno di una consulenza puoi compilare il modulo che trovi di fianco oppure puoi contattarci direttamente al+39 333.341.68.08


Lascia un commento