Il GDPR e il Codice Privacy
Il diritto alla protezione dei dati personali è un diritto fondamentale dell'individuo tutelato dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.
In particolare, grazie ad esso ogni individuo può pretendere che i propri dati personali siano trattati da terzi solo nel rispetto delle regole e dei principi stabiliti dalla legge.
In Italia il Codice Privacy è stato novellato a seguito dell’entrata in vigore del Regolamento con il D.lgs. 101/2018, strumento normativo attraverso il quale sono stati inserite le principali innovazione proposte in tema di trattamento dei dati personali da parte del Legislatore europeo.
Alcune definizioni
Dato personale: «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente.
Trattamento: «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali
Un trattamento legittimo è basato su fondamenti normativi solidi e ben definiti al fine garantire all’interessato che il trattamento dei suoi dati avvenga in piena sicurezza e nel rispetto dei suoi diritti.
I principi applicabili al trattamento
Affinché il trattamento dei dati personali sia conforme a quanto previsto dalla Normativa europea e domestica deve rispettare i seguenti principi: (*)
- Liceità, correttezza e trasparenza: la liceità implica che il trattamento sia sorretto dalle c.d. basi giuridiche definite dagli artt. 6 e 9 del Regolamento; l’applicazione del principio di correttezza può essere meglio compreso se si pensa al significato della parola fair in inglese, la quale si riferisce a una condotta di lealtà e buona fede che il titolare deve osservare in tutte le fasi del trattamento dei dati; la trasparenza si traduce nell’obbligo garantire la piena consapevolezza dell’interessato circa il soggetto che tratta i suoi dati, il modo in cui li tratta.
- Limitazione delle finalità: è la garanzia a favore dell’interessato che i suoi dati saranno trattati solo ed esclusivamente per il conseguimento delle finalità per cui sono stati raccolti;
- Minimizzazione dei dati: all’interessato viene garantito che saranno trattati solo i dati necessari al conseguimento delle finalità;
- Limitazione della conservazione: i dati saranno conservati per un arco di tempo necessario al conseguimento delle finalità.
Il principio di accountability
Secondo questo principio di Accountability (=responsabilizzazione) la compliance privacy di natura preventiva è una delle chiavi di volta del GDPR.
Il titolare del trattamento deve, dunque, essere in grado di dar prova di avere adottato delle misure - da quelle giuridiche a quelle tecnico-organizzative - volte a garanzia dei dati personali degli interessati.
Il Registro del Trattamento
Il Registro del Trattamento (RdT), previsto e disciplinato all’art. 30 GDPR, è quel documento redatto in forma scritta, cartacea o elettronica, preordinato a registrare tutte le attività trattamentali poste in essere dal Titolare e dal Responsabile del trattamento. Le condizioni minime sono indicate dal citato articolo ed esso rappresenta uno strumento idoneo a verificare il grado di accountability del titolare del trattamento (vedi punto 1.3).
(*) L’elenco contiene i principi di maggiore rilevanza necessari a fornire una spiegazione esemplificativa e non esaustiva.
