Il regolamento stabilisce le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ed alla protezione dei diritti e le libertà fondamentali delle persone fisiche (in particolare il diritto alla protezione dei dati personali). La libera circolazione dei dati in ambito UE non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali.

Trova applicazione per il trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi

In una serie limitata di trattamenti, ovvero quelli effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione, o quelli effettuati dagli stati membri in materia di sicurezza comune e di politica estera, quelli effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico, quelli effettuati dalle autorità competenti ai fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguarda della sicurezza pubblica e la prevenzione delle stesse.

  • Dato Personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato), ovvero che può essere identificata con il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online, elementi caratteristici della propria identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
  • Trattamento: qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali quali la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento e la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o altra forma di messa a disposizione, il raffronto e l’interconnesione, la limitazione, la cancellazione e persino la distruzione; 
  • Profilazione: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utlizzo di tali dati per valutare determinati aspetti personali relativi a una persona fisica, in particolar riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di tale persona fisica; 
  • Pseudonimizzazione: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti ad un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche ed organizzative tese a garantire che tali dati personali non siano attribuiti ad una persona fisica identificata o identificabile; 
  • Titolare del trattamento: E’ la persona fisica, giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi di trattamento dati personali
  • Responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento
  1. sono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato; 
  2. sono raccolti per finalità determinate, eplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; 
  3. sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati; 
  4. sono esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati
  5. Conservati in una forma che consenta l’identificazione degli interessati per una arco di tempo non superiore al conseguimento delle finalità per cui sono trattati; 
  6. Trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentale

Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali. 

Se è il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta del consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. 

Comunque, l’interessato ha la facoltà ed il diritto di revocare il proprio consenso in qualsiasi momento, che comunque non pregiudica la liceità del trattamento basata sul consenso prima ddella revoca stessa. 

E’ fatto divieto trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale. E’ altresì vietato trattare dati genetici e biometrici intesi ad identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale di una persona. 

Il GDPR prevede delle casistiche per cui tale trattamento possa avvenire: 

  1. L’interessato ha prestato il proprio consenso esplicito al trattamento di tati per una o più finalità specifiche; 
  2. il trattamento è necessario per assolvere obblighi ed esercitare diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza e protezione sociali; 
  3. Il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi in stato in incapacità fisica o giuridica di prestare il proprio consenso; 
  4. il trattamento è effettuato nell’ambito di legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali a condizione che il trattamento riguardi unicamente loro membri o persone che hanno con loro idonei contatti e che gli stessi dati non siano comunicati all’esterno; 
  5. Il trattamento riguarda dati personali resi manifestatamente pubblici dall’interessato; 
  6. il trattamento serve ad accertare, esercitare o difendere un diritto in sede giudiziaria; 
  7. il trattamento è necessario per motivi di interesse pubblico sulla base del diritto dell’Unione; 
  8. Il trattamento è necessario per finalità di medicina preventiva o del lavoro, per la valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale; 
  9. Il trattamento serve per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero; 
  10. il trattamento è necessario per fini di archiviazione di pubblico interesse. 

Il trattamento dei dati relativi a condanne penali o a reati o a connesse misure di sicurezza deve avvenire soltanto sotto il controllo dell’autorità pubblica. 

  • Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni e le comunicazioni relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, in particolare in caso di informazioni destinate specificamente ai minori; 
  • il titolare agevola l’esercizio dei diritti dell’interessato. Il titolare non può rifiutare di soddisfare la richiesta dell’interessato al fine di esercitare i suoi diritti, salvo che il titolare del trattamento dimostri che non è in grado di identificare l’interessato; 
  • l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati che lo riguardano e, dunque, di ottenere l’accesso ai dati personali e alle seguenti informazioni: la finalità del trattamento, le categorie di dati in questione, i destinatari o le categorie di destinatari a cui saranno o sono stati comunicati, il periodo di conservazione previsto e i criteri utilizzati per determinarlo, l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica, la cancellazione o la limitazione dei dati che lo riguardano o persino di opporsi al trattamento, il diritto di proporre reclamo ad un’autorità di controllo l’esistenza di un processo decisionale automatizzato. 
  • L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo e lo stesso ha il diritto di ottenere l’integrazione dei dati personali incompleti, fornendo una dichiarazione integrativa. 
  • L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali (diritto all’oblio) che lo riguardano senza ingiustificato ritardo ed il titolare ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali per uno dei seguenti motivi: i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti, l’interessato revoca il consenso e non sussiste più altro fondamento giuridico per il trattamento, l’interessato si oppone al trattamento, i dati personali sono trattati illecitamente, i dati devono essere cancellati per adempiere un obbligo giuridico.

I soggetti del trattamento

Titolare del Trattamento

E’ la persona fisica, giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi di trattamento dati personali

Responsabile del Trattamento (DP)

E’ la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento 

Responsabile della Protezione dei Dati (DPO)

E’ un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e di controllo, consultive, formative e informative relativamente all’applicazione del GDPR

Il Data Breach

In caso di violazione dei dati personali il Responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione

Il titolare del trattamento notifica la violazione all’autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza

Salvo che detta comunicazione richieda sforzi sproporzionati, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo. La comunicazione deve essere redatta con un linguaggio semplice e chiaro e descrivere la natura della violazione,  e contiene le informazioni relative alle probabili conseguenze della violazione dei dati personali.