Guida rapida ai concetti chiave del GDPR
Il GDPR si applicherà al trattamento dei dati da parte dei titolari e dei responsabili del trattamento nell’Unione Europea, a prescindere dal fatto che il trattamento stesso avvenga nella UE o meno. Il regolamento si applicherà anche al trattamento dei dati personali dei cittadini dell’UE da parte di un titolare del trattamento o responsabile del trattamento non ubicato nella UE, se svolge attività correlate all’offerta di beni e servizi a cittadini UE o al monitoraggio di comportamenti che hanno luogo all’interno dell’UE.
Per comprendere appieno il GDPR, dovresti familiarizzare con i concetti basilari.
Concetti chiave del GDPR
Dati personali
ll Regolamento Generale sulla Protezione dei Dati dell’Unione Europea si applica solo ai dati personali. Per dati personali si intendono informazioni relative a una persona fisica identificata o identificabile, ovvero l’interessato. Un dato identificativo può essere il nome, un numero di identificazione, dati relativi all’ubicazione, o un dato identificativo online.
Categorie particolari di dati personali
Alcune categorie di dati personali sensibili sono soggette a maggiore protezione. Categorie speciali di dati personali includono, in via esemplificativa ma non esaustiva, i dati che riguardano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, nonché i dati relativi alla salute, i dati genetici e i dati biometrici.
Titolare del trattamento dei dati
Il titolare del trattamento è una persona fisica o giuridica che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Ai sensi del GDPR, ai titolari del trattamento spetta comunque la responsabilità principale per la conformità.
Responsabile del trattamento
Qualsiasi persona fisica o giuridica che tratta dati personali per conto del titolare del trattamento. Molti service provider, ad esempio, sono responsabili del trattamento dei dati. I responsabili del trattamento dei dati possono essere ritenuti direttamente responsabili della sicurezza dei dati personali.
Responsabilizzazione
Il GDPR pone l’accento sul concetto di “responsabilizzazione” nel trattamento dei dati personali. Prevede infatti che il titolare del trattamento sia tenuto a garantire che tutti i principi di privacy siano rispettati. Inoltre, il regolamento prevede che l’organizzazione possa comprovare la propria conformità a tutti i suoi principi.
Consenso
Il consenso del soggetto dei dati riguarda qualsiasi indicazione fornita liberamente in modo non ambiguo, informato, specifico, di volontà con la quale il soggetto dei dati, anche con una dichiarazione o una chiara azione affermativa, dichiara il suo consenso al trattamento dei propri dati personali. Per le organizzazioni che si basano sul consenso per le loro attività di business, i processi attraverso i quali ottengono il consenso dovranno essere rivisti per essere conformi alle disposizioni del GDPR.
Trasparenza
Il GDPR combina diversi obblighi di trasparenza già in vigore in tutta l’Unione Europea. I titolari del trattamento dei dati devono fornire informazioni sul trattamento dei dati personali in modo conciso, trasparente, intellegibile e facilmente accessibile.
Valutazione d’impatto (PIA – Privacy Impact Assessment)
La valutazione d’impatto (PIA – Privacy Impact Assessment) è fondamentale per proteggere la privacy e la conformità dei processi e servizi al GDPR. Lo scopo della valutazione d’impatto è quello di produrre una descrizione sistematica delle attività di trattamento dei dati previste e di determinare la base giuridica per il trattamento. Le valutazioni d’impatto dovrebbero descrivere l’approccio che un’azienda adotterà per attenuare i rischi.
Privacy by design
In breve, per “privacy by design” che ogni nuovo servizio o processo aziendale che utilizza i dati personali deve prendere in considerazione la protezione di quei dati.
Privacy by default
Privacy by default significa semplicemente che quando un cliente acquista un nuovo prodotto o servizio vengono applicate automaticamente le impostazioni di privacy più rigorose. I titolari o responsabili del trattamento potranno archiviare dati solo per il tempo strettamente necessario a fornire un prodotto o servizio.
Pseudonimizzazione
La pseudonimizzazione è una tecnica di protezione della privacy in cui i dati personali trattati non possono essere attribuiti a una persona specifica. A questo scopo, le informazioni vengono rese non attribuibili a una persona senza l’utilizzo di informazioni aggiuntive, che devono essere conservate separatamente e soggette a misure tecniche e controlli organizzativi. Anche se le informazioni pseudonimizzate costituiscono comunque un tipo di dati personali, il loro utilizzo è fortemente incoraggiato dal GDPR, e persino identificato come misura di sicurezza praticabile.
La comprensione di questi concetti chiave ti aiuterà ad affrontare meglio il GDPR. Per un maggiore approfondimento di come questo imminente cambiamento influirà sulle differenti funzioni e organizzazioni e quali sono gli elementi principali in un progetto GDPR di successo, scarica l’ebook di F-Secure a questo link.
Categorie