L’importanza di proteggere i dati personali: il GDPR

Il 24 maggio 2016 l’Unione europea ha approvato il nuovo Regolamento 2016/679 in materia di protezione e circolazione di dati personali delle persone fisiche, noto anche come Regolamento GDPR (General Data Protection Regulation).

Il Regolamento GDPR è stato applicato a partire dal 25 maggio 2018 in tutti gli Stati membri dell’Unione ed ha introdotto numerose novità nel settore privacy, introducendo per esempio il principio dell’accountability (principio di responsabilizzazione), il principio data protection by design (principio di protezione dei rischi) e il principio data protection by default (principio di stabilire sin dall’inizio i casi necessari per l’utilizzo dei dati).

Il Regolamento GDPR si struttura in 99 articoli ciascuno dei quali disciplina un particolare aspetto della materia.

I principi applicabili al trattamento dei dati personali

Il Regolamento GDPR si applica ai dati personali delle persone fisiche. Per “dato personale” si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile (c.d. “interessato”). Ma quando è identificabile una persona fisica? E’ definita identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un dato come il nome e cognome, un identificativo online (per esempio l’indirizzo IP l’indirizzo e-mail) o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

L’articolo 5 del Regolamento GDPR rubricato “Principi applicabili al trattamento dei dati personali”, ai fini di garantire adeguata tutela e protezione ai nostri dati personali, prevede che essi debbano essere:

trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
raccolti finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;
adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
esatti e, se necessario, aggiornati;
conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

Cos’è il data breach? Quali sono i rimedi?

Negli ultimi mesi, secondo alcuni studi e ricerche complice anche la pandemia da Covid19, si è assistito ad un aumento delle violazioni in materia di protezione dei dati personali ,“data breach” in cui sarebbero coinvolte anche famose ed importanti multinazionali che quotidianamente si trovano a gestire centinaia di dati personali provenienti da tutto il mondo.

Ma cosa si intende per data breach? Ai sensi dell’articolo 4 del Regolamento GDPR per “data breach” si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Tra i più comuni casi di data breach possiamo annoverare dunque l’accesso o l’acquisizione dei dati da parte di soggetti terzi non autorizzati dal titolare del trattamento, l’impossibilità di accedere ai dati per attacchi da parte di malware e così via.

Cosa fare in caso di data breach? L’articolo 33 del Regolamento GDPR prevede che in caso di data breach, il titolare del trattamento deve notificare all’autorità competente l’incidente entro 72 ore dal momento in cui ne è venuto a conoscenza. In Italia l’autorità competente è il Garante per la protezione dei dati personali. Qualora la notifica non venga inoltrata entro il lasso temporale su indicato, il titolare del trattamento dovrà fornire all’autorità competente adeguata giustificazione in merito.

Quanto al contenuto della notifica il Regolamento prevede che la stessa preveda, tra l’altro, la descrizione non solo della natura della violazione dei dati personali, delle categorie e del numero di soggetti coinvolti ma anche delle misure adottate o di cui il titolare intende avvalersi per porre rimedio.

di Francesca Pitrelli

Cookie	Durata	Descrizione
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_39163033_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.