Privacy GDPR: glossario del regolamento europeo 2016

privacy gdpr

Quando si parla del nuovo Regolamento UE 2016/679 o GDPR (General Data Protection Regulation) si fa riferimento a tutta una serie di nuove definizioni. Per adeguarsi nel modo corretto è tuttavia necessario comprendere i concetti basilari della normativa privacy.

Il glossario del regolamento europeo 2016

Ecco un piccolo glossario delle voci più importanti del GDPR Privacy:

A

Archivio: Raccolta di dati personali organizzati in un insieme ordinato e indicizzato. Sono oggetto della normativa tutti i dati personali presenti in ARCHIVI ORGANIZZATI e INDICIZZATI, sia automatizzati che manuali.

Autorità di controllo – Una o più autorità pubbliche indipendenti che hanno il compito di assicurarsi il rispetto delle nuove norme sulla privacy, in ogni paese membro. In Italia l’autorità di controllo pubblica è il Garante per la protezione dei dati personali (Garante Privacy).

Autorità di controllo capofila – Nel caso di trattamento transfrontaliero, è l’autorità di controllo dove ha sede il titolare o il responsabile del trattamento, alla quale viene trasferita la competenza sul trattamento stesso rispetto ad altre autorità di controllo (definite “autorità interessate”). Ad esempio: la sede centrale di una multinazionale di auto si trova a Monaco, e tutti i trattamenti connessi all’attività sono gestiti da tale sede; tuttavia, l’ufficio commerciale e vendite ha sede a Roma. Se lo stabilimento situato a Roma dispone dell’autorità per decidere su tutti i trattamenti connessi all’attività e ordinare l’esecuzione delle relative decisioni sull’intero territorio dell’UE, allora (come previsto dall’articolo 4, punto 16, del regolamento) sarà l’autorità di controllo italiana a fungere da autorità capofila rispetto al trattamento transfrontaliero di dati personali per finalità assicurative, mentre le autorità tedesche (in questo caso, l’autorità di controllo del Land Assia) avranno il compito di monitorare il trattamento di dati personali per finalità bancarie ovunque si collochi la clientela.

C

Comitato – Il Comitato europeo per la protezione dei dati è un organismo dell’UE incaricato dell’applicazione del regolamento generale sulla protezione dei dati a partire dal 25 maggio 2018.

Consenso dell’interessato – “Atto positivo inequivocabile ed esplicito” che manifesta la volontà dell’interessato a dare il proprio assenso al trattamento dei suoi dati personali, dopo che è stato preventivamente informato circa le finalità, le modalità e qualsiasi altro aspetto tramite l’informativa. Il consenso deve essere fornito per ogni finalità di trattamento, altrimenti non è valido.

D

Data Breach (violazione dei dati personali) – Si definisce tale una violazione dei dati personali presenti in un determinato database, perché copiati, trasmessi, consultati o utilizzati da soggetti non autorizzati a farlo. Si tratta di un evento che può comportare diversi livelli di rischio per gli interessati, in base alla tipologia di dato oggetto della violazione e alle libertà personali che possono essere compromesse. In base alla gravità dell’evento, può essere necessario fare o meno una comunicazione al Garante.

Dati biometrici – Categorie particolari di dati personali, ottenuti da tecnologie in grado di rilevare in modo automatizzato una o più caratteristiche biologiche e/o comportamentali (biometria) di una persona fisica. Tra le caratteristiche fisiologiche: l’altezza, l’immagine facciale, le impronte digitali, la topografia della mano, il colore e la dimensione dell’iride, la retina. Tra le caratteristiche comportamentali: l’impronta vocale, la scrittura grafica, la firma, i movimenti del corpo.

Dati personali – Un dato personale è qualsiasi informazione che identifica (o rende identificabile) direttamente o indirettamente una persona fisica. Quindi qualsiasi dato che riconduce ad una persona fisica è un dato personale: nome e cognome (quindi anche la email aziendale se composta da nome.cognome@azienda.it), cellulare, foto, ecc.

Dati personali “sensibili” (Categorie particolari di dati personali) – Sono dati personali per i quali sono richieste cautele molto particolari. Possono rilevare l’identità della persona attraverso elementi biometrici o genetici, oppure attraverso la sua posizione (dati geolocalizzati) oppure sono legati ad altri aspetti quali: l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.

Destinatario – Qualsiasi soggetto (pubblico o privato) che riceve comunicazione di dati personali. Vige l’obbligo di comunicare all’interessato l’eventuale comunicazione a Destinatari, a meno che ciò non rappresenti uno sforzo spropositato (Considerando 61 e 62) oppure il destinatario sia un’autorità pubblica.

Diritto alla portabilità – L’interessato ha il diritto di richiedere i propri dati personali e poterli trasferire da un titolare all’altro. Tale diritto mira a facilitare la circolazione, la copia o il trasferimento dei dati personali da un ambiente informatico all’altro senza impedimenti.

Diritto alla cancellazione (c.d. all’oblio) – L’interessato ha la possibilità di richiedere la totale cancellazione dei propri dati personali presso un determinato titolare del trattamento. Tale diritto può essere esercitato anche dopo la revoca del consenso al trattamento. In virtù dell’articolo 12 (comma 5), se la richiesta risultasse essere infondata o eccessiva (in particolare per il carattere ripetitivo), il titolare del trattamento può rifiutare la richiesta dell’interessato oppure addebitargli un contributo alle spese da sostenere per la cancellazione. In ogni caso è il titolare che deve dimostrarne la infondatezza o l’eccessività della richiesta.

Diritto di accesso – L’interessato ha il diritto di richiedere e ottenere, al titolare del trattamento, la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano, con una descrizione esatta delle modalità e finalità. L’accesso al dato può avvenire da remoto oppure chiedere una copia.

Diritto di opposizione – L’interessato ha la possibilità di opporsi, in qualsiasi momento e per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano.

I

Informativa – La comunicazione che fornisce tutte le informazioni utili che l’interessato deve sapere nel momento in cui decide di dare il suo consenso al trattamento dei dati personali.

Interessato – Persona fisica a cui si riferiscono i dati personali oggetto del trattamento, che può essere identificata o identificabile (cioè può essere identificata anche in modo indiretto) attraverso il trattamento stesso.

N

Norme vincolanti d’impresa – Dette anche BCR (Binding Corporate Rules) sono uno strumento che ha il fine di consentire il trasferimento di dati personali verso Paesi terzi extra UE tra società facenti parti dello stesso gruppo d’impresa. In pratica consistono in un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) al cui rispetto sono tenute tutte le società appartenenti ad uno stesso gruppo (corporate).

P

Profilazione – Raccolta di informazioni su un individuo al fine di effettuarne una valutazione automatizzata, attraverso l’analisi delle sue caratteristiche comportamentali e l’inserimento dello stesso in categorie o gruppi. Nel profilare le persone, si va infatti ad integrare il dato personale generico (nome, cognome, indirizzo, mail, ecc) con informazioni aggiuntive, spesso dedotte dalle attività svolte dalla persona stessa tramite un sistema. La profilazione si configura come un trattamento aggiuntivo automatizzato che analizza la persona per effettuarne valutazioni e/o previsioni su aspetti che riguardano il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti.

Pseudonimizzazione – Detta anche cifratura, consiste nel modificare e mascherare i dati personali e sensibili di una persona fisica per non permetterne l’identificazione diretta, se non utilizzando informazioni aggiuntive. I dati personali sono quindi conservati in una modalità che impedisce l’identificazione di una persona fisica senza l’utilizzo di informazioni aggiuntive.

R

Responsabile del trattamento – Qualsiasi soggetto che tratta i dati personali del Titolare del trattamento in suo nome e conto.

Responsabile della protezione dei dati (DPO) – L’RPD o DPO (Data Protection Officer) è una figura (obbligatoriamente prevista solo in alcuni casi) che svolge il ruolo di supervisionare i processi relativi al trattamento dei dati personali. Può essere una persona fisica oppure un team di persone, interne o esterne. Coopera con l’autorità, per questo motivo, quando viene nominato, il suo nominativo va comunicato al Garante. Sono tenute alla nomina di un DPO:

  • Nel settore pubblico: le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, ecc.
  • Nel settore privato: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, ecc.

T

Terzo – La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile.

Titolare del trattamento – È di fatto il proprietario dei dati personali, ed è colui che ne definisce le modalità di trattamento, decidendo tutte le misure tecniche e organizzative.

Trattamento – Si definisce come trattamento qualunque operazione svolta sui dati personali con o senza l’ausilio di strumenti elettronici, che riguarda la raccolta dei dati, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, il blocco, la modifica, l’utilizzo, l’interconnessione, la comunicazione, la diffusione, la cancellazione, la distruzione, la selezione, l’estrazione, il raffronto dei dati personali degli interessati.

Autore dell'articolo

Maggiori informazioni? Entra in contatto








    I campi contrassegnati con * sono obbligatori.