Il GDPR ha semplificato e uniformato la normativa Privacy in Europa, definendo nuovi obblighi a tutela del diritto alla riservatezza e alla protezione dei dati personali. Di seguito si riportano i principali obblighi per rispondere ai nuovi adempimenti Privacy.

• Data Protection Impact assessment nei processi attuali: quali dati si trattano? In quale fase si raccolgono? Dove si custodiscono? Quali sono i punti di maggiore vulnerabilità e criticità nel trattamento dati?
• Gap Analysis per evidenziare lo scostamento tra le attuali procedure per la tutela della Privacy e gli adempimenti richiesti in conformità al GDPR;
• Richiesta del consenso: libero, esplicito, specifico e non ambiguo;
• Redazione/aggiornamento dell’Informativa Privacy: semplice, trasparente e comprensibile, che riporti chiaramente quali dati saranno conservati e con quale finalità;
• Redazione di altra documentazione che riporti regole di accesso agli archivi, nomine delle figure designate per la Privacy, misure di sicurezza interne;
• Formazione del personale coinvolto nei processi di raccolta e gestione dati sui rischi legati al trattamento e sugli obblighi GDPR;
• Nomina del Data Protection Officer (DPO), quando è obbligatoriamente prevista

La videosorveglianza, utilizzata sia in ambito pubblico che privato, è sottoposta a rigorose regole volte a tutelare la privacy e la libertà delle persone, definite dal Regolamento UE 2016/679 (GDPR) e da diversi provvedimenti emanati dal Garante della Privacy.

L’attività di videosorveglianza è consentita se sono rispettati i seguenti principi:

• deve essere lecita: funzionale allo svolgimento delle funzioni istituzionali in caso di enti pubblici, rispettosa degli obblighi di legge in caso di enti privati, oppure se vi è un consenso espresso da parte delle persone riprese;
• deve essere necessaria: limitata ai soli casi nei quali l’obiettivo non può essere raggiunto con diverse modalità;
• deve essere proporzionata: l’uso di telecamere deve costituire la misura ultima di controllo, idonea soltanto quando altre misure si sono rilevate insufficienti o inattuabili;
• deve avere una finalità: i sistemi di videosorveglianza possono essere predisposti solo per specifiche finalità di propria competenza (come il controllo della propria attività) e non per finalità esclusivamente di sicurezza pubblica.
• obbligo dell’informativa ovvero la necessità di informare gli interessati della presenza di una zona sorvegliata con cartelli espliciti, comprensibili e sempre visibili.

Il Garante per la protezione dei dati personali o Garante della Privacy è un’autorità amministrativa indipendente istituita dalla legge sulla privacy n°675/1996, in seguito sostituita dal D.Lgs. 196/2003, con lo scopo di assicurare e tutelare il trattamento dei dati personali e di garantire il rispetto della dignità della persona. Tale organo è composto da quattro membri eletti dal Parlamento che possono rimanere in carica per un massimo di 7 anni.

Ha fra i prinicipali compiti:

• controllare che i trattamenti dei dati personali siano effettuati nel rispetto delle norme di legge;
• ricevere ed esaminare ricorsi, reclami e segnalazioni;
• vietare i trattamenti illeciti o non corretti e, se necessario, disporne il blocco;
• promuovere la conoscenza della disciplina in materia di trattamento dei dati personali;
• erogare eventuali sanzioni amministrative e penali.

I dati personali sono informazioni attraverso cui una persona fisica può essere identificata o identificabile; possono rivelare dettagli su abitudini, orientamenti, stile di vita, situazione economica ecc..

Nell’ambito del diritto alla riservatezza e alla protezione dei dati personali garantiti dal GDPR, sono particolarmente significativi:

• i dati sensibili: rivelano informazioni su razza, orientamento religioso, politico, sessuale, stato di salute, status economico e sociale;
• i dati identificativi: dati anagrafici, indirizzo di residenza e immagini che consentono l’identificazione diretta di un soggetto. Tra questi il nuovo GDPR tutela anche gli identificativi online, tra cui indirizzo e-mail, cookie, indirizzi IP, dati sulla geolocalizzazione.

Tutti coloro che raccolgono, trattano o profilano dati personali di cittadini europei devono adeguarsi ai nuovi adempimenti Privacy.

Gli attori coinvolti nel GDPR Privacy sono quattro: Data Subject, Data Controller, Data Processor, Data Protection Officer.

• Data Subject: persona fisica proprietaria dei dati forniti e titolare di diritti sanciti dal nuovo Regolamento; sono pertanto escluse le persone giuridiche (es. aziende).
• Data Controller: è tradotto in italiano come il titolare del trattamento dati (benché il titolare giuridico rimanga il proprietario dei dati), ovvero le aziende a cui gli utenti cedono (previo consenso alla privacy) i propri dati. Il titolare ha la responsabilità di decidere riguardo finalità e mezzi del trattamento e di adottare le misure preventive per garantire il rispetto delle disposizioni per la tutela della privacy, ovvero la privacy by design. È responsabile giuridicamente dell’ottemperanza degli obblighi previsti dalla normativa.
• Data Processor: secondo la traduzione italiana del nuovo regolamento è il responsabile del trattamento dati, persona fisica nominata dal Data Controller per attuare, di concerto, le misure tecniche e organizzative al fine di garantire la sicurezza dei dati.
• Data Protection Office: è il responsabile per la protezione dati (DPO o RPD) che garantisce l’osservanza del Regolamento. Deve avere specifica conoscenza della normativa in materia di protezione dati. La sua nomina è obbligatoria nei casi specificatamente previsti dal GDPR