15/06/2023
Nell'era dell'evoluzione tecnologica, la protezione dei dati personali e la privacy sono diventati argomenti di primaria importanza nella comunicazione moderna. La privacy assume un ruolo cruciale nel contesto sociale, giuridico e valoriale attuale. Inizialmente, c'era un entusiasmo diffuso per il digitale, con tutti pronti a condividere liberamente i propri dati. Tuttavia, oggi si avverte un diffuso desiderio di riservatezza riguardo alle azioni compiute online.
Il diritto alla protezione dei dati personali è ampiamente riconosciuto come un fondamentale diritto nella Carta europea dei diritti dell'uomo. Inoltre, il Trattato di Lisbona affronta la sfida più complessa e ardua posta dalla rete e dalle nuove tecnologie della comunicazione. La Commissione Europea ha assunto una nuova direzione in tale ambito, come confermato dalla normativa del GDPR, e ha recentemente imposto sanzioni a Google Analytics per non aver rispettato specifici parametri relativi alla privacy.
Definizione e ambito di applicazione del GDPR
Il GDPR, acronimo di Regolamento Generale sulla Protezione dei Dati (General Data Protection Regulation), stabilisce precisi requisiti per le aziende e le organizzazioni riguardo alla gestione dei dati personali. Tali norme si applicano sia alle organizzazioni europee che trattano i dati personali dei cittadini dell'Unione Europea, sia alle organizzazioni esterne all'UE che si rivolgono alle persone residenti nell'UE. Nel contesto del GDPR, un'azienda con sede nell'UE che elabora dati personali non può trasferire automaticamente tali dati all'estero. Attualmente, ciò solleva una serie di problematiche; ad esempio, Google Analytics ha avuto 90 giorni di tempo per conformarsi alla normativa GDPR europea, che vieta l'esportazione automatica dei dati verso gli Stati Uniti.
Eccezioni alla protezione dei dati personali
Il GDPR non si applica in caso di decesso della persona interessata, quando l'interessato è una persona giuridica o quando il trattamento dei dati avviene per scopi al di fuori del contesto commerciale, imprenditoriale o professionale. I dati personali che possono essere rintracciati sul web includono nome, cognome, indirizzo, numero di documento di identità/passaporto, reddito, profilo culturale, indirizzo IP e dati sanitari.
Alcuni dati non possono essere oggetto di trattamento, come l'appartenenza razziale, l'origine etnica, l'orientamento sessuale, le opinioni politiche, le convinzioni religiose e/o filosofiche, i dati genetici, i dati biometrici, le informazioni sanitarie e i dati personali relativi a condanne penali e reati, a meno che il trattamento non sia autorizzato dalla legislazione nazionale o dell'UE.
Chi gestisce e tutela la protezione dei dati
Il flusso delle informazioni personali tra diverse aziende o organizzazioni richiede una tracciabilità chiara e precisa. In questa delicata fase di gestione dei dati, entrano in scena due figure fondamentali: il custode delle informazioni (colui che definisce gli obiettivi e i metodi di elaborazione dei dati personali) e l'agente di elaborazione, responsabile della conservazione e dell'elaborazione dei dati per conto del custode delle informazioni.
Il tutore della protezione dei dati può essere designato dall'azienda ed è la figura di riferimento per la gestione delle informazioni personali, con il compito di informare e sensibilizzare i dipendenti che lavorano con i dati sulle loro responsabilità. Il tutore della protezione dei dati collabora anche con l'autorità per la protezione dei dati (APD) e svolge il ruolo di punto di contatto tra l'APD e i cittadini.
Trasferimento dei dati al di fuori dell'Unione Europea
Il trattamento dei dati fuori dall'Europa è regolato dal Regolamento Generale sulla Protezione dei Dati (GDPR) dell'Unione Europea. Il GDPR stabilisce norme specifiche per il trasferimento di dati personali al di fuori dell'area economica europea (EEA), che comprende i paesi dell'Unione Europea, oltre a Islanda, Liechtenstein e Norvegia.
Esistono diverse modalità attraverso le quali il trattamento dei dati personali può avvenire al di fuori dell'Europa in conformità al GDPR:
- Decisione di adeguatezza: La Commissione europea può adottare una decisione di adeguatezza per un determinato paese o territorio al di fuori dell'EEA. Questo significa che la Commissione ha ritenuto che il paese terzo fornisce un livello di protezione dei dati equivalente a quello garantito dall'UE. In questo caso, i trasferimenti di dati personali verso quel paese possono avvenire senza ulteriori autorizzazioni.
- Clausole contrattuali standard: Le clausole contrattuali standard (SCC) sono strumenti approvati dalla Commissione europea che stabiliscono una serie di impegni legalmente vincolanti tra il trasferente e il destinatario dei dati al di fuori dell'EEA. Queste clausole contrattuali standard sono state sviluppate per garantire che i trasferimenti di dati avvengano con un livello adeguato di protezione dei dati.
- Regole aziendali vincolanti: Le regole aziendali vincolanti (Binding Corporate Rules - BCRs) sono regole interne adottate da un'azienda multinazionale, che si applicano ai trasferimenti di dati personali all'interno del gruppo di aziende. Le BCRs devono essere approvate dall'autorità di protezione dei dati competente nell'UE.
- Deroghe specifiche: Il GDPR prevede anche alcune deroghe specifiche che consentono il trasferimento di dati personali al di fuori dell'EEA senza ulteriori autorizzazioni. Queste deroghe si applicano solo in situazioni limitate, ad esempio quando la persona interessata ha dato il proprio consenso esplicito al trasferimento o quando il trasferimento è necessario per l'esecuzione di un contratto tra la persona interessata e il trasferente.
(fonte immagine: Freepik)