Vai al contenuto
Torna a Sicurezza Informatica

Protezione dati personali: cos’è, perché è importante, chi è il garante

6 min
0:00
Ascolta
protezione dei dati personali

La protezione dei dati personali è oggi un aspetto fondamentale sia per aziende che per privati. Soprattutto in questi ultimi anni in cui la pandemia ha generato un aumento nell’utilizzo di internet e contenuti online, la tutela dei dati personali è divenuta cruciale.

In questa guida ti spieghiamo cos’è la protezione dei dati personali, le norme vigenti che la regolano e le caratteristiche principali che la determinano.

Cos’è la protezione dati personali

I dati personali vengono utilizzati ed elaborati continuamente: al lavoro, in ambito sanitario, durante l’acquisto di beni e nella navigazione sul Web. La protezione dei dati mira a tutelare le informazioni personali e a prevenirne il trattamento improprio.

Per dati personali ci riferiamo a informazioni che identificano le persone fisiche:

  • Nome e cognome
  • Indirizzo e altri dettagli di contatto
  • Numero della carta d’identità
  • Dati depositati in documenti personali
  • Informazioni su conti e carte di credito
  • Dati online come indirizzi IP o dati di localizzazione
  • Reddito
  • Profilo culturale

Perché è importante la protezione dati personali

Dalle banche ai siti e-commerce, sono tantissime ormai le attività che memorizzano grandi quantità di dati personali dei propri utenti. Ecco perché la tutela delle informazioni personali è di vitale importanza. In particolare, essa:

  • Assicura all’individuo il controllo su tutte le informazioni riguardanti la sua vita privata
  • Fornisce gli strumenti per la tutela di queste informazioni
  • Garantisce che il trattamento dei dati da terze parti avvenga solo nel rispetto delle regole e dei principi previsti dalle leggi in materia (come approfondiremo nei paragrafi successivi)

Norme vigenti per la protezione dei dati personali

Nel corso degli anni la protezione dei dati personali è diventata diritto fondamentale della persona sia all’interno del sistema giuridico nazionale che in quello europeo.

Ma quali sono i capisaldi normativi che regolano la tutela dei dati personali?
Vediamoli insieme:

  • il Regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, contiene le norme comunitarie che regolano la protezione delle persone fisiche con riguardo al trattamento dei loro dati personali
  • il Codice in materia di protezione dei dati personali, chiamato anche Testo Unico sulla privacy, contiene invece le norme nazionali relative alla tutela dei dati personali

Codice in materia di protezione dei dati personali

Il Codice (o Testo Unico sulla privacy) disciplina il trattamento dei dati personali effettuato da chiunque abbia sede nel territorio italiano (principio di origine o stabilimento), o risieda in uno Stato extra europeo ma utilizza strumenti per il trattamento dati che si trovano in Italia (principio di ubicazione degli strumenti elettronici).

Il Testo Unico è diviso in 3 parti:

  1. la prima definisce le disposizioni generali applicabili a tutti i trattamenti
  2. la seconda va a indicare disposizioni particolari per situazioni specifiche
  3. la terza è dedicata alle azioni per tutelare gli interessati e al sistema sanzionatorio

Il codice è stato adeguato alle disposizioni del Regolamento europeo in materia di tutela dei dati personali (GDPR) tramite il Decreto legislativo 10 agosto 2018, n. 101.

Le modifiche riguardano:

  • i trattamenti particolarmente delicati (contenuti nella seconda parte del Testo Unico) come, ad esempio, i dati sulla salute, sui minori e sulle persone decedute
  • la figura del Garante per la protezione dati, che acquista il potere di semplificare l’adempimento degli obblighi per la tutela dati, con riferimento alle piccole e medie imprese

Vediamo ora chi è il Garante della protezione dati e quali compiti svolge.

Garante della protezione dei dati personali (GPDP)

Garante della protezione dati è un’autorità amministrativa indipendente istituita dalla cosiddetta legge sulla privacy (legge 31 dicembre 1996, n. 675) e disciplinata dal Codice in materia di protezione dei dati personali (D.lg. 30 giugno 2003 n. 196) modificato tramite Decreto legislativo 10 agosto 2018, n. 101.

Quali sono i principali compiti del Garante?

Vediamoli a seguire:

  • controllare che i trattamenti di dati personali siano conformi al Regolamento europeo per la tutela dei dati personali (GDPR)
  • collaborare con le altre autorità di controllo
  • adottare i provvedimenti previsti dalla normativa in materia di protezione dei dati personali
  • esaminare reclami
  • formulare pareri su proposte di atti normativi e amministrativi
  • partecipare alla discussione su iniziative normative con audizioni presso il Parlamento

Come notificare una violazione dei dati personali

La violazione dei dati personali (data breach) deve essere notificata dal titolare del trattamento dei dati al Garante entro 72 ore dal momento in cui ne è venuto a conoscenza.
Il titolare dei dati personali deve compilare e firmare un Modulo di reclamo (facilmente consultabile online) e scegliere una tra queste 3 modalità di recapito al Garante:

  1. Consegna a mano presso gli Uffici del Garante
  2. Invio di una mail di posta elettronica certificata all’indirizzo protocollo@pec.gpdp.it
  3. Raccomandata A/R all’indirizzo: Garante per la protezione dei dati personali, Piazza Venezia, 11 – 00187 Roma

Comitato Europeo per la protezione dati (EDPB)

Il Comitato Europeo per la protezione dati è un organo europeo indipendente che, dal 25 maggio 2018, si occupa dell’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione europea e promuove la cooperazione tra le autorità competenti per la protezione dei dati dell’UE.

Il comitato è composto dai seguenti membri:

  • Il responsabile di ciascuna autorità per la protezione dei dati (DPO), un soggetto autonomo e indipendente nei confronti delle aziende, che svolge funzioni di supporto, controllo, consultazione, formazione e informazione per la corretta applicazione del GDPR
  • I rappresentanti delle autorità nazionali per la protezione dei dati
  • Il garante europeo della protezione dei dati (GEPD)

Valutazione d’impatto sulla protezione dei dati (DPIA)

La Valutazione d’impatto sulla protezione dei dati (o DPIA, Data Protection Impact Assessment) è una procedura prevista dal Regolamento UE 679/2016 che permette di realizzare concretamente la protezione dei dati fin dalla fase di progettazione (data protection by design) di qualsiasi trattamento.

Vediamo perché è importante la DPIA:

  • aiuta il titolare a rispettare le prescrizioni del GDPR
  • attesta che il titolare ha adottato misure idonee al trattamento dei dati personali
  • valuta la necessità del trattamento dati e gli eventuali rischi

Quando è richiesta la DPIA?

La DPIA è richiesta quando il trattamento comporta un rischio elevato per i diritti e le libertà delle persone fisiche.
Ad esempio:

  • trattamento dati personali su larga scala
  • monitoraggio sistematico dei comportamenti (videosorveglianza)
  • trattamento dati sensibili, giudiziari o di natura personale
  • dati relativi a soggetti vulnerabili (minori, anziani, soggetti con patologie psichiatriche)

Giornata internazionale per la protezione dati

Conosciuta come Data Privacy Day, la Giornata Internazionale per la protezione dei dati viene celebrata il 28 gennaio ed è un’iniziativa promossa dal Consiglio d’Europa con il sostegno della Commissione Europea.
Ma scopriamo di più su questa ricorrenza

Cosa prevede la Giornata internazionale per la protezione dati?

In questa giornata, governi, parlamenti e organismi per la protezione dei dati svolgono attività per accrescere la consapevolezza sui diritti alla protezione dei dati e alla privacy. Ad esempio, conferenze e convegni aperti a tutti, progetti didattici e iniziative web.

Perché la Giornata internazionale per la protezione dati si celebra il 28 gennaio?

Perché è il giorno di apertura dei lavori che hanno portato nel 1981 alla firma della Convenzione 108. In questa Convenzione si stabiliscono le modalità attraverso le quali garantire ad ogni persona fisica il “rispetto del suo diritto alla vita privata, in relazione all’elaborazione automatica dei dati a carattere personale che la riguardano”.