GDPR Facile: La guida schematica per comprendere il Regolamento

Pubblicato da

  

Se stai cercando di comprendere meglio tutti gli aspetti del GDPR (General Data Protection Regulation), probabilmente ti sarai accorto che leggerlo dall'articolo 1 al 99 è il modo più rapido per farsi venire il mal di testa. Il segreto per renderlo più semplice è capirne la struttura. Il GDPR non è un elenco casuale di regole, ma un percorso logico diviso in 11 Capi.

🔗 Ti piace Techelopment? Dai un'occhiata al sito per tutti i dettagli!

📌 Capo I: Principi Generali (Artt. 1 - 4)

Il "perché" e il "per chi" del regolamento.

  • Art. 1 (Oggetto e obiettivi): Proteggere i dati personali delle persone fisiche e garantire la libera circolazione di questi dati nell'UE.
    • 💡 Esempio: Permettere a un ospedale francese di accedere alla tua cartella clinica se ti senti male mentre sei in vacanza a Parigi, impedendo però che un'azienda privata compri quegli stessi dati a tua insaputa.
  • Art. 2 & 3 (Ambito di applicazione): Si applica a qualsiasi trattamento automatizzato (o cartaceo organizzato). Vale per aziende UE, ma anche per aziende extra-UE che offrono servizi o monitorano comportamenti di cittadini nell'UE (principio di extraterritorialità).
    • 💡 Esempio: Meta o TikTok (aziende americane/cinesi) devono rispettare rigorosamente il GDPR quando un cittadino italiano si iscrive alle loro piattaforme dall'Europa.
  • Art. 4 (Definizioni fondamentali): Le parole chiave da sapere a memoria:
    • Dato personale: Qualsiasi info che identifica una persona (nome, IP, geolocalizzazione).
      • 💡 Esempio: Anche la targa della tua auto o l'indirizzo IP del tuo computer sono dati personali, perché permettono di risalire a te.
    • Trattamento: Qualsiasi operazione sui dati (raccolta, memorizzazione, cancellazione).
      • 💡 Esempio: Anche il semplice gesto di un'azienda che inserisce il tuo numero di telefono in un database Excel è considerato "trattamento".
    • Titolare (Data Controller): Chi decide perché e come trattare i dati (l'azienda).
      • 💡 Esempio: La tua banca. È lei che stabilisce quali dati chiederti obbligatoriamente per aprirti un conto corrente.
    • Responsabile (Data Processor): Chi tratta i dati per conto del titolare (es. il servizio di cloud hosting).
      • 💡 Esempio: La società esterna proprietaria dei server fisici a cui la banca si appoggia per memorizzare i file dei clienti.

📌 Capo II: I Principi Fondamentali (Artt. 5 - 11)

I comandamenti che chiunque tratti dati deve rispettare.

  • Art. 5 (I 6 Principi del trattamento):
    1. Liceità, correttezza e trasparenza. (💡 Esempio: Non nascondere l'uso che farai dei dati dentro clausole scritte in piccolo).
    2. Limitazione della finalità (raccogli i dati solo per uno scopo preciso). (💡 Esempio: Se un'app di fotoritocco ti chiede l'accesso alla lista dei contatti, sta violando questo principio).
    3. Minimizzazione dei dati (raccogli solo lo stretto necessario). (💡 Esempio: Un sito di e-commerce non ha bisogno di sapere il tuo orientamento religioso per spedirti un paio di scarpe).
    4. Esattezza (i dati devono essere aggiornati). (💡 Esempio: Se un cliente cambia casa, l'azienda deve correggere l'indirizzo per evitare di inviare fatture riservate al vecchio inquilino).
    5. Limitazione della conservazione (cancella i dati quando non servono più). (💡 Esempio: Un'università non può conservare i dati del tuo conto corrente per 30 anni dopo che ti sei laureato).
    6. Integrità e riservatezza (sicurezza informatica). (💡 Esempio: Proteggere i computer aziendali con password robuste e crittografia per evitare furti di dati).

    Nota: L'articolo introduce anche il principio di Accountability (Responsabilizzazione): il titolare deve dimostrare di aver rispettato questi punti.

  • Art. 6 (Basi giuridiche): Non puoi trattare dati "perché sì". Serve una di queste 6 condizioni: Consenso, Contratto, Obbligo di legge, Salvaguardia di interessi vitali, Interesse pubblico, Legittimo interesse.
    • 💡 Esempio: Spedirti un pacco a casa si basa sul Contratto; emettere la fattura si basa sull'Obbligo di legge; inviarti sconti promozionali sul telefono richiede il tuo Consenso.
  • Artt. 7 - 10 (Consenso e Dati Particolari): Regole per il consenso dei minori (Art. 8) e divieto generale (con eccezioni) di trattare i dati sensibili (Art. 9 - orientamento politico, religioso, dati sanitari, biometrici) e giudiziari (Art. 10).
    • 💡 Esempio: Un datore di lavoro non può chiederti per quale partito voti o se soffri di una determinata patologia, a meno che non sia strettamente necessario per visite mediche aziendali obbligatorie.

📌 Capo III: I Diritti dell'Interessato (Artt. 12 - 23)

Il nucleo del GDPR: cosa posso pretendere io, cittadino, dalle aziende?

  • Artt. 13 & 14 (Informativa): Il diritto di sapere chi ha i miei dati e cosa ne fa (l'informativa privacy).
    • 💡 Esempio: Quel documento chiaro e trasparente che leggi e firmi quando ti iscrivi in palestra o vai da un nuovo medico.
  • Art. 15 (Diritto di accesso): Posso chiedere a un'azienda: "Che dati avete su di me? Sputate il rospo".
    • 💡 Esempio: Inviare un'email a un social network chiedendo di ricevere un file contenente tutti i messaggi, i Mi Piace e le ricerche che hai effettuato da quando hai aperto il profilo.
  • Artt. 16 & 17 (Rettifica e Oblio): Posso correggere i dati errati o chiederne la cancellazione definitiva (Diritto all'Oblio).
    • 💡 Esempio: Chiedere a Google di deindicizzare (rimuovere dai risultati di ricerca) un vecchio articolo di cronaca che parla di un reato da cui sei stato completamente scagionato dieci anni fa.
  • Art. 18 & 21 (Limitazione e Opposizione): Posso dire di "congelare" i miei dati mentre vengono svolti degli accertamenti o oppormi in qualsiasi momento all'uso dei miei dati (come il marketing diretto per cui l'azienda deve cessare immediatamente il trattamento per queste finalità).
    • 💡 Esempio: Cliccare sul link “Disiscriviti” in fondo a una newsletter commerciale. L'azienda deve smettere subito di scriverti per scopi pubblicitari.
  • Art. 20 (Portabilità): Posso chiedere i miei dati in un formato leggibile (es. un file .CSV) per trasferirli a un concorrente (es. da un operatore telefonico all'altro).
    • 💡 Esempio: Chiedere al tuo fornitore di energia elettrica di darti lo storico dei tuoi consumi in formato digitale per caricarlo sul sito di un altro fornitore e confrontare le tariffe.
  • Art. 22 (Processi decisionali automatizzati): Ho il diritto di non essere giudicato esclusivamente da un algoritmo o da un'IA (profilazione selvaggia) senza intervento umano.
    • 💡 Esempio: Se richiedi un prestito online e un software rifiuta la tua pratica in automatico basandosi sul tuo profilo, puoi pretendere che la decisione venga riesaminata da una persona in carne e ossa.

📌 Capo IV: Titolare e Responsabile (Artt. 24 - 43)

Gli obblighi tecnici e pratici per le imprese.

  • Art. 25 (Privacy by Design & by Default): La protezione dati va progettata prima di creare un software o un servizio (Design), e le impostazioni di base devono essere sempre le più restrittive possibili (Default).
    • 💡 Esempio: Quando scarichi una nuova app, la condivisione della tua posizione GPS e la visibilità pubblica del tuo profilo devono essere disattivate "di fabbrica". Sarai tu ad attivarle se lo vorrai.
  • Art. 30 (Registro dei trattamenti): Il "diario di bordo" dove l'azienda scrive che dati ha, perché e dove li conserva. Obbligatorio sopra i 250 dipendenti (o sotto, se il trattamento è a rischio).
    • 💡 Esempio: Un documento interno dell'azienda in cui è mappato tutto: "Trattiamo i dati dei dipendenti (nomi, IBAN) per pagare gli stipendi, li conserviamo sul server X e vi accede solo l'ufficio Risorse Umane".
  • Artt. 32, 33 & 34 (Sicurezza e Data Breach): Misure di sicurezza adeguate (Art. 32): Pseudonimizzazione e Cifratura, Riservatezza, Integrità, Disponibilità e Resilienza, Disaster Recovery (Ripristino tempestivo), Testing e Valutazione regolare. In caso di attacco hacker o perdita dati (Data Breach), il titolare deve notificarlo al Garante entro 72 ore (Art. 33) e, se il rischio è alto, anche agli utenti (Art. 34).
    • 💡 Esempio: Se i server di un hotel vengono violati e vengono rubate le carte di credito dei clienti, l'hotel ha 3 giorni di tempo per dirlo all'autorità e deve avvisare via email i clienti colpiti affinché blocchino le carte.
  • Art. 35 (DPIA - Valutazione di Impatto): Un'analisi dei rischi obbligatoria prima di avviare trattamenti molto invasivi (es. videosorveglianza di massa).
    • 💡 Esempio: Un Comune vuole installare telecamere dotate di riconoscimento facciale in tutta la città. Prima di farlo, deve redigere una DPIA per capire l'impatto sulle libertà dei passanti.
  • Artt. 37 - 39 (Il DPO - Data Protection Officer): Il Responsabile della Protezione dei Dati. Una figura indipendente, obbligatoria nella PA e nelle aziende che monitorano dati su larga scala, che fa da consulente e da ponte con il Garante.
    • 💡 Esempio: In un grande ospedale, il DPO è l'esperto a cui i medici si rivolgono se hanno un dubbio (es. "Possiamo mandare questo referto al paziente via WhatsApp?") ed è colui che vigila sul rispetto delle regole.

📌 Capo V: Trasferimenti Internazionali (Artt. 44 - 50)

Cosa succede se i dati escono dall'Europa?

I dati dei cittadini UE possono essere trasferiti all'estero solo se il paese terzo garantisce tutele adeguate. Gli strumenti principali sono:

  • Decisioni di adeguatezza (Art. 45): La Commissione UE dichiara che un paese (es. il Canada) è sicuro.
    • 💡 Esempio: L'UE stabilisce che la Svizzera ha leggi sulla privacy forti tanto quanto le nostre. Un'azienda italiana può quindi inviare dati in Svizzera senza dover richiedere permessi speciali.
  • Garanzie adeguate (Art. 46): Clausole contrattuali standard (SCC) firmate tra le aziende.
    • 💡 Esempio: Se un'azienda italiana usa un software di marketing con server negli USA, deve firmare un contratto contenente queste clausole speciali per obbligare l'azienda americana a trattare i dati secondo gli standard europei.

📌 I Capi "Istituzionali" (Capo VI - XI)

Questa è la parte amministrativa e burocratica. Meno incentrata sui dati e più sul funzionamento delle autorità.

  • Capo VI (Artt. 51 - 59) - Autorità di controllo: Istituisce i Garanti Privacy nazionali (in Italia, il Garante per la protezione dei dati personali).
    • 💡 Esempio: L'ufficio del Garante Privacy a Roma, che riceve le segnalazioni dei cittadini, fa le ispezioni nelle aziende e decide le sanzioni.
  • Capo VII (Artt. 60 - 76) - Cooperazione e coerenza: Regola il meccanismo dello "Sportello Unico" (One-Stop-Shop) e crea l'EDPB (European Data Protection Board), il comitato che unisce tutti i Garanti UE per assicurare che la legge sia applicata nello stesso modo ovunque.
    • 💡 Esempio: Se un social network con sede legale in Irlanda commette una violazione che colpisce gli utenti italiani, il Garante italiano e quello irlandese collaborano per emettere una sola sanzione valida per tutta l'Unione.
  • Capo VIII (Artt. 77 - 84) - Ricorsi e Sanzioni: Il diritto di fare reclamo al Garante (Art. 77) e le famose sanzioni pecuniarie (Art. 83), che possono arrivare fino a 20 milioni di euro o al 4% del fatturato mondiale annuo dell'azienda.
    • 💡 Esempio: Le maxi-multe da centinaia di milioni di euro inflitte negli anni a colossi del web per aver tracciato i cookie pubblicitari degli utenti senza un consenso valido.
  • Capi IX, X, XI (Artt. 85 - 99) - Disposizioni specifiche e finali: Regolano i rapporti tra privacy e libertà di espressione (giornalismo), accesso ai documenti pubblici e norme di attuazione.

💡 Consiglio

Non cercare di ricordare i numeri di tutti i 99 articoli. Concentrati sui "Big": Art. 5 (Principi), Art. 6 (Basi giuridiche), Art. 9 (Dati particolari), Art. 17 (Oblio), Art. 25 (Design/Default), Art. 32/33 (Sicurezza e Data Breach) e Art. 37 (DPO). Se hai chiari questi, hai in mano l'80% del GDPR!


Follow me #techelopment

Official site: www.techelopment.it
facebook: Techelopment
instagram: @techelopment
X: techelopment
Bluesky: @techelopment
telegram: @techelopment_channel
whatsapp: Techelopment
youtube: @techelopment