IL REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI (GDPR): QUADRO NORMATIVO E IMPLICAZIONI INFORMATICHE

Il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, noto come GDPR (General Data Protection Regulation), costituisce il pilastro normativo in materia di protezione dei dati personali all’interno dell’Unione Europea. Entrato in vigore il 25 maggio 2018, il GDPR ha introdotto un sistema armonizzato di regole a livello sovranazionale, volto a garantire un elevato livello di tutela dei diritti e delle libertà fondamentali delle persone fisiche, in particolare per quanto riguarda il trattamento dei dati personali.

STRUTTURA DEL REGOLAMENTO

Il testo normativo si compone di:

• 99 articoli, suddivisi in 11 Capi (Titoli), che disciplinano in maniera organica e dettagliata tutti gli aspetti sostanziali e procedurali del trattamento dei dati personali.
  
  

• 173 considerando, che fungono da criteri ermeneutici e supportano l’interpretazione delle disposizioni operative, secondo i principi di coerenza sistematica e finalistica del diritto dell’Unione.
  
  

AMBITO DI APPLICAZIONE TERRITORIALE E OGGETTIVO

L’ambito di applicazione del GDPR si estende:

• a qualsiasi trattamento di dati personali effettuato da un titolare o da un responsabile del trattamento stabilito nell’UE, a prescindere dal luogo in cui avviene il trattamento stesso;
  
  

• a soggetti extra-UE, qualora le attività di trattamento riguardino l’offerta di beni o servizi ovvero il monitoraggio del comportamento di interessati situati nel territorio dell’Unione (art. 3 GDPR – Principio di extraterritorialità).
  
  

DEFINIZIONI GIURIDICHE RILEVANTI

Tra le definizioni giuridiche fondamentali:

• Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile (c.d. "interessato");
  
  

• Trattamento: qualunque operazione eseguita su dati personali, anche se non automatizzata (raccolta, registrazione, conservazione, modifica, cancellazione, ecc.);
  
  

• Titolare del trattamento: il soggetto che determina finalità e mezzi del trattamento;
  
  

• Responsabile del trattamento: il soggetto che tratta i dati per conto del titolare.
  
  

PRINCIPI GENERALI DEL TRATTAMENTO (Art. 5 GDPR)

Il trattamento dei dati personali deve essere conforme ai seguenti principi generali:

• Liceità, correttezza e trasparenza
  
  

• Limitazione della finalità
  
  

• Minimizzazione dei dati
  
  

• Esattezza e aggiornamento
  
  

• Limitazione della conservazione
  
  

• Integrità e riservatezza
  
  

• Accountability (responsabilizzazione giuridica del titolare)
  
  

BASI GIURIDICHE DEL TRATTAMENTO (Art. 6 GDPR)

Il trattamento è considerato lecito soltanto se fondato su almeno una delle seguenti basi giuridiche:

• Consenso esplicito dell’interessato;
  
  

• Necessità contrattuale;
  
  

• Adempimento di obblighi di legge;
  
  

• Salvaguardia di interessi vitali;
  
  

• Esecuzione di compiti di interesse pubblico o connessi all’esercizio di pubblici poteri;
  
  

• Legittimo interesse del titolare, compatibilmente con i diritti e le libertà fondamentali dell’interessato.
  
  

DIRITTI DELL’INTERESSATO

Il GDPR rafforza significativamente la tutela dell’interessato, riconoscendo diritti quali:

• Diritto di accesso ai dati (art. 15);
  
  

• Diritto di rettifica (art. 16);
  
  

• Diritto alla cancellazione – "diritto all’oblio" (art. 17);
  
  

• Diritto alla limitazione del trattamento (art. 18);
  
  

• Diritto alla portabilità dei dati (art. 20);
  
  

• Diritto di opposizione (art. 21);
  
  

• Divieto di decisioni basate unicamente su trattamenti automatizzati, compresa la profilazione (art. 22).
  
  

ADEMPIMENTI A CARICO DI TITOLARI E RESPONSABILI

I soggetti coinvolti nel trattamento devono adempiere a una serie di obblighi documentali, organizzativi e tecnologici, tra cui:

• Tenuta del registro delle attività di trattamento (art. 30);
  
  

• Notifica delle violazioni dei dati personali (data breach) entro 72 ore (art. 33);
  
  

• Designazione del Data Protection Officer (DPO) nei casi previsti (art. 37);
  
  

• Valutazione d’impatto sulla protezione dei dati (DPIA) per trattamenti ad alto rischio (art. 35);
  
  

• Adozione di misure tecniche e organizzative adeguate per garantire la sicurezza dei dati (art. 32);
  
  

• Privacy by design e privacy by default.
  
  

SANZIONI AMMINISTRATIVE

Il GDPR prevede un regime sanzionatorio articolato e severo:

• Fino a 10 milioni di euro o il 2% del fatturato annuo mondiale, per violazioni di minore gravità;
  
  

• Fino a 20 milioni di euro o il 4% del fatturato annuo mondiale, per violazioni sostanziali delle norme.
  
  

AUTORITÀ DI CONTROLLO NAZIONALE

In Italia, l’Autorità Garante per la protezione dei dati personali (GPDP) esercita le funzioni di vigilanza, controllo, consulenza, sensibilizzazione e cooperazione previste dal Regolamento, con poteri ispettivi e sanzionatori. L’Autorità opera in coordinamento con le altre autorità di protezione dati dell’UE tramite il Comitato Europeo per la Protezione dei Dati (EDPB).

RILIEVO NEL CONTESTO DIGITALE E INFORMATICO

In ambito informatico, l’applicazione del GDPR implica:

• l’obbligo di sicurezza by design nei sistemi informativi;
  
  

• la mappatura e classificazione dei dati trattati nei database e nelle infrastrutture digitali;
  
  

• l'adozione di sistemi di cifratura, controlli di accesso, e audit logging;
  
  

• la predisposizione di policy interne, informative e procedure di risposta a incidenti;
  
  

• l'integrazione della protezione dati nella progettazione software (DevSecOps) e nello sviluppo di applicazioni cloud e web.