Protezione dati personali

Cos’è il GDPR?

Con l’acronimo GDPR si indica il General Data Protection Regulation, ovverosia il Regolamento Europeo sul trattamento dei dati personali n.679/2016, che detta disposizioni innovative per quel che concerne la protezione dei dati personali delle persone fisiche, o più semplicemente, tutela la privacy degli stessi in senso lato. Fra le molteplici novità, rinveniamo l’introduzione del ruolo del Data Protection Officer, tradotto come Responsabile della Protezione dei Dati, il quale ha il compito, mediante un comportamento proattivo (keyword del Regolamento medesimo) di fornire linee guida all’Impresa, presso la quale è stato nominato, affinchè questa tratti i dati personali delle persone fisiche (interessati) in assoluta conformità con le disposizioni del GDPR. Quest’ultimo introduce inoltre il fondamentale principio di Accountability, che potremmo tradurre come Responsabilizzazione, che vuole che l’Impresa indirizzi il suo operato, con un comportamento proattivo, verso una maggiore sensibilizzazione riguardo la tutela della privacy, dimostrando di aver adottato tutte quelle misure operative e tecniche che si rivelino efficaci ed adeguate per salvaguardare i dati trattati, mitigando il rischio di possibili data breach (vedasi punto dedicato). Ricordiamo infine che, ai sensi dell’articolo 288 del Trattato sul Funzionamento dell’Unione Europea (TFUE), il GDPR, essendo un Regolamento, ha portata generale, è obbligatorio in tutti i suoi elementi ed è immediatamente applicabile a far data dal 25/05/2018.

Come vengono definiti i dati personali nel GDPR?

L’articolo 4 del GDPR definisce il dato personale come “qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”. Il Regolamento dedica particolare attenzione a varie tipologie di dati personali che, per loro peculiare vulnerabilità e delicatezza, necessitano un’adeguata protezione, potendo essere trattati in modo lecito solo se ricorrono determinate condizioni, tassativamente indicate all’articolo 6 del GDPR. Stiamo parlando dei dati c.d. particolari. Ai sensi dell’articolo 9 del GDPR, per dati particolari, che il D.lgs.n.196/2003 (Codice Privacy) definiva sensibili, sono da intendersi quelle informazioni con cui si rivelino le origini razziali o etniche, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale del soggetto del quale si trattano i dati, che il GDPR definisce come “interessato”. Per dati giudiziari intendiamo invece quei dati personali che rivelino se l’interessato stia subendo un processo, stia difendendo un suo diritto in giudizio, sia indagato, oppure ancora abbia subito condanne civili o penali.

 

Cosa si intende per trattamento dei dati personali?

Ai sensi dell’articolo 4 del GDPR, sappiamo che per trattamento dei dati personali si intende qualsivoglia operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati, che si applichino a dati personali o insieme di dati personali. La raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione sono le principali operazioni, come elencate dal secondo comma del sopraccitato articolo, mediante le quali si effettua il trattamento dei dati personali.

 

Che caratteristiche deve avere il trattamento?

Ai sensi del secondo comma dell’articolo 5 del GDPR, il trattamento dei dati personali deve essere informato ai principi di liceità, correttezza e trasparenza e deve essere effettuato perseguendo finalità determinate, esplicite e legittime. Il trattamento dei dati personali deve essere effettuato nel rispetto di tre fondamentali principi : il principio cosiddetto della minimizzazione dei dati, il quale vuole che i dati stessi siano adeguati, pertinenti e raccolti limitatamente alle sole finalità per le quali sono trattati, il principio dell’esattezza, per il quale i dati trattati devono esatti e, se necessario, aggiornati, venendo adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati che si rivelino inesatti rispetto alle finalità per le quali sono trattati, ed infine il principio cosiddetto della limitazione della conservazione, il quale vuole che i dati siano conservati in una forma tale da consentire l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali i dati stessi sono trattati.

L’informativa all’interessato

Ai sensi dell’articolo 13 del GDPR, sappiamo che in caso di raccolta di dati personali il Titolare del trattamento dovrà fornire all’interessato un’informativa nella quale si indichi: il Titolare del trattamento dei dati personali, il responsabile del trattamento, il responsabile della protezione dati (ove designato o designabile), l’oggetto del trattamento e le modalità mediante le quali il medesimo verrà applicato, le finalità che il trattamento perseguirà e la
base giuridica sulla quale lo stesso poggia, i destinatari della comunicazione dei dati personali, il periodo di conservazione dei dati personali oggetto del trattamento, ed i diritti esercitabili dagli interessati.

 

Il consenso al trattamento dei dati personali

Per il trattamento di alcune tipologie di dati personali, data la loro delicatezza, viene richiesto espresso ed esplicito consenso dell’interessato. Il consenso tuttavia non è la sola base giuridica su cui poggia il trattamento poiché vi sono varie ipotesi, disciplinate dall’articolo 6 del GDPR, che consentono di effettuare in maniera lecita il trattamento dei dati personali di una persona fisica. Si pensi per esempio all’ipotesi in cui il trattamento dati si riveli necessario per l’esecuzione di un contratto di cui l’interessato è parte contraente (es. Proposta di fornitura di energia elettrica e/o gas naturale), oppure al caso in cui il trattamento sia necessario per l’adempimento di un obbligo o di obblighi legali cui è sottoposto il titolare del trattamento (es. Disposizioni impartite da autorità e/o da organi di vigilanza e di controllo, per finalità correlate all’accertamento e repressione dei reati), o all’ipotesi in cui il trattamento si riveli necessario per il perseguimento dell’interesse legittimo del Titolare del trattamento. Tutte le ipotesi appena descritte costituiscono, ai sensi dell’articolo 6 del GDPR, fondamenti di liceità del trattamento dei dati personali conforme al Regolamento Europeo n.679/2016.

 

Chi è il Titolare del trattamento?

Ai sensi dell’articolo 24 del GDPR, Titolare del trattamento è quel soggetto che effettua il trattamento dei dati personali, adottando misure tecniche ed organizzative adeguate per garantire ed essere in grado di dimostrare, che il trattamento dei dati personali è stato condotto conformemente alla previsione del GDPR.

Chi è il Responsabile del trattamento?

Ai sensi dell’articolo 28 del GDPR, Responsabile del trattamento è il soggetto che effettua il trattamento per conto del Titolare del trattamento. Tale ruolo può essere esperito da una persona fisica, una persona giuridica, dalla pubblica amministrazione o da qualsiasi altro ente, associazione od organismo preposti dal Titolare al trattamento di dati personali.

Chi è il Responsabile per la protezione dei dati?

Il Data Protection Officer o più semplicemente DPO, in italiano Responsabile della Protezione dei Dati o più semplicemente RPD, è un’innovativa figura introdotta dal GDPR, disciplinata dall’articolo 37 del Regolamento medesimo. Possiamo avere DPO di nomina cosiddetta interna, rinvenibile quando l’impresa individua fra i suoi dipendenti una figura che dia garanzia di affidabilità, competenze e preparazione idonee per garantire il trattamento dei dati in conformità con il GDPR, oppure DPO di nomina esterna, che si ha quando l’Impresa, si affida ad un professionista dotato di esperienza e competenze specifiche, il quale fornisce linee guida all’impresa di riferimento per la completa attuazione del GDPR. Indipendentemente dalla natura della nomina, possiamo definire il DPO come una figura indipendente poiché questi funge da raccordo fra l’Autorità Garante della Privacy e le singole Imprese, operando pertanto a difesa del diritto degli interessati ad ottenere un trattamento dei propri dati conforme al GDPR.

Cosa si intende per Data Breach?

Con l’espressione Data Breach si intende la violazione di sicurezza “che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. In tali casi, il Titolare del trattamento dovrà tempestivamente informare l’Autorità Garante per la protezione dei dati personali. Tale comunicazione avviene mediante notifica che, ai sensi dell’articolo 33 del GDPR, dovrà contenere una descrizione chiara, semplice ed immediata della violazione e della tipologia di dati oggetto della violazione medesima, ed infine descrivere le misure che il Titolare del Trattamento ha adottato o intende adottare per limitare i danni prodotti dalla violazione. Tale obbligo di comunicazione non si applica quando il Titolare del trattamento, valuta come lieve la violazione intervenuta, potendo quindi astenersi dal notificare agli interessati l’avvenuta data breach. L’Autorità Garante per la protezione dei dati personali, tuttavia, potrà comunque imporre al Titolare del trattamento di informare gli interessati della violazione avvenuta, a seguito di sua autonoma valutazione sulla gravità della violazione intervenuta.

Quali diritti può esercitare l’interessato?

A tutela dei propri dati, il GDPR riconosce agli interessati i seguenti diritti:

Diritto di accesso
Esercitando questo diritto, lei potrà ottenere dal Titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che la riguardano e, in tal caso, ottenere una copia dei dati oggetto del trattamento in corso.

Diritto di rettifica
Esercitando questo diritto, lei potrà ottenere la rettifica (cioè la modifica, l’integrazione o l’aggiornamento) dei dati personali inesatti che la riguardano, in caso di inesattezza, incompletezza od obsolescenza.

Diritto di cancellazione (c.d. diritto all’oblio)
Esercitando questo diritto, lei potrà ottenere la cancellazione dei dati personali che la riguardano. Il Titolare del trattamento provvederà alla cancellazione degli stessi senza ingiustificato ritardo se:
a) i dati personali che la riguardano non sono più necessari rispetto alle finalità per le quali sono stati raccolti o trattati;
b) in qualità di interessato, lei abbia revocato il consenso su cui si basa quel trattamento e non sussiste altra base giuridica a fondamento dello stesso
c) in qualità di interessato, lei si sia opposto al trattamento e non sussista alcun motivo legittimo prevalente per procedere al trattamento;
d) i suoi dati personali siano stati trattati illecitamente;
e) i suoi dati personali devono essere cancellati per adempiere un obbligo legale.

Diritto di limitazione del trattamento
Tale diritto le consente di limitare il trattamento dei suoi dati a quanto necessario alla conservazione dei dati medesimi. In qualità di interessato, potrà ottenere la limitazione del trattamento al ricorrere di una delle seguenti ipotesi:
a) In caso di contestazione dell’esattezza dei suoi dati, per il periodo necessario al Titolare del trattamento per verificare l’esattezza dei dati che la riguardano;
b) Il trattamento è illecito e lei ha richiesto la limitazione dell’utilizzo degli stessi;
c) Benché il Titolare non ne abbia più bisogno ai fini del trattamento, i dati personali sono per lei necessari per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
d) Lei si è opposto al trattamento, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del Titolare del trattamento rispetto a quelli dell’interessato.

Diritto di opposizione
Lei ha il diritto di opporsi in qualsiasi momento al trattamento dei suoi dati personali che sia basato sull’interesse legittimo del Titolare, compresa la profilazione. Ha, inoltre, il diritto di opporsi in qualsiasi momento al trattamento dei suoi dati personali effettuato per finalità di marketing diretto, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto.

Diritto alla portabilità dei dati
Esercitando questo diritto, lei ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i suoi dati personali forniti a un Titolare del trattamento e ha il diritto di trasmettere tali dati ad un altro Titolare del trattamento senza impedimenti da parte del Titolare del trattamento cui li ha forniti qualora:
a) il trattamento si basi sul consenso o su un contratto; e
b) il trattamento sia effettuato con mezzi automatizzati.
Nell’esercitare i suoi diritti relativamente alla portabilità dei dati, ha altresì il diritto di ottenere la trasmissione diretta dei dati personali da un Titolare del trattamento all’altro, se tecnicamente fattibile.

Diritto di proporre reclamo ad un’autorità di controllo
Ove necessario, lei potrà proporre reclamo all’Autorità Garante per la protezione dei dati personali per tutelare i diritti descritti.

Diritto alla revoca del consenso
Esercitando tale diritto, lei potrà revocare il consenso prestato in relazione a tutti i trattamenti che si basano su di esso.

È possibile revocare il consenso alla ricezione di comunicazioni commerciali?

Lei potrà revocare in qualsiasi momento il consenso alla ricezione di comunicazioni commerciali, semplicemente inviando una richiesta in tal senso alla casella di posta privacy@abenergie.it ovvero accedendo all’area riservata predisposta sul sito internet www.ABenergie.it

Top