Privacy aziende e Data Protection

Una breve introduzione

Dal 25 maggio 2018 è divenuto direttamente applicabile in tutti gli Stati membri dell'Unione Europea (compresa l'Italia) il Regolamento Generale sulla Protezione dei Dati Personali (GDPR), che ha segnato una vera e propria rivoluzione in materia di protezione dei dati personali.

Per quanto concerne le aziende e gli enti pubblici che gestiscono dati personali, il GDPR introduce importanti cambiamenti in tema di consenso e informazione agli interessati, specifica e definisce i limiti entro cui il trattamento può essere "delegato" (sia verso l'esterno, sia verso soggetti interni) o autorizzato, impone una verifica preliminare dei rischi che il trattamento dei dati può comportare e l'adozione di misure di sicurezza adeguate a scongiurarli, prescrive l'adozione di una documentazione aziendale interna che renda trasparente l'intero processo dei trattamenti svolti e le relative finalità (accountability), prevede importanti regole da osservare in caso di perdita e violazione dei dati personali (c.d. data breach), definisce stringenti limiti per il trasferimento dei dati al di fuori dell'Unione Europea.

Per quanto riguarda i privati, il GDPR delinea un vero e proprio catalogo dei diritti esercitabili in materia di protezione dei dati personali. Si tratta, in particolare, dei diritti di accesso (art. 15), di rettifica (art. 16), di cancellazione (art. 17), di limitazione del trattamento (art. 18), di portabilità, ove applicabile (art. 20), di opposizione (art. 21), di revoca del consenso precedentemente prestato, di proporre reclamo all'autorità di controllo o ricorso giurisdizionale.

Nel corso della mia attività professionale, ho maturato esperienza nei processi di allineamento al GDPR di aziende ed enti no profit, nel ruolo di Data Protection Officer, e nella gestione del contenzioso (sia tra privati e aziende, sia tra aziende e Autorità di Controllo) in materia di trattamento dei dati personali.