Si chiama Digital First il percorso di transizione digitale della Pubblica Amministrazione, avente lo scopo di accorciare il divario esistente tra cittadini e amministrazioni, digitalizzando e facendo proprie le ultime tecnologie avanzate per agevolare privati e aziende nella fruizione dei servizi loro dedicati.
Sappiamo che la digitalizzazione migliora i business model tradizionali, ha un impatto su tutte le aree dei modelli di business aziendali ma non modifica la logica di business di base.
Le aziende stanno adattando le loro strategie e business model per far fronte alle sfide e alle opportunità derivanti dall’era digitale.
Le innovazioni tecnologiche stanno dando lo slancio alle decisioni strategiche: un’amministrazione pubblica è soggetta alle norme del GDPR quando tratta i dati personali di una persona.
Cosa si intende esattamente per “dati personali” nel GDPR?
GDPR nelle PA
I dati personali nel contesto del GDPR si riferiscono a tutti i dati relativi a una persona vivente identificata o identificabile.
Ciò vale anche per i dati crittografati o presentati con l’uso di pseudonimi, finché la crittografia/anonimizzazione è reversibile.
GDPR staper General Data Protection Regulation (Regolamento Generale sulla Protezione dei Dati),ovvero il Regolamento Europeo2016/679.
In estrema sintesi, il GDPR chiarisce come i dati personali debbano essere trattati, incluse le modalità di raccolta, utilizzo, protezione e condivisione.
L’obiettivo del GDPR è quello di rafforzare la protezione dei dati per tutte le persone le cui informazioni personali rientrano nel suo campo di applicazione, dando loro il pieno controllo dei propri dati.
Nel rispetto degli obblighi del regolamento sulla protezione dei dati, ciò significa che le chiavi di decifrazione dovranno essere mantenute separate dai dati pseudonimizzati.
Quando e dove si applica il GDPR –General Data Protection Regulation?
AMBITO MATERIALE – Il GDPR si applica al trattamento dei dati personali. Non si applica pertanto ai dati aziendali, come il nome e l’indirizzo della società.
Tuttavia, qualsiasi dato che si riferisce a quest’ultimi è considerato “personale”, indipendentemente dal fatto che venga trattato in un contesto Business to Customer (B2C) o Business to Business (B2B).
AMBITO TERRITORIALE – Il Regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione.
Alcuni esempi pratici:
La società “A” con sede negli Stati Uniti vende beni ai consumatori con sede nell’UE(quindi soggetta al GDPR) e assume la società “B” con sede negli Stati Uniti per scopi di analisi del mercato e statistiche.
La società B è soggetta al GDPR, sebbene non abbia sede nell’UE né venda beni o servizi a clienti dell’UE?
Probabilmente sì, se l’attività di analisi e statistiche di mercato richiede un “monitoraggio del comportamento” dei clienti con sede nell’UE.
I dipendenti del consolato italiano di New York devono conformarsi al GDPR?
Sì, perché il GDPR è applicabile a loro in virtù del “diritto pubblico internazionale”.
Un’azienda con sede in Cina che vende beni su un sito in cinese deve conformarsi al GDPR perché è possibile che un cinese residente nell’UE acquisti qualcosa da esso?
In linea di principio diremmo di no, a meno che non sia possibile dimostrare che l’azienda sta facendo affari con clienti residenti nell’UE, o che si rivolge espressamente a loro (ad esempio informandoli che sono previsti pagamenti da un conto bancario UE o spedizioni nell’UE).
Attività di trattamento dei dati – Requisiti chiave del GDPR e come adeguarsi
BASI GIURIDICHE DEL TRATTAMENTO – CONSENSO
Al fine di effettuare un’attività di trattamento dei dati, l’organizzazione deve ottenere un consenso inequivocabile da parte degli utenti.
Per ottenere il consenso al trattamento dei dati, l’organizzazione non può utilizzare termini eccessivamente complicati o indecifrabili.
Le privacy policy devono essere redatte in modo leggibile, utilizzando un linguaggio e delle clausole comprensibili, in modo che gli utenti siano pienamente consapevoli di ciò a cui acconsentono e delle conseguenze del loro consenso.
- L’utente ha prestato il proprio consenso per una o più specifiche finalità;
- Il trattamento dei dati è necessario per l’esecuzione di un contratto al quale l’utente ha aderito, o per intraprendere azioni (su richiesta dell’utente) preliminari alla stipula del contratto;Il trattamento è necessario per l’adempimento ad un obbligo di legge al quale il titolare del trattamento è soggetto;Il trattamento è necessario per la tutela di interessi vitali dell’utente o di terzi;
- Il trattamento è necessario per l’esecuzione di un’attività di interesse pubblico, o che rientra nell’ambito dei poteri pubblici conferiti al titolare del trattamento;
Il trattamento è necessario per interesse legittimo del titolare del trattamento o di terzi, a meno che non prevalgano gli interessi, i diritti e le libertà dell’utente, in particolare se l’utente è un minore
Il consenso ai sensi del GDPR è una questione di primaria importanza ed è obbligatorio registrare in modo puntuale i consensi ottenuti affinché l’organizzazione sia in grado di dimostrare che l’utente abbia effettivamente prestato il consenso.
L’onere della prova è a carico del titolare del trattamento.