Vi rendete conto che alla attivazione del GDPR manca meno di un anno vero?
la vedi la luce in fondo al tunnel? … è il treno!
Allora ho provato un paio di giorni fa a spiegarti come leggere ed interpretare il significato di GDPR. Sono assolutamente certo e sicuro che tutto quanto scritto era già chiarissimo ai tuoi occhi, ma tant’è… provare a parlare amabilmente di un argomento tanto ameno non fa mai male.
Dicevo, in chiusura degli sproloqui nell’articolo precedente, che alcune note andavano premesse per meglio capire il testo.
In effetti se partiamo con il piede giusto magari non diventa una lettura amena, ma almeno comprensibile.
Tra le premesse della volta scorsa ne ho omesso volutamente una importantissima, giusto per darmi una scusa per proseguire a scrivere…
Le norme fissate dal GDPR sono il minimo livello di protezione
Le norme fissate dal GDPR sono il minimo livello di protezione richiesta dalla UE, questo significa che ogni stato membro può decidere norme più protettive che si accompagnino al testo.
In Italia l’esempio che balza subito agli occhi riguarda la gestione dei biscotti…er “…cookie” che da sola potrebbe generare una interessante sequenza di noiosissimi articoli ?
La premessa è necessaria non perché abbia qualcosa contro gli Oreo (anche se preferisco i Krumiri o i cantucci toscani) ma perché il primo capitolo di questo affascinante romanzo che ci accingiamo a leggere è le disposizioni generali.
Il documento è diviso in 99 articoli sparsi in 11 capitoli che contengono diverse sezioni. Ovviamente per poter venirne a capo occorre leggerli in maniera “dinamica” perché spesso ci sono referenze avanti e indietro, a destra e a sinistra, sopra sotto e anche in un altro paio di dimensioni a noi invisibili ma chiaramente descritte dalla teoria unificata delle stringhe di cui vi invito a prendere conoscenza (a meno che non indossiate mocassini, sandali e o ciabatte, cosa che vi preclude gran parte della conoscenza umana) …
Per venirne a capo vi giro due link utili:
https://www.suiteprivacy.it/pages/testoregolamentoue.aspx (in italiano)
https://www.privacy-regulation.eu/en/index.htm (in un sacco di lingue tra cui l’italiano, ma ho messo la referenza in inglese perché fa più professionale…vuoi mettere…)
Capitolo Primo
Era una notte buia e tempestosa
Il primo capitolo inizia con l’emozionante articolo 1 che ci racconta di cosa si parla nel testo:
Articolo 1
- This Regulation lays down rules relating to the protection of natural persons with regard to the processing of personal data and rules relating to the free movement of personal data.
- This Regulation protects fundamental rights and freedoms of natural persons and in particular their right to the protection of personal data.
- The free movement of personal data within the Union shall be neither restricted nor prohibited for reasons connected with the protection of natural persons with regard to the processing of personal data.
Lo so che in inglese è più sexy, ma se proprio vi difetta la lingua eccolo in linguaggio italico:
Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.
Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.
La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.
Dalla lettura impariamo innanzi tutto che al punto 1 stiamo parlando di persone fisiche in relazione ai dati personali.
La cosa è importante per 2 motivi:
a: le persone giuridiche, le aziende, non sono soggette al GDPR…che tradotto vuol dire che il mio nome e cognome ed il mio indirizzo di casa sono GDPR, il nome della società “Pizza & Fichi INC.” e la sua sede legale non sono oggetto di GDPR
ci può venire incontro alla comprensione il “recital 14” che cita:
(14) È opportuno che la protezione prevista dal presente regolamento si applichi alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali. Il presente regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto.
b: i fantasmi, i personaggi storici e quelli di fantasia non sono soggetto al GDPR (quindi potete condividere liberamente il numero di telefono di Wonder Woman).
Se vogliamo meglio definire cosa significhi il concetto di protezione citato nel punto ci viene incontro il “recital” 1
(1) La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea («Carta») e l’articolo 16, paragrafo 1, del trattato sul funzionamento dell’Unione europea («TFUE») stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.
Al punto 2 troviamo invece l’oggetto di questo esercizio, la protezione delle libertà individuali con il focus sui dati personali.
Il secondo punto è importante perché definisce chiaramente quale ambito va considerato quando consideriamo un rischio all’interno del GDPR.
L’oggetto del regolamento è la protezione dei diritti fondamentali dell’individuo, questo significa che questo è il parametro di rischio da valutare quando si considerano le implementazioni del GDPR …
L’ultimo punto ci ricorda che all’interno della Unione Europea abbiamo conquistato il diritto alla libera circolazione delle persone, delle merci e anche dei dati. Chiaro che se non vi siete mai mossi da Vigevano potreste non apprezzare la cosa, ma tant’è …
Chiaro che se non vi siete mai mossi da Vigevano potreste non apprezzare la cosa, ma tant’è …
Come referenza vi suggerisco anche di leggervi i seguenti “recitals”:
1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13
Articolo 2
L’articolo due ci porta in un viaggio esotico in lande inesplorate, ove una brezza leggera ci accarezza e le onde del mare….
Er..credo di essermi un attimo lasciato trasportare, morfeo mi ha catturato… torniamo alla cruda realtà.
L’articolo due ci dice dove viene applicato sto benedetto GDPR.
Il punto uno ci dice dove si applica, gli altri punti dove non si applica.
Ovviamente ci interessa il primo punto…
- Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.
Si perché questo punto è fondamentale per capire l’ambito di applicazione, al solito iniziamo dalle parole per vedere se ne traiamo un senso …
Trattamento (Processing)
L’espressione generica indica che si ha a che fare con qualsiasi forma di trattamento eo manipolazione dei dati. Raccolta, archiviazione e lettura rientrano in questa descrizione…. Insomma qualsiasi cosa …
interamente automatizzato
Tradotto vuol dire tutti i sistemi che non richiedono intervento umano alcuno. Si pensi alla raccolta di dati via web per, ad esempio, una newsletter o un sito di marketing. I processi anche se non richiedono intervento umano sono soggetti al GDPR
parzialmente automatizzato
Nel caso vi sia intervento umano (ad esempio raccogli moduli scritti e li immetti in un sistema) il GDPR va comunque applicato. La norma prevede anche la parte umana di gestione, qualsiasi sia la forma. Anche il cartaceo è soggetto a GDPR.
non automatizzato
E qui ci casca l’asino …nel senso che se non lo hai ancora capito anche i tuoi documenti cartacei vanno considerati qui, non ci si scappa. Quindi non è che se pensi d fare il furbo e scrivi tutto su un block notes sei al sicuro…
archivio (originale Filing System)
Non facciamoci ingannare dalla terminologia. La traduzione archivio qui deriva da “Filing System” e non File System. Non parliamo di archiviazione digitale, ma di archiviazione tout court. C’hai presente i bei faldoni che lasci accessibili a chiunque…non puoi più farlo.
Insomma il regolamento si occupa della gestione e processo dei dati personali in qualunque loro forma indipendentemente dalla modalità di processo, archiviazione o raccolta.
Vi lascio l’emozionante esercizio di capire dove non si applica, io già ho faticato su questo.
E non dimenticativi i “recitals” per capire di cosa si parla: 14, 15, 16, 17, 18, 19, 20, 21
Ciaooo
Nessun commento:
Posta un commento