Retail

GDPR: il glossario che spiega tutto

23 May 2018

7 min

Dal 25 maggio 2018, le aziende dovranno rispettare il regolamento europeo generale sulla protezione dei dati. Di fronte a un vocabolario tecnico ricco di acronimi, sigle e riferimenti di natura legale, non è sempre facile orientarsi. Per aiutarti a compiere passi avanti verso la compliance, ti forniamo un kit di sopravvivenza lessicale in modo che tu possa capire tutto il gergo legale intorno al GDPR.

A

Anonimizzazione

Processo che rende i dati personali anonimi, in modo che la persona non possa più essere identificata.

B

Base giuridica del trattamento

Giustificazione per un’operazione di trattamento. Questa giustificazione può essere:

  • Consenso
  • Esecuzione di un contratto
  • Un obbligo di legge
  • Tutela degli interessi vitali della persona interessata
  • Necessaria per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri
  • Necessaria ai fini degli interessi legittimi perseguiti dal titolare del trattamento

C

Crittografia

Operazione con la quale un messaggio da inviare, un “messaggio semplice o in chiaro”, viene convertito in un “messaggio cifrato” che è incomprensibile per un terzo e diventa così confidenziale.

Consenso esplicito

Tutti gli individui devono dare il loro consenso esplicito, cioè una chiara dichiarazione scritta o orale non aperta a interpretazioni errate. Questa dichiarazione deve specificare la natura dei dati raccolti, il tipo di lavorazione e dei suoi potenziali impatti, se le risposte sono necessarie o opzionali, i dettagli dei dati da trasferire e i rischi connessi a questo trasferimento.

D

Data Protection Privacy Impact Assessment (PIA)

Un processo progettato per valutare tutti i processi e le banche dati in un determinato reparto (scopo, il periodo di conservazione dei dati, i diritti degli interessati, etc.), e analizzare i rischi per la sicurezza dei dati (accesso ai dati, frodi, ecc) e il loro potenziale impatto in materia di privacy, per determinare le misure tecniche e organizzative necessarie per proteggere i dati.

Dati personali

Tutte le informazioni che identificano direttamente o indirettamente, una persona fisica (ad esempio nome, cognome, società , numero di telefono, data di nascita, luogo di residenza, impronte digitali, ecc). Gli elementi che non consentono l’identificazione diretta di una persona possono altresì diventare dei dati personali se ci sono riferimenti incrociati con altri dati (ad esempio una descrizione fisica combinata con la posizione in una società può permettere di identificare una persona specifica.)

Dati sensibili

Le informazioni relative all’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, la salute o la vita sessuale. In linea di principio, i dati sensibili possono essere raccolti e utilizzati solo con consenso esplicito della persona interessata. Non deve essere confuso con il concetto di sensibilità nel senso comune del termine, che esprime, per esempio, le informazioni politicamente sensibili. Per esempio, lo stipendio di un impiegato di una società non è politicamente sensibile come lo stipendio del CEO della stessa azienda. Tuttavia, questi non sono dati sensibili nel senso giuridico del termine.

Data Protection Officer (DPO)

Il DPO è il garante del rispetto del GDPR in una società. I suoi compiti comprendono l’informazione e la consulenza sia al data controller che ai dipendenti; la verifica del rispetto del regolamento; altre disposizioni di protezione dei dati; dare consigli, a richiesta, in merito al Data Protection Impact Assessment ‘DPIA’ e il monitoraggio della sua esecuzione; la collaborazione con l’autorità di vigilanza.

Diritto di accesso

L’interessato che ha prestato il consenso può chiedere ed ottenere in forma intellegibile i dati in possesso del titolare:

  • La conferma che i dati personali sono o non sono in fase di elaborazione
  • Dove vengono elaborati, per ottenere l’accesso ai dati personali
  • L’accesso alle informazioni sulle operazioni di trattamento effettuato con i propri dati personali
  • Il diritto di limitare le operazioni di trattamento
  • Il diritto di limitare il trattamento che l’organizzazione possa svolgere utilizzando i dati personali se il trattamento non è più giustificata.

Diritto all’oblio / diritto di cancellazione

Il diritto di chiedere che il titolare del trattamento cancelli i vostri dati personali.

Diritto di opporsi

Il diritto di opporsi ad un’operazione di trattamento dei dati personali in qualsiasi momento sulla base di motivi legittimi relativi alla vostra situazione particolare.

Diritto alla portabilità dei dati

Il diritto di ricevere i dati personali del titolare in un formato strutturato, comunemente usato e leggibile e il diritto di trasmettere tali dati ad un altro controllore senza ostacoli dal controllore al quale sono stati forniti i dati personali in primo luogo.

Diritto di rettifica

Il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti.

E

Elaboratore di dati

La persona fisica o giuridica, l’autorità pubblica, il servizio o organismo che elabora dati personali per conto del responsabile del trattamento.

G

G29

Gruppo di lavoro europeo indipendente su dati e tutela della privacy che riunisce i rappresentanti di ciascuna autorità nazionale di protezione dei dati. La sua missione è quella di aiutare a sviluppare standard europei adottando raccomandazioni, pareri, e così via.

Garante

Autorità di vigilanza con il compito di garantire la corretta applicazione della regolamentazione sulla protezione dei dati.

GDPR (General Data Protection Regulation)

Nuovo testo europeo sulla protezione dei dati personali applicabile dal 25 maggio 2018, che sostituisce e armonizza tutte le norme di protezione dei dati personali applicabili negli Stati membri dell’UE.

M

Mappatura dati

Una società deve prima mappare i propri processi di raccolta dei dati personali relativi ai dipendenti, clienti e candidati in cerca di lavoro. Essa deve quindi identificare le operazioni di trattamento ad essi associati, insieme ai luoghi e formati di memorizzazione e inserire tutti questi dettagli in un apposito registro.

P

Paese riconosciuto per avere un adeguato livello di sicurezza da parte della Commissione Europea.

Paesi tra i quali il trasferimento di dati personali è autorizzato: Andorra, Argentina, Canada, Guernsey, le Isole Faroe, l’Isola di Man, Israele, Jersey, Nuova Zelanda, Stati Uniti (per le aziende certificate dal Privacy UE-USA Shield), Uruguay e Svizzera

Principio di legalità

I dati personali possono essere raccolti e utilizzati per uno scopo specifico e legittimo necessario per i compiti del titolare del trattamento unico.

Principio di minimizzazione

I dati possono essere raccolti e trattati solo se necessario per lo scopo per il quale vengono trattati. Questo costringe quindi le aziende ad eliminare tutti i dati che non sono necessari per questo scopo e di rivalutare i dati che sono essenziali per le operazioni di trattamento di ciascuna applicazione.

Privacy by design

Le aziende devono integrare la protezione dei dati nella progettazione di prodotti e servizi, e proteggere i dati in tutto il loro ciclo di vita.

Privacy Shield

Sistema di auto-certificazione UE-USA per la protezione dei dati personali che consente il trasferimento di dati personali da parte di persone situate all’interno dell’Unione europea verso aziende con certificazione “Privacy Shield” .

Profiling

Secondo il GDPR, la profilatura copre ogni forma di operazione di trattamento dei dati personali automatizzato che utilizza questi dati per valutare una serie di caratteristiche personali di una persona fisica, in particolare per analizzare o prevedere le informazioni riguardanti le prestazioni di questa persona fisica sul posto di lavoro, la situazione economica, la salute, le preferenze personali ,gli interessi, l’affidabilità, il comportamento, l’ubicazione o i viaggi.

Pseudonimizzazione

Operazione di conversione dei dati personali in una forma per cui non possono più essere attribuiti ad una persona specifica senza utilizzare ulteriori informazioni.

R

Registro interno delle operazioni di trattamento dei dati personali

Il GDPR obbliga tutte le aziende ad inserire in un registro tutte le operazioni di trattamento dei dati personali che svolge. Quali informazioni devono essere conservate: il nome e i dettagli del titolare, subappaltatori e destinatari coinvolti nell’operazione di trasformazione; i fini del trattamento; le categorie di persone coinvolte e le categorie di dati personali; il trasferimento di dati personali al di fuori dell’UE; una descrizione generale delle misure tecniche e organizzative di sicurezza; per quanto possibile, i tempi previsti prima che le diverse categorie di dati vengano cancellati.

Responsabilità

Si riferisce all’obbligo per le imprese sotto il GDPR di mettere in atto meccanismi, documenti e procedure interne che consentano loro di dimostrare che sono conformi alle norme di protezione dei dati.

Riservatezza dei dati

Secondo l’Organizzazione Internazionale per la Standardizzazione (ISO), riservatezza dei dati significa garantire che i dati siano accessibili solo alle persone autorizzate, e quindi che le comunicazioni o i dati memorizzati non vengano intercettati o letti da persone non autorizzate.

S

Scopo

Scopo primario di un’applicazione che utilizza i dati personali. Ad esempio la gestione del reclutamento, la gestione dei clienti, indagine sulla soddisfazione… etc.

Sistema di archiviazione

Qualsiasi insieme strutturato di dati personali accessibili secondo criteri specifici.

Sub-incaricato

La persona fisica o giuridica, l’autorità pubblica, il servizio o il corpo, che è il subappaltatore del subappaltatore del titolare del trattamento.

T

Titolare del trattamento

La persona fisica o giuridica, l’autorità pubblica, il servizio o ente che determina le finalità e gli strumenti del trattamento di dati personali. In pratica e, in generale, si tratta di una persona giuridica nelle vesti del suo legale rappresentante.

Trattamento dei dati personali

Qualsiasi operazione di trattamento dei dati personali o insieme di operazioni, indipendentemente dal procedimento adottato, come l’accesso, la raccolta, la registrazione, l’organizzazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, la diffusione o qualsiasi altra messa a disposizione, il confronto, il blocco, la cancellazione o la distruzione.

Trasferimento dati

Qualsiasi comunicazione, copia, circolazione dei dati personali per essere processati in un paese terzo dal punto di vista dell’Unione Europea. Semplicemente, l’accesso ai dati memorizzati in Italia da un dispositivo situato in Cina è quindi un trasferimento. I trasferimenti sono vietati al di fuori del territorio dell’UE, senza eccezioni.

V

Violazione dei dati (data breach)

Violazione della sicurezza che comporti la distruzione accidentale o illecita, la perdita, alterazione o la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati.
Hai bisogno di aiuto con il GDPR?