Il GDPR (acronimo di General Data Protectio Regulation), come dispone al suo primo articolo, dopo peraltro ben 173 premesse altrettanto importanti, è lo strumento Europeo, immediatamente esecutivo senza bisogno di alcuna legge di recepimento in quanto regolamento, per disciplinare la protezione dei dati personali, il loro trattamento e la circolazione degli stessi.

Per dato personale deve intendersi ogni informazione riguardante una persona fisica identificata o identificabile ("interessato"); si considera identificabile la persona fisica che può essere individuata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. La definizione è ampia e, giustamente, non può essere ridotta a concetti o elementi iscritti in un elenco rigido, essendo possibile che, grazie anche ai progressi tecnologici, l’elenco possa allargarsi. Basti pensare alle impronte digitali e al DNA, ma anche alla retina dell’occhio: tutti fattori biometrici che potranno  essere una password per l’accesso a un computer o ad un cellulare.

Per meglio comprendere il concetto e la necessità di protezione, ricordiamo che i dati personali sono anche elementi tecnico giuridici attraverso i quali è possibile tutelare l’insieme dei diritti collegati all’identità personale.

Il GDPR, inoltre, sottolinea come per dato personale non si debba intendere solo un elemento che da solo possa portare all’identificazione di una persona, ma che ne consenta comunque l’identificazione: pensiamo al caso in cui informazioni incrociate tra loro portino comunque a tale risultato. Questo criterio di identificabilità mediante incrocio di informazioni, anche se detenute da titolari diversi, fa rientrare nel concetto di dato personale anche dati online come indirizzi IP e cookie. Questo concetto era stato peraltro già espresso in una sentenza della Corte di Giustizia Europea (caso Breyer). 

Da una semplice riflessione sull’ampia definizione di “dato personale” e considerato che il trattamento, ai fini del GDPR, riguarda non solo la raccolta e conservazione, ma ogni operazione o insieme di operazioni compiute con o senza mezzi informatici, (la consultazione, l’adattamento o modifica, la comunicazione, la trasmissione o qualsiasi altra forma di messa a disposizione fino alla distruzione), emerge quali siano le responsabilità in queste operazioni, anche in considerazione delle pesanti sanzioni previste, nello svolgimento della loro attività.

Il GDPR prevede sanzioni che vanno fino a venti milioni di euro e fino al 4%  del fatturato, che potrebbero unirsi a quelle penali previste da ogni ordinamento nazionale e che, nel caso dell’Italia sono quelle rimaste, forse unica norma residuale, della L. 196/2003.

All’atto pratico tutti coloro che siano in possesso per la loro attività di dati personali all’interno di database, archivi, software, gestionali, ma anche numeri di telefono e indirizzi mail nella memoria del proprio cellulare, sono tenuti al rispetto delle norme in materia di protezione dati del GDPR che si sostanziano non solo nel predisporre adeguati sistemi di protezione per evitare perdita e sottrazione dati, ma anche alle comunicazioni obbligatorie sia all’interessato sia alle competenti autorità della perdita o rischio di perdita dei dati. Si pensi, solo a titolo di esempio, non solo ad un virus sul proprio computer o un attacco informatico, ma anche allo smarrimento di un computer o di una pendrive da parte di un dipendente o collaboratore.

In questo contesto emerge altresì come sia assolutamente indispensabile per aziende e professionisti, la nomina del DPO (Data Protection Officer), vale a dire di quella figura professionale che coopererà con il titolare del trattamento nell’esecuzione dell’attività di protezione e gestione dati.