libero riassunto degli articoli del GDPR a cura di Mecdata srl.
CAPO I
Articolo 1 : Oggetto e finalità
Il regolamento stabilisce norme relative alla protezione delle persone fisiche riguardo al trattamento dei dati personali.
| nb: la normativa a protezione dei dati personali non concerne le informazioni relative a soggetti diversi dalle persone fisiche (detto questo il trattamento di dati dell’ente/persona giuridica, quasi sempre, include inevitabilmente quello di dati riconducibili alle persone fisiche che vi operano/lavorano). |
Articolo 2 : Ambito di applicazione materiale
Il regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio (cartaceo).
Il presente regolamento non si applica al trattamento di dati personali effettuato da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale. Le attività a carattere personale o domestico potrebbero comprendere la corrispondenza e gli indirizzari, o l’uso dei social network e attività online intraprese nel quadro di tali attività. Tuttavia, il presente regolamento si applica ai titolari del trattamento o ai responsabili del trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività a carattere personale o domestico (punto 18).
Il presente regolamento non si applica al trattamento dei dati personali effettuati dalle autorità competenti a fini di indagine.
Articolo 3 : Ambito di applicazione territoriale
Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’UE, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’UE. Il presente regolamento si applica al trattamento dei dati personali di persone che si trovano nell’UE, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’UE, quando le attività di trattamento riguardano la vendita di benei e servizi (anche se non effettuata) o la profilazione del loro comportamento.
Il GDPR deve essere preparato da tutte le aziende che si trovano nella UE o che non si trovano nella UE e che gestiscono dati di persone fisiche di cittadini della UE.
Articolo 4 : Definizioni
1) dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità.
2) trattamento: qualsiasi operazione compiuta con o senza l’ausilio di processi automatizzati sui dati personali, come la raccolta,la conservazione, la consultazione, l’uso, la comunicazione, la cancellazione.
3) limitazione di trattamento: quando il titolare proceda a limitare il trattamento, tali dati personali sono trattati solo per la conservazione, e ulteriori trattamenti saranno possibili soltanto con il consenso dell’interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell’Unione o di uno Stato membro
4) profilazione: creazione automatica di un profilo di una persona fisica per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti.
5) pseudonimizzazione: il principio per cui le informazioni dei dati personali debbano essere conservate in una forma che impedisce l’identificazione dell’utente
6) archivio: qualsiasi insieme strutturato di dati personali accessibili.
7) titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
8) responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
9) destinatario: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi.
10) terzo: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;
11) consenso dell’interessato: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;
12) violazione dei dati personali: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;
13) dati genetici: i dati personali relativi alle caratteristiche genetiche
14) dati biometrici: i dati personali delle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;
15) dati relativi alla salute: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
16) stabilimento principale: per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell’Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell’Unione. Se il responsabile del trattamento non ha un’amministrazione centrale nell’Unione, lo stabilimento del responsabile del trattamento nell’Unione in cui sono condotte le principali attività di trattamento.
17) rappresentante: la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;
18) impresa: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un’attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un’attività economica;
19) gruppo imprenditoriale: un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate;
20) norme vincolanti d’impresa: le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento nel trasferimento a un altro titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell’ambito di un gruppo imprenditoriale.
21) autorità di controllo: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51;
22) autorità di controllo interessata: un’autorità di controllo interessata dal trattamento di dati personali in quanto: il titolare del trattamento o il responsabile del trattamento è stabilito sul territorio dello Stato membro di tale autorità di controllo; gli interessati che risiedono nello Stato membro dell’autorità di controllo sono o sono probabilmente influenzati in modo sostanziale dal trattamento; oppure un reclamo è stato proposto a tale autorità di controllo;
23) trattamento transfrontaliero : trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro ; oppure trattamento di dati personali che incide su interessati in più di uno Stato membro;
24) obiezione pertinente e motivata: un’obiezione al progetto di decisione sul fatto che vi sia o meno una violazione del presente regolamento, oppure che l’azione prevista in relazione al titolare del trattamento o responsabile del trattamento sia conforme al presente regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli interessati e, ove applicabile, alla libera circolazione dei dati personali all’interno dell’Unione;
25) servizio della società dell’informazione: il servizio definito all’articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio (19);
26) organizzazione internazionale: un’organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.
