Guide agli adempimenti

La nuova disciplina privacy vicina al debutto

Sommario

Il nuovo Regolamento europeo sulla privacy | L'adeguamento della disciplina italiana | Ambito di applicazione ed esclusioni del GDPR | Ambito territoriale | Principi generali per il trattamento dei dati personali | Fondamenti del trattamento | Interessi vitali e legittimi | Informativa | Diritti degli interessati | Titolare e responsabile del trattamento | Responsabilizzazione dei titolari e responsabili | Adempimenti | Responsabile della protezione dei dati | Sanzioni | |

Il nuovo Regolamento europeo sulla privacy

 

Il GDPR (Regolamento UE n. 2016/679) disciplina le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.

La finalità è quella di proteggere i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.

Va ricordato che il processo di armonizzazione della tutela dei diritti e delle libertà fondamentali delle persone fisiche rispetto alle attività di trattamento dei loro dati personali è stato avviato con la Direttiva n. 95/46/CE del 24 ottobre 1995 (c.d. “Direttiva madre”).

In Italia, le regole europee sono state recepite dapprima con il D.Lgs. n. 675/1996 e successivamente con il D.Lgs. n. 196/2003 (c.d. “Codice privacy”).

Ora, con il nuovo regolamento, si vuole fornire un quadro giuridico più chiaro in modo da garantire maggiore certezza sia per gli interessati (le persone fisiche i cui dati devono essere tutelati) sia per le imprese e la Pubblica amministrazione che trattano tali dati personali.

La scelta del Regolamento è dovuta ad una maggiore efficacia e applicazione delle nuove regole in quanto i regolamenti, a differenza delle direttive, non necessitano di apposito recepimento da parte degli Stati membri.

 

L'adeguamento della disciplina italiana

 

Anche se, come anticipato, il regolamento non necessita di un suo recepimento, in Italia è stata approvata una norma, contenuta nella Legge di delegazione europea (art. 13 L. n. 163/2017) con la quale è stata attribuita al Governo la delega per l’adeguamento della normativa nazionale alle disposizioni del regolamento.

La norma, in vigore dal 21 novembre 2017, nello specifico delega il Governo ad adottare uno o più decreti legislativi tenendo conto dei seguenti princìpi e criteri direttivi specifici:

  • abrogare espressamente le disposizioni del codice in materia di trattamento dei dati personali, di cui al codice privacy (D.Lgs. n. 196/2003), incompatibili con le disposizioni contenute nel Regolamento UE 2016/679;
  • modificare il codice, limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel Regolamento UE 2016/679;
  • coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni recate dal Regolamento UE 2016/679;
  • prevedere, ove opportuno, il ricorso a specifici provvedimenti attuativi e integrativi adottati dal Garante per la protezione dei dati personali nell’ambito e per le finalità previsti dal Regolamento UE 2016/679;
  • adeguare, nell’ambito delle modifiche al codice, il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del Regolamento UE 2016/679 con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse.

 

Ambito di applicazione ed esclusioni del GDPR

 

Come anticipato, il Regolamento si applica solamente alle persone fisiche e non alle persone giuridiche.

Interessa il trattamento interamente o parzialmente automatizzato di dati personali e l trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

Non vi rientrano, invece, i trattamenti di dati personali effettuati:

  • per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione europea;
  • dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione della politica estera e di sicurezza comune;
  • da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico;
  • dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.

Ambito territoriale

 

Dal punto di vista territoriale, l’applicazione del GDPR risulta estesa: infatti, vi rientrano anche le imprese stabilite fuori dal territorio UE che trattano dati personali degli interessati.

In questo caso, dovrà essere designato un rappresentante che agisca per conto del titolare o del responsabile del trattamento in merito agli obblighi previsti dal regolamento.

Tale obbligo scatta se le attività di trattamento riguardano:

  • l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure
  • il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.

Principi generali per il trattamento dei dati personali

 

I principi su cui si basa la raccolta e trattamento dei dati personali sono i seguenti:

  • liceità, correttezza e trasparenza: i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
  • limitazione della finalità: la raccolta va fatta per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è considerato incompatibile con le finalità iniziali;
  • minimizzazione dei dati: devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
  • esattezza: i dati devono essere esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
  • limitazione della conservazione: vanno conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato;
  • integrità e riservatezza: il trattamento deve essere tale da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

 

Fondamenti del trattamento

 

Il Regolamento conferma che ogni trattamento deve trovare fondamento in un’idonea base giuridica.

I fondamenti di liceità del trattamento sono indicati nell’art. 6 del Regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal D.Lgs. n. 196/2003.

Pertanto, i fondamenti sono: consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.

 

Consenso

Per quanto riguarda il consenso accanto alle conferme si registrano alcune novità che vengono sintetizzate nella tabella che segue.

 

Consenso

Conferme

Il consenso deve essere, in tutti i casi, libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo).

Deve essere manifestato attraverso “dichiarazione o azione positiva inequivocabile”.

Novità

Per i dati “sensibili” il consenso deve essere “esplicito”; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione).

Non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per i dati sensibili); inoltre, il titolare deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento.

Il consenso dei minori è valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.

Interessi vitali e legittimi

 

In merito agli interessi vitali, una novità è data dal fatto che si può invocare tale base giuridica solo se nessuna delle altre condizioni di liceità può trovare applicazione.

Invece, riguardo agli interessi legittimi, oltre alle conferme ci sono alcune novità che vengono sintetizzate di seguito.

 

Interessi legittimi

Conferme

L’interesse legittimo del titolare o del terzo deve prevalere sui diritti e le libertà fondamentali dell’interessato per costituire un valido fondamento di liceità.

L’interesse legittimo del titolare non costituisce idonea base giuridica per i trattamenti svolti dalle autorità pubbliche in esecuzione dei rispettivi compiti

Novità

Il bilanciamento fra legittimo interesse del titolare o del terzo e diritti e libertà dell’interessato non spetta all’Autorità garante ma è compito dello stesso titolare; si tratta di una delle principali espressioni del principio di “responsabilizzazione” introdotto dal nuovo pacchetto protezione dati

Informativa

 

Alcune importanti novità interessano anche l’informativa sulla privacy.

Esse sono schematizzate di seguito insieme alle attuali regole che sono confermate.

 

Informativa

Contenuto

  • Il titolare deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati - Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR – acronimo di Biding Corporate Rules ossia norme vincolanti d’impresa - di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.);
  • sono previste anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo.
  • se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.

Tempistica

Nel caso di dati personali non raccolti direttamente presso l’interessato, l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato).

Da segnalare che ciò si differenzia rispetto a quanto attualmente previsto dall’art. 13, c. 4 D.Lgs. n. 196/2003 secondo cui se i dati personali non sono raccolti presso l’interessato, l’informativa, comprensiva delle categorie di dati trattati, è data al medesimo interessato all’atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione.

Modalità dell’informativa

Vengono descritte molto più in dettaglio rispetto al D.Lgs. n. 196/2003 le caratteristiche dell’informativa, che deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee.

L’informativa va data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online), anche se sono ammessi “altri mezzi”, quindi può essere fornita anche oralmente, ma nel rispetto delle caratteristiche di cui sopra.

È ammesso, soprattutto, l’utilizzo di icone per presentare i contenuti dell’informativa in forma sintetica, ma solo “in combinazione” con l’informativa estesa; queste icone dovranno essere identiche in tutta l’Ue e saranno definite dalla Commissione europea.

Sono inoltre parzialmente diversi i requisiti che il regolamento fissa per l’esonero dall’informativa: si è esonerati se e nella misura in cui l’interessato dispone già delle informazioni (art. 13, paragrafo 4 Regolamento), se comunicare i dati risulta impossibile o implicherebbe uno sforzo sproporzionato oppure se c’è il segreto professionale (art. 14, paragrafo 5) o, infine, quando c’è un divieto di legge (art. 23, paragrafo 1), anche se occorre sottolineare che spetta al titolare, in caso di dati personali raccolti da fonti diverse dall’interessato, valutare se la prestazione dell’informativa agli interessati comporti uno sforzo sproporzionato.

Conferme rispetto alla disciplina attuale

L’informativa deve essere fornita all’interessato prima di effettuare la raccolta dei dati (se raccolti direttamente presso l’interessato).

Se i dati non sono raccolti direttamente presso l’interessato, l’informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento.

In tutti i casi, il titolare deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati.

 

Attenzione

Il Garante della privacy, sul proprio sito istituzionale, consiglia ai titolari di trattamento di verificare la rispondenza delle informative attualmente utilizzate a tutti i criteri sopra delineati, con particolare riguardo ai contenuti obbligatori e alle modalità di redazione, in modo da apportare le modifiche o le integrazioni eventualmente necessarie prima del 25 maggio 2018.

 

Diritti degli interessati

 

Il titolare del trattamento deve agevolare l’esercizio dei diritti da parte dell’interessato, adottando ogni misura (tecnica e organizzativa) a ciò idonea.

Benché sia il solo titolare a dover dare riscontro in caso di esercizio dei diritti, il responsabile è tenuto a collaborare con il titolare ai fini dell’esercizio dei diritti degli interessati.

I diritti degli interessati sono sostanzialmente i seguenti:

  • diritto di accesso;
  • diritto di cancellazione (diritto all’oblio);
  • diritto di limitazione del trattamento;
  • diritto alla portabilità dei dati.

Anche per l’esercizio di questi diritti ci sono alcune novità, non solo per quanto riguarda la loro individuazione ma anche e soprattutto per le modalità del loro esercizio.

Nella tabella che segue vengono sintetizzate le principali novità.

 

Diritti

Diritto di accesso

È previsto, in ogni caso, il diritto di ricevere una copia dei dati personali oggetto di trattamento.

Non è necessario fornire le “modalità” del trattamento, mentre occorre indicare il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi.

Diritto all’oblio

Il diritto cosiddetto “all’oblio” è il diritto alla cancellazione dei propri dati personali in forma rafforzata.

Si prevede, infatti, l’obbligo per i titolari (se hanno “reso pubblici” i dati personali dell’interessato: ad esempio, pubblicandoli su un sito web) di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi “qualsiasi link, copia o riproduzione”.

Rispetto all’attuale disciplina (art. 7, c. 3, lettera b), D.Lgs. n. 196/2003), il diritto risulta rafforzato poiché l’interessato ha il diritto di chiedere la cancellazione dei propri dati, per esempio, anche dopo revoca del consenso al trattamento.

Diritto di limitazione del trattamento

Rispetto all’attuale “blocco” del trattamento (art. 7, c. 3, lettera a), D.Lgs. n. 196/2003) sarà possibile esercitarlo non solo in caso di violazione dei presupposti di liceità del trattamento (quale alternativa alla cancellazione dei dati stessi), bensì anche se l’interessato chiede la rettifica dei dati (in attesa di tale rettifica da parte del titolare) o si oppone al loro trattamento (in attesa della valutazione da parte del titolare).

Esclusa la conservazione, ogni altro trattamento del dato di cui si chiede la limitazione è vietato a meno che ricorrano determinate circostanze (consenso dell’interessato, accertamento diritti in sede giudiziaria, tutela diritti di altra persona fisica o giuridica, interesse pubblico rilevante).

Diritto alla portabilità dei dati

È una novità prevista dal regolamento, anche se non è del tutto sconosciuto ai consumatori (si pensi alla portabilità del numero telefonico).

Non si applica ai trattamenti non automatizzati (quindi non si applica agli archivi o registri cartacei) e sono previste specifiche condizioni per il suo esercizio.

In particolare:

  • sono portabili solo i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato (quindi non si applica ai dati il cui trattamento si fonda sull’interesse pubblico o sull’interesse legittimo del titolare, per esempio), e solo i dati che siano stati “forniti” dall’interessato al titolare;
  • il titolare deve essere in grado di trasferire direttamente i dati portabili a un altro titolare indicato dall’interessato, se tecnicamente possibile.

 

Come si esercitano i diritti

Conferme

L’esercizio dei diritti è, in linea di principio, gratuito per l’interessato, ma possono esservi eccezioni (vedi rigo novità).

Il titolare ha il diritto di chiedere informazioni necessarie a identificare l’interessato, e quest’ultimo ha il dovere di fornirle, secondo modalità idonee.

Sono ammesse deroghe ai diritti riconosciuti dal regolamento, ma solo sul fondamento di disposizioni normative nazionali, nonché di disposizioni relative ad ambiti specifici (in particolare, quelle relative al diritto alla cancellazione/”oblio”, ai trattamenti di natura giornalistica e a quelli per finalità di ricerca scientifica o storica o di statistica).

In questo senso, in via generale, possono continuare a essere applicate tutte le deroghe attualmente previste (art. 8, c. 2, D.Lgs. n. 196/2003) in quanto compatibili con le disposizioni citate.

Novità

Il termine per la risposta all’interessato è, per tutti i diritti (compreso il diritto di accesso), 1 mese, estendibile fino a 3 mesi in casi di particolare complessità.

Il titolare deve comunque dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego.

Spetta al titolare valutare la complessità del riscontro all’interessato e stabilire l’ammontare dell’eventuale contributo da chiedere all’interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive (anche ripetitive), a differenza di quanto attualmente previsto (art. 9, c. 5, e 10, commi 7 e 8, D.Lgs. n. 196/2003), ovvero se sono chieste più “copie” dei dati personali nel caso del diritto di accesso; in quest’ultimo caso il titolare deve tenere conto dei costi amministrativi sostenuti.

Il riscontro all’interessato:

  • di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità;
  • può essere dato oralmente solo se così richiede l’interessato stesso.

La risposta fornita all’interessato non deve essere solo “intelligibile”, ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.

Titolare e responsabile del trattamento

 

Dal punto di vista soggettivo e in merito alle responsabilità loro attribuite, non cambia sostanzialmente nulla per il titolare e il responsabile del trattamento dei dati.

Ciò che, invece, cambia, è l’aspetto procedurale come, ad esempio, le modalità per la contitolarità del trattamento o il contenuto dell’atto con il quale il titolare designa un responsabile.

Di seguito, si riporta la sintesi delle conferme e novità rispetto alla disciplina attuale.

 

Titolare e responsabile del trattamento

Conferme

Sono confermate le attuali caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento.

Pur non prevedendo espressamente la figura dell’“incaricato” del trattamento (art. 30 D.Lgs. n. 196/2003), il GDPR non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” (art. 4, n. 10, GDPR).

Novità

  • Viene disciplinata la contitolarità del trattamento: in particolare, i titolari devono definire specificamente (con un atto giuridicamente valido) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati. In caso di contitolarità del trattamento è comunque possibile, per gli interessati, rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente;
  • vengono esplicitate meglio le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico avente valore legale) e deve disciplinare tassativamente alcune materie appositamente previste (art. 28, paragrafo 3 GDPR) al fine di dimostrare che il responsabile fornisce “garanzie sufficienti”. Le garanzie riguardano: la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel GDPR;
  • diventa possibile nominare sub-responsabili del trattamento da parte di un responsabile: i sub-responsabili sono designati per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest’ultimo risponde dinanzi al titolare dell’inadempimento dell’eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l’evento dannoso “non gli è in alcun modo imputabile”.
  • vengono stabiliti obblighi specifici in capo ai responsabili del trattamento, distinti da quelli pertinenti ai rispettivi titolari. Il riferimento è, ad esempio:
    • alla tenuta del registro dei trattamenti svolti (art. 30, paragrafo 2 GDPR);
    • all’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (art. 32 GDPR);
    • alla designazione di un responsabile della protezione dati (c.d. “RPD” o “DPO”), quando previsto.

Responsabilizzazione dei titolari e responsabili

 

Una delle più importanti novità del GDPR consiste nella responsabilizzazione (in inglese “accountability”) di titolari e responsabili.

Essi devono adottare comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.

Pertanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.

Tra questi, spicca il c.d. “data protection by default and by design” (art. 25 GDPR), ossia la necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.

Tutto ciò deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso (art. 25, paragrafo 1 GDPR).

A tal fine è necessaria un’analisi preventiva e un impegno applicativo da parte dei titolari consistenti in una serie di attività specifiche e dimostrabili.

Ciò che va tenuto in debita considerazione è il rischio inerente al trattamento: si tratta del rischio di impatti negativi sulle libertà e i diritti degli interessati.

Tali impatti devono essere analizzati attraverso un apposito processo di valutazione tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi.

A seguito di tale valutazione il titolare potrà decidere in autonomia se iniziare il trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero consultare il Garante della privacy per ottenere indicazioni su come gestire il rischio residuale.

 

 

Attenzione

 Il Garante non avrà il compito di autorizzare il trattamento, bensì di indicare le misure ulteriori eventualmente da implementare a cura del titolare e potrà, ove necessario, adottare alcune misure correttive che vanno dall’ammonimento del titolare fino alla limitazione o al divieto di procedere al trattamento.

Pertanto, il suo intervento sarà principalmente ex post, ossia si collocherà successivamente alle determinazioni assunte autonomamente dal titolare.

Ciò spiega l’abolizione a partire dal 25 maggio 2018 della notifica preventiva dei trattamenti all’autorità di controllo e del cosiddetto prior checking (o verifica preliminare ex art. 17 D.Lgs. n. 196/2003), che verranno sostituiti dall’obbligo di tenuta di un registro dei trattamenti da parte del titolare/responsabile e, appunto, di effettuazione di valutazioni di impatto in piena autonomia.

 

 

 

Adempimenti

Come appena accennato, a fronte di alcune semplificazioni procedurali, vengono introdotti alcuni nuovi adempimenti.

Nella tabella che segue si riportano alcune delle principali novità.

 

Registro dei trattamenti

Il registro dei trattamenti è obbligatorio per tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio.

Si tratta di uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, indispensabile per ogni valutazione e analisi del rischio.

Nel registro devono essere riportati:

  • il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  • le finalità del trattamento;
  • una descrizione delle categorie di interessati e delle categorie di dati personali;
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  • ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui all’art. 49, paragrafo 2 GDPR, la documentazione delle garanzie adeguate;
  • ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.

Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Misure di sicurezza

Le misure di sicurezza da adottare devono “garantire un livello di sicurezza adeguato al rischio” del trattamento.

Il GDPR riporta una lista di tali misure (art. 32, paragrafo 1 GDPR) ma essa è da intendersi come una lista aperta e non esaustiva.

Per lo stesso motivo, dopo il 25 maggio 2018, non ci saranno obblighi generalizzati di adozione di misure “minime” di sicurezza poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati.

È comunque possibile utilizzare specifici codici di condotta o schemi di certificazione per attestare l’adeguatezza delle misure di sicurezza adottate.

Tuttavia, il Garante potrà definire linee-guida o buone prassi sulla base dei risultati positivi conseguiti in questi anni; inoltre, per alcune tipologie di trattamenti potranno restare in vigore le misure di sicurezza attualmente previste: è il caso, in particolare, dei trattamenti di dati sensibili svolti dai soggetti pubblici per finalità di rilevante interesse pubblico nel rispetto degli specifici regolamenti attuativi.

Notifica delle violazioni di dati personali

A partire dal 25 maggio 2018, tutti i titolari – e non soltanto i fornitori di servizi di comunicazione elettronica accessibili al pubblico, come avviene oggi – dovranno notificare all’Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati.

Pertanto, la notifica (il cui contenuto è disciplinato dagli artt. 33 e 34 GDPR) non è obbligatoria, ma è subordinata alla valutazione del rischio per gli interessati che spetta, ancora una volta, al titolare.

Se la probabilità di tale rischio è elevata, si dovrà informare delle violazione anche gli interessati, sempre “senza ingiustificato ritardo” (sono comunque previste alcune eccezioni indicate all’art. 34, paragrafo 3 GDPR).

Si ricorda, inoltre, che è già disponibile un modello per la notifica dei trattamenti da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico.

 

 

Responsabile della protezione dei dati

 

Il Regolamento, in alcuni casi, prevede la designazione di un responsabile della protezione dati (RPD, ovvero DPO se si utilizza l’acronimo inglese: Data Protection Officer).

Anche questa è una conseguenza dell’approccio responsabilizzante che è proprio del Regolamento.

Dovranno designare obbligatoriamente un RPD:                        

  • le amministrazioni e gli enti pubblici, fatta eccezione per le autorità giudiziarie;
  • tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.

Anche per i casi in cui il Regolamento non impone in modo specifico la designazione di un RPD, è comunque possibile una nomina su base volontaria.

Il Responsabile della protezione dei dati, nominato dal titolare del trattamento o dal responsabile del trattamento, deve:

  • possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati.
  •  adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse;
  • operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio (RPD/DPO esterno).

 

Attenzione

Non sono richieste attestazioni formali o l’iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi di studio/professionali può rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenze.

 

 

 

Attenzione

Il titolare o il responsabile del trattamento devono mettere a disposizione del responsabile della protezione dei dati le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.

 

Passando ai compiti attribuiti al Responsabile della protezione dei dati essi consistono sostanzialmente nel:

  • sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità;
  • collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA);
  • informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati;
  • cooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento;
  • supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento.

 

 

 

 

Sanzioni

 

Particolarmente onerose sono le sanzioni previste in caso di violazione degli obblighi previsti dalle nuove disposizioni.

Il principio generale è che le sanzioni debbano essere in ogni singolo caso effettive, proporzionate e dissuasive.

Inoltre, al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene tener conto dei seguenti elementi:

  • la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
  • il carattere doloso o colposo della violazione;
  • le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
  • il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto;
  • eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
  • il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
  • le categorie di dati personali interessate dalla violazione;
  • la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
  • qualora siano stati precedentemente disposti provvedimenti nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
  • l’adesione ai codici di condotta o ai meccanismi di certificazione approvati;
  • eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.

Passando alla quantificazione, si applicano sanzioni amministrative pecuniarie fino a 10.000.000 di euro, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, in caso di violazioni relative agli obblighi del titolare del trattamento e del responsabile del trattamento.

Stessi importi si applicano anche in caso di violazione degli obblighi imposti all’organismo di certificazione e all’organismo di controllo.

Le sanzioni raddoppiano (fino a 20.000.000 di euro o 4% del fatturato) in caso di violazioni relative:

  • ai principi di base del trattamento, comprese le condizioni relative al consenso;
  • ai diritti degli interessati;
  • ai trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale;
  • a qualsiasi obbligo ai sensi delle legislazioni adottate dagli Stati membri;
  • all’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo o al negato accesso in violazione dell’art. 58, paragrafo 1 del GDPR;
  • all’inosservanza di un ordine da parte dell’autorità di controllo.

 

 

Leggi dopo