Il Parlamento Europeo, nell’aprile 2016, ha approvato il Regolamento Generale sulla Protezione dei Dati (GDPR) [Regolamento (UE) 2016/679], entrato in vigore dal 25 maggio 2018.
Il Regolamento generale sulla protezione dei dati (GDPR), che offre una maggiore tutela alle persone fisiche e rende le aziende più responsabili nell’uso dei dati personali, rappresenta lo sviluppo più importante di questo secolo nella legislazione relativa alla protezione dei dati.
Grazie a questo nuovo Regolamento, la protezione dei dati assume una posizione di prima linea tra i processi aziendali, con un impatto significativo sulla gestione delle informazioni personali relative sia a clienti che a dipendenti.
Il Nuovo Regolamento Europeo
Chiarimenti per punti:
Il 24 maggio 2016 è entrato in vigore il nuovo Regolamento europeo in materia di protezione dei dati personali. Il testo diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018, quando dovrà essere garantito il perfetto allineamento fra la normativa nazionale in materia di protezione dati e le disposizioni del Regolamento (art. 1).
Il Regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. Si applica al trattamento dei dati automatizzato e non automatizzato o manuale, se i dati sono contenuti o destinati a essere contenuti in un archivio (art. 2 e Considerando 15).
Applicazione territoriale (art.3)
Il regolamento si applica
– ai soggetti stabiliti sul territorio comunitario:
- sia che trattino i dati all’interno del territorio comunitario
- sia che li trattino fuori dal territorio comunitario
– ai soggetti stabiliti al di fuori del territorio comunitario quando il trattamento riguarda:
- l’offerta di beni e servizi per soggetti residenti nell’UE
- il monitoraggio del comportamento dei cittadini dell’UE
Ne consegue che le aziende che oggi non sono soggetti alla applicazione della dir 95/46/CEE dovranno invece ottemperare agli obblighi del Regolamento 679/2016.
- specificare i dati di contatto del RPD-DPO, ove esistente
- la base giuridica del trattamento qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento
- se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.)
- diritto di revocare il consenso a determinati trattamenti, come quelli a fini di marketing diretto.
- specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione
- il diritto di presentare un reclamo all’autorità di controllo.
- Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.
Informativa chiara e completa, concisa, trasparente, intelligibile per l’interessato e facilmente accessibile
Il Regolamento prevede:
- informativa diretta: quando le informazioni sono raccolte presso l’interessato prima di effettuare la raccolta dei dati (art. 13)
- informativa indiretta: quando le informazioni sono raccolti presso altro titolare del trattamento (art. 14)
Il titolare deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati.
Tempi dell’informativa
Nel caso di dati personali non raccolti direttamente presso l’interessato (art. 14 del regolamento), l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (NON della registrazione) dei dati (a terzi o all’interessato) (diversamente da quanto prevede attualmente l’art. 13, comma 4, del Codice).
Obblighi del Responsabile. Il responsabile del trattamento ha obblighi specifici, quali: la tenuta del registro dei trattamenti svolti (art. 30, comma 2); l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (art. 32 ); la designazione di un Data Protection Officer (art. 37);
Il Regolamento Europeo prevede una novità molto importante, la figura del responsabile della protezione dei dati (RPD).
Chi deve nominare il RPD?
Nomina obbligatoria:
- se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
- se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
- se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.
Cosa significa “attività principali”?
Quali saranno i compiti del RPD?
-
Informare e fornire consulenza al titolare del trattamento o al responsabile
- Sorvegliare l’osservanza del RGPD
- Fornire un parere sulla valutazione di impatto sulla protezione dei dati
-
fungere da punto di contatto per l’autorità di controllo
Quali sono le garanzie che possono consentire al RPD di operare con indipendenza?
Vi sono numerose garanzie che possono consentire al RPD di operare in modo indipendente, come indicato al considerando 97 del regolamento:
- nessuna istruzione da parte del titolare o del responsabile per quanto riguarda lo svolgimento dei compiti affidati al RPD;
- nessuna penalizzazione o rimozione dall’incarico in rapporto allo svolgimento dei compiti affidati al RPD;
- nessun conflitto di interessi con eventuali ulteriori compiti e funzioni.
Le disposizioni sui meccanismi amministrativi della protezione dei dati nell’Ue sono fissate nei Capi VI e VII del regolamento 2016/679. Il Capo VI, in particolare, prevede la costituzione di un’”autorità di controllo” in ciascuno Stato membro (rinviando al legislatore nazionale la definizione delle modalità di nomina dei componenti e l’attribuzione di idonee risorse), fissa identici compiti e poteri per le autorità (artt. 57 e 58) in tutti i Paesi Ue e introduce (art. 56) la nozione di “autorità di controllo capofila”.
L’autorità di controllo capofila è, in sintesi, l’autorità dello stabilimento principale o unico nell’Ue del titolare o responsabile del trattamento, alla quale viene trasferita la competenza da tutte le altre autorità di controllo (definite, in questo caso, “autorità interessate”) per quanto riguarda i “trattamenti transfrontalieri” di dati personali svolti da quel titolare o responsabile.
Le definizioni di “stabilimento principale” e “trattamento transfrontaliero” sono contenute all’art. 4(16) e (23), rispettivamente; anche il concetto di “autorità di controllo interessata” trova definizione all’art. 4 (punto 22) del regolamento.
L’obiettivo della devoluzione di competenze a favore dell’autorità capofila è garantire l’esistenza di uno “sportello unico” per i trattamenti transfrontalieri di dati personali: principio sancito dal paragrafo 6 dell’art. 56 (“L’autorità di controllo capofila è l’unico interlocutore del titolare del trattamento o del responsabile del trattamento in merito al trattamento transfrontaliero effettuato da tale titolare o responsabile“).
Occorre ricordare, tuttavia, che il regolamento stesso prevede alcune eccezioni: l’autorità di controllo che riceve un reclamo (e quindi è, per definizione, un’autorità “interessata”) può infatti far valere il carattere esclusivamente locale del caso e chiedere all’autorità capofila di rinunciare alla propria competenza (“se l’oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro”): v. art. 56, paragrafo 2.
La cooperazione fra l’autorità capofila e le altre autorità, ma anche fra le autorità di controllo in generale, è disciplinata nel Capo VII del regolamento, che ha per oggetto appunto “Cooperazione e coerenza”.
In particolare, il meccanismo decisionale nei casi di trattamento transfrontaliero (detto “sportello unico”, poiché il titolare o il responsabile potrà rivolgersi alla sola autorità di controllo capofila) è regolato dall’art. 60 del regolamento. Si tratta di un meccanismo di co-decisione, in cui l’autorità capofila è competente a emanare la (unica) decisione finale, ma è obbligata a interpellare tutte le autorità interessate prima di assumere qualsiasi provvedimento che riguardi un titolare o responsabile, e nel farlo deve tenere conto delle “obiezioni pertinenti e motivate” che le autorità interessate possono sollevare sul progetto di decisione o parere fatto circolare dall’autorità capofila, secondo una tempistica molto stretta.
L’autorità capofila può, in ogni momento, respingere le obiezioni formulate dalle autorità interessate e adire il Comitato europeo per la protezione dei dati (il “Board”) che decide secondo la procedura di cui all’art. 65, ma solo sulla “obiezione pertinente e motivata” – qualunque ne sia l’oggetto. La decisione del Comitato è vincolante per l’autorità capofila e le autorità interessate.
Le Linee-guida del WP29 sulla “autorità di controllo capofila” intendono chiarire i criteri che i titolari di trattamento (e anche le autorità di controllo) utilizzeranno per individuare correttamente la propria autorità capofila, rispetto ai trattamenti transfrontalieri di dati personali, e illustrano in concreto il funzionamento del meccanismo di “sportello unico”.
- Che cos’è il diritto alla portabilità dei dati?
- Quali sono i vantaggi per l’interessato?
- A quali tipo di dati si applica?
- Quali dati personali devono essere portabili?
- Quando si può chiedere la portabilità del dato?
- Cosa si intende per dati “forniti” dall’interessato?
- Se si chiede la portabilità dei dati, il Titolare deve cancellari dai suoi sistemi?
La portabilità non comporta la cancellazione automatica dei dati conservati nei sistemi del titolare, e non incide sul periodo di conservazione previsto originariamente per i dati oggetto di trasmissione a seguito dell’esercizio del diritto alla portabilità.
- Quando non si applica la portabilità del dato?
- Esempio
L’interessato potrebbe decidere di chiudere il proprio account presso un dato servizio. In tal caso, senza il nuovo diritto, al momento della chiusura perderebbe tutti i dati personali in esso contenuti. Nello stesso modo, potrebbe invece decidere di cambiare il fornitore di un dato servizio, per esempio di posta elettronica e avere necessità di esportare e trasferire al nuovo titolare del servizio di posta elettronica scelto, tutti i contatti raccolti fino a quel momento e tutte le precedenti comunicazioni.
- In ambito sanitario?
- Informativa Privacy
Con l’entrata in vigore del Regolamento, il diritto di accesso sarà rafforzato e ampliato, in quanto considerato di nuovo come diritto fondamentale in capo alle persone fisiche al fine di mantenere il controllo dei propri dati.
In presenza di una richiesta di accesso, e qualora vi sia effettivamente un trattamento di dati personali relativi alla persona che ha fatto richiesta di accesso, il titolare del trattamento deve fornire all’interessato una copia dei dati personali oggetto di trattamento che lo riguardano.
- Quanto costa?
Al diritto di accesso si applica il principio della gratuità. Però, in caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi.
- In che modo il Titolare dovrà rispondere?
Il Regolamento prevede che il titolare del trattamento predisponga i mezzi per inoltrare le richieste per via elettronica, in particolare nel caso in cui i dati personali siano trattati con mezzi elettronici. Qualora l’interessato presenti la richiesta mediante mezzi elettronici, le informazioni devono essere fornite in un formato elettronico “di uso comune”, salvo che vi sia un’indicazione diversa da parte dello stesso interessato.
- Tempi di risposta
Il titolare del trattamento è tenuto a rispondere “senza ingiustificato ritardo” e al più tardi entro un mese.
- Cosa succede se i dati sono trasferiti verso Paesi Terzi?
Qualora i dati siano stati trasferiti dal titolare a un Paese terzo o a un’organizzazione internazionale, l’interessato ha diritto a esserne informato e a conoscere l’esistenza di adeguate garanzie relative al trasferimento.
Viene introdotto il diritto degli interessati di venire a conoscenza delle violazioni dei propri dati personali, data breach.
I dati possono essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità.
In questi casi, il Titolare dovrà comunicare all’Autorità Nazionale tale violazione.
Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative.
La comunicazione non richiesta se:
- il titolare ha messo in atto misure che rendono i dati personali incomprensibili (cifratura);
- il titolare ha adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
-
la comunicazione agli interessati potrebbe comportare uno sforzo sproporzionato (ad esempio, se il numero delle persone coinvolte è elevato). E’ richiesta, in questo caso, una comunicazione pubblica o adatta a raggiungere quanti più interessati possibile (ad esempio, tramite un’inserzione su un quotidiano o una comunicazione sul sito web del titolare).
Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio
(si veda art. 30, paragrafo 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all’art. 30.
Il Regolamento esclude da tale obbligo tutti gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti che possano presentare “un rischio per i diritti e le libertà dell’interessato, o il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1 o i dati personali relativi a condanne penali e a reati di cui all’articolo 10”.
Si tratta di uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio.
Il registro dei trattamenti deve essere tenuto in forma scritta, anche in formato elettronico e deve essere messo a disposizione delle autorità di controllo in caso di richiesta.
La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali.
Per tale motivo, il Garante invita tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione.
Contenuti del registro delle attività di trattamento (art. 30, paragrafo 1):
- il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
- le finalità del trattamento;
- una descrizione delle categorie di interessati e delle categorie di dati personali;
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
- ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
- ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
Si tratta di uno strumento fondamentale in termini di responsabilizzazione (accountability) in quanto aiuta il titolare non soltanto a rispettare le prescrizioni del RGPD, ma anche ad attestare di aver adottato misure idonee a garantire il rispetto di tali prescrizioni.
Quando è obbligatoria la valutazione d’impatto?
- Trattamenti valutativi o di scoring, compresa la profilazione
- Decisioni automatizzate che producono significativi effetti giuridici
-
Monitoraggio sistematico (es: videosorveglianza)
-
Dati sensibili o dati di natura estremamente personale (es: informazioni sulle opinioni politiche
-
Trattamenti di dati personali su larga scala
-
Combinazione o raffronto di insiemi di dati
-
Dati relativi a interessati vulnerabili (minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani, ecc.)
-
Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (es: riconoscimento facciale, device IoT, ecc.)
-
Tutti quei trattamenti che, di per sé, “impediscono [agli interessati] di esercitare un diritto o di avvalersi di un servizio o di un contratto” (es: screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).
Ogni persona può tutelare i propri dati personali, in primo luogo, esercitando i diritti previsti dagli articoli da 15 a 22 del Regolamento (UE) 2016/679.
Come?
L’interessato può presentare un’istanza al titolare, senza particolari formalità (ad esempio, mediante lettera raccomandata, telefax, posta elettronica, ecc.).
Su questo sito è disponibile un modulo che si può utilizzare per esercitare i predetti diritti.
L’istanza può essere riferita, a seconda delle esigenze dell’interessato, a specifici dati personali, a categorie di dati o ad un particolare trattamento, oppure a tutti i dati personali che lo riguardano, comunque trattati.
All’istanza il titolare, deve fornire idoneo riscontro.
I termini per fornire riscontro sono mutati in base al Regolamento (UE) 2016/679, pertanto a partire dal 25 maggio 2018, il riscontro deve essere fornito:
– senza ingiustificato ritardo, al più tardi entro 1 mese dal suo ricevimento;
– tale termine può essere prorogato di 2 mesi, qualora si renda necessario tenuto conto della complessità e del numero di richieste. In tal caso, il titolare deve comunque darne comunicazione all’interessato entro 1 mese dal ricevimento della richiesta.
Nota: si fa presente che i link di collegamento al sito del garante della privacy possono subire variazioni nel tempo