GDPR, IL NUOVO REGOLAMENTO EUROPEO SULLA PROTEZIONE DEI DATI

LE NOVITA’ IN MATERIA DI LAVORO PREVISTE DALLA LEGGE DI BILANCIO 2018
01/12/2017
LE NOVITA’ IN MATERIA DI LAVORO PREVISTE PER L’ANNO 2018
11/01/2018
at
Categories
Tags

Privacy concept: pixelated Opened Padlock icon on digital background, empty copyspace for card, text, advertising

Il 25 maggio 2018 dovrà essere data piena attuazione al Regolamento europeo 2016/679, c.d. GDPR,  il nuovo regolamento in materia di protezione dei dati personali. Il Regolamento riforma la normativa vigente al fine di definire norme uniche all’interno dell’Unione Europea.

Si riportano di seguito le principali novità introdotte dal Regolamento rispetto alle quali le aziende dovranno conformarsi per non incorrere nelle sanzioni previste dalla normativa, con sanzioni previste sino al 4% del fatturato aziendale.

Soggetti coinvolti

Innanzitutto occorre distinguere i soggetti coinvolti nel trattamento dei dati anche in considerazione della terminologia utilizzata dal Regolamento.

Data Controller: è il titolare del trattamento, ossia la persona fisica o giuridica che è responsabile “per” il trattamento medesimo, da non confondere con il “responsabile del trattamento” che, invece è il Data Processor. Il titolare del trattamento decide il motivo e le modalità di gestione dei dati ed  è il responsabile giuridico dell’ottemperanza agli obblighi previsti dalla normativa in materia di protezione dei dati personali.

Il responsabile del trattamento – Data Processor – è la persona fisica, giuridica o ente, che elabora i dati personali per conto del titolare del trattamento. Quest’ultimo, quindi, nomina uno o più responsabili, insieme ai quali pone in atto le misure tecniche ed organizzative congrue per garantire un livello di sicurezza adeguato al rischio.

Al riguardo il Regolamento apporta le seguenti novità.

  1. Viene introdotta la contitolarità del trattamento; è possibile, infatti, che coesistano più titolari del trattamento (contitolari o jointes controllers) che decidono congiuntamente di trattare i dati per una finalità comune. In tale caso la normativa impone ai contitolari di definire specificamente (con un atto giuridicamente valido) il rispettivo ambito di responsabilità e i compiti, con particolare riguardo all’esercizio dei diritti degli interessati, i quali possono rivolgersi indifferentemente ad uno qualsiasi dei contitolari.
  2. Rispetto al Codice della Privacy, fissa più dettagliatamente le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente le materie indicate dal Regolamento, al fine di dimostrare che il responsabile fornisce garanzie sufficienti; in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel Regolamento.
  3. Prevista la possibilità per il responsabile del trattamento di nominare un sub-responsabile per specifiche attività di trattamento nel rispetto degli stessi obblighi contrattuali che legano il titolare e il responsabile originario, il quale risponde comunque al titolare per gli inadempimenti del sub-responsabile, anche ai fini del risarcimento di eventuali danni causati, sempreché il responsabile dimostri che i danni procurati non siano in alcun modo a lui imputabili. Se il responsabile non risiede nella UE dovrà designare un rappresentante in Italia.
  4. Previsti obblighi specifici in capo ai responsabili del trattamento quali, ad esempio, la tenuta del registro dei trattamenti svolti, non obbligatorio per le imprese con meno di 250 dipendenti, l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei dati e la designazione di un Responsabile della Protezione dei Dati (RPD) nei casi previsti dal Regolamento.

Anche se non espressamente prevista, il Regolamento non esclude la figura dell’“incaricato del trattamento”, contemplata invece dal Codice della Privacy.

Qualsiasi trattamento dei dati deve essere svolto in maniera lecita e secondo correttezza, i dati devono essere raccolti e trattati per scopi determinati, espliciti e legittimi, non devono essere trattati, dunque, dati non necessari rispetto alla finalità per la quale vengono raccolti e trattati.

Il regolamento conferma che ogni trattamento deve trovare fondamento in un’idonea base giuridica; i fondamenti di liceità del trattamento coincidono, in linea di massima, con quelli previsti attualmente dal Codice privacy contenuto nel D. Lgs. 196/2003 e sono i seguenti.

  1. Consenso dell’interessato: deveessere, in tutti i casi, libero, specifico, informato e inequivocabile e non tacito o presunto[1]. Il nuovo regolamento stabilisce che il consenso:
  • deveessere “esplicito” per i dati “sensibili” (lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati);
  • non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” per i dati sensibili; inoltre, il titolare deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento;
  • il consenso dei minori è valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.

Al riguardo una raccomandazione fa presente che il consenso raccolto precedentemente al 25 maggio 2018 resta valido se rispecchia le caratteristiche sopra indicate, altrimenti, sarà necessario adeguarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescritto se si vuole continuare a fare ricorso a tale base giuridica. In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato, per esempio all’interno di modulistica.

  1. Adempimento obblighi contrattuali: nulla cambia al riguardo, pertanto, il trattamento è lecito se è necessario all’esecuzione di un contratto di cui l’interessato è parte. È indispensabile ovviamente l’informativa e deve essere garantita la portabilità dei dati, ossia il diritto di trasmettere i dati personali da un titolare ad un altro”senza ostacoli” nei casi in cui il trattamento è basato su elaborazione elettronica.
  2. Interessi vitali della persona interessata o di terzi: la necessità di salvaguardare tali interessi ammette il trattamento dei dati. Il regolamento stabilisce che si può invocare tale base giuridica solose nessuna delle altre condizioni di liceità può trovare applicazione.
  3. Obblighi di legge cui è soggetto il titolare: nulla varia in caso di trattamento dei dati necessario per l’adempimento di obblighi derivanti da legge, regolamento o normativa comunitaria.
  4. Interesse pubblico o esercizio di pubblici poteri: anche per tale base giuridica nulla cambia rispetto a quanto previsto fino ad ora.
  5. Interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati: tale interesse deve prevalere sui diritti e le libertà fondamentali dell’interessato per costituire un valido fondamento di liceità. In tale caso, però, il regolamento afferma che il bilanciamentofra legittimo interesse del titolare o del terzo e diritti e libertà dell’interessato è compito dello stesso titolare e non dell’Autorità, in ossequio al principio di “responsabilizzazione” introdotto dal regolamento stesso.

Informativa

I contenuti dell’informativa sono tassativamente previsti dal regolamento e in parte sono più ampi rispetto al Codice. In particolare, il titolare deve sempre specificare i dati di contatto del Responsabile della protezione dei dati (Data Protection Officer), indicando se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti.

Il regolamento prevede anche ulteriori informazioni da inserire al fine di garantire un trattamento corretto e trasparente; in particolare, il titolare deve specificare:

  • il periodo di conservazione dei datio i criteri seguiti per stabilire tale periodo di conservazione;
  • il diritto di presentare un reclamo all’autorità di controllo;
  • se il trattamento comporta processi decisionali automatizzati (anche la profilazione), la logica di tali processi decisionali e le conseguenze previste per l’interessato.

Relativamente alla tempistica nel caso di dati personali non raccolti direttamente presso l’interessato, l’informativa deve essere fornita:

  • entro un termine ragionevole che non può superare 1 mese dalla raccolta,
  • oppure al momento della comunicazione, e non della registrazione, dei dati a terzi o all’interessato, diversamente da quanto prevede attualmente il Codice.

Riguardo la struttura dell’informativa, viene specificato che questa, debba avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee. Inoltre, è data, in linea di principio, per iscritto e preferibilmente in formato elettronico, soprattutto nel contesto di servizi online. È anche possibile utilizzare icone per presentare i contenuti dell’informativa in forma sintetica, ma solo “in combinazione” con l’informativa estesa. Tali icone dovranno essere identiche in tutta l’Ue, saranno infatti presto definite con un provvedimento della Commissione europea.

Inoltre, il regolamento impone di informare l’interessato prima di procedere al trattamento ulteriore ogni volta che le finalità cambiano. La possibilità di trattare dati per finalità differenti rispetto a quella della raccolta iniziale è dunque prevista dal nuovo regolamento ma limitata a specifici casi tassativamente indicati. Sono, infine, parzialmente diversi i requisiti che il regolamento fissa per l’esonero dall’informativa.

La Commissione europea raccomanda che i titolari di trattamento verifichino la rispondenza delle informative attualmente utilizzate a tutti i criteri sopra delineati, con particolare riguardo ai contenuti obbligatori e alle modalità di redazione, in modo da apportare le modifiche o le integrazioni eventualmente necessarie prima del 25 maggio 2018.

Diritti degli interessati

L’interessato (data subject) del trattamento è la persona “fisica” a cui si riferiscono i dati personali. All’interessato sono riconosciuti specifici diritti per l’esercizio dei quali può rivolgersi direttamente al titolare del trattamento che, in collaborazione con il responsabile, deve agevolare tale esercizio adottando idonee misure tecniche ed organizzative. I diritti esercitabili sono:

  • l’opposizione al trattamento in tutto o in parte;
  • ottenere la cancellazione dei dati in possesso del titolare (diritto all’oblio);
  • ottenere l’aggiornamento o la rettifica dei dati conferiti;
  • chiedere ed ottenere in forma intellegibile i dati in possesso del titolare (diritto di accesso);
  • chiedere ed ottenere trasformazione in forma anonima dei dati;
  • chiedere ed ottenere il blocco o la limitazione dei dati trattati in violazione di legge e quelli dei quali non è più necessaria la conservazione in relazione agli scopi del trattamento.

Il regolamento stabilisce che, per tutti i diritti, il termine per la risposta all’interessato è 1 mese, estendibile fino a 3 mesi in casi di particolare complessità; entro 1 mese dalla richiesta il titolare deve comunque dare riscontro all’interessato, anche in caso di diniego, di regola in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità; può essere dato anche oralmente ma solo se tale modalità è richiesta dall’interessato stesso.

Approccio basato sul rischio e misure di accountability (responsabilizzazione) di titolari e responsabili

Il regolamento rafforza il principio di “responsabilizzazione” di titolari e responsabili che deve concretizzarsi in comportamenti proattivi tali da dimostrare la effettiva adozione di misure finalizzate ad assicurare l’applicazione del regolamento per la protezione dei dati. Ciò in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento tra i quali:

  • principio “data protection by default and by design”, in base al quale il trattamento deve essere previsto e configurato fin dall’inizio prevedendo le garanzie per tutelare la privacy degli utenti;
  • rischio del trattamento, inteso come valutazione dell’impatto negativo sulle libertà e i diritti degli interessati.

A partire dal 25 maggio 2018, tutti i titolari, indistintamente, dovranno notificare all’autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”. Tale notifica non è obbligatoria in quanto, anche in tal caso, è rimessa alla valutazione del titolare circa il possibile rischio che da tale violazione possa derivare per i diritti e le libertà degli interessati. I contenuti della notifica all’autorità e della comunicazione agli interessati sono indicati, in via non esclusiva, dal regolamento.

Cordiali saluti.

Luigi Birtolo

[1] Non sono ammesse, ad esempio, caselle pre-spuntate su un modulo.

Related posts

09/02/2018

IL CONTROLLO DELLE SIM AZIENDALI

Read more
27/04/2016

Linee Guida Garante per la Privacy Posta Elettronica e Internet

Read more
20/05/2015

Vademecum per la gestione dei dati personali

Read more