Il 24 maggio 2016 è entrato in vigore il nuovo Regolamento europeo in materia di protezione dei dati personali, noto come GDPR (General Data Protection Regulation). Il testo è pplicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018.
Nasce un nuvo concetto di privacy.
La tecnologia ha trasformato la società e con essa è cambiato il concetto di “privacy”: da diritto “a essere lasciato solo” (right to be let alone) è arrivato a indicare il “diritto al controllo sui propri dati personali”.
Le evoluzioni normative riguardanti la privacy hanno imposto l’adozione di cautele giuridiche, tecniche ed organizzative necessarie per procedere in maniera corretta al trattamento dei dati personali.
Con il GDPR la normativa in materia di protezione dei dati personali assume un ruolo determinante per l’adozione di qualsiasi attività e decisione da parte di soggetti economici e pubblici che implichi un trattamento di dati personali.
Il Regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, da applicarsi sia al trattamento automatizzato che al trattamento manuale dei dati personali (art. 2 e Considerando 15).
È un organismo dell’UE incaricato dell’applicazione del regolamento generale sulla protezione dei dati a partire dal 25 maggio 2018.
L’EDPB è un organismo indipendente che:
Applicazione territoriale (art.3)
Il regolamento si applica
– ai soggetti stabiliti sul territorio comunitario:
– ai soggetti stabiliti al di fuori del territorio comunitario quando il trattamento riguarda:
Ne consegue che le aziende che oggi non sono soggetti alla applicazione della dir 95/46/CEE dovranno invece ottemperare agli obblighi del Regegolamento 679/2016.
Il Regolamento prevede:
Il titolare deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati.
Tempi dell’informativa
Nel caso di dati personali non raccolti direttamente presso l’interessato (art. 14 del regolamento), l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (NON della registrazione) dei dati (a terzi o all’interessato) (diversamente da quanto prevede attualmente l’art. 13, comma 4, del Codice).
Obblighi del Responsabile. Il responsabile del trattamento ha obblighi specifici, quali: la tenuta del registro dei trattamenti svolti (art. 30, comma 2); l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (art. 32 ); la designazione di un Data Protection Officer (art. 37);
Il Regolamento Europeo prevede una novità molto importante, la figura del responsabile della protezione dei dati (RPD).
Chi deve nominare il RPD?
Nomina obbligatoria:
Cosa significa “attività principali”?
Quali saranno i compiti del RPD?
Quali sono le garanzie che possono consentire al RPD di operare con indipendenza?
Vi sono numerose garanzie che possono consentire al RPD di operare in modo indipendente, come indicato al considerando 97 del regolamento:
Le disposizioni sui meccanismi amministrativi della protezione dei dati nell’Ue sono fissate nei Capi VI e VII del regolamento 2016/679. Il Capo VI, in particolare, prevede la costituzione di un’”autorità di controllo” in ciascuno Stato membro (rinviando al legislatore nazionale la definizione delle modalità di nomina dei componenti e l’attribuzione di idonee risorse), fissa identici compiti e poteri per le autorità (artt. 57 e 58) in tutti i Paesi Ue e introduce (art. 56) la nozione di “autorità di controllo capofila”.
L’autorità di controllo capofila è, in sintesi, l’autorità dello stabilimento principale o unico nell’Ue del titolare o responsabile del trattamento, alla quale viene trasferita la competenza da tutte le altre autorità di controllo (definite, in questo caso, “autorità interessate”) per quanto riguarda i “trattamenti transfrontalieri” di dati personali svolti da quel titolare o responsabile.
Le definizioni di “stabilimento principale” e “trattamento transfrontaliero” sono contenute all’art. 4(16) e (23), rispettivamente; anche il concetto di “autorità di controllo interessata” trova definizione all’art. 4 (punto 22) del regolamento.
L’obiettivo della devoluzione di competenze a favore dell’autorità capofila è garantire l’esistenza di uno “sportello unico” per i trattamenti transfrontalieri di dati personali: principio sancito dal paragrafo 6 dell’art. 56 (“L’autorità di controllo capofila è l’unico interlocutore del titolare del trattamento o del responsabile del trattamento in merito al trattamento transfrontaliero effettuato da tale titolare o responsabile“).
Occorre ricordare, tuttavia, che il regolamento stesso prevede alcune eccezioni: l’autorità di controllo che riceve un reclamo (e quindi è, per definizione, un’autorità “interessata”) può infatti far valere il carattere esclusivamente locale del caso e chiedere all’autorità capofila di rinunciare alla propria competenza (“se l’oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro”): v. art. 56, paragrafo 2.
La cooperazione fra l’autorità capofila e le altre autorità, ma anche fra le autorità di controllo in generale, è disciplinata nel Capo VII del regolamento, che ha per oggetto appunto “Cooperazione e coerenza”.
In particolare, il meccanismo decisionale nei casi di trattamento transfrontaliero (detto “sportello unico”, poiché il titolare o il responsabile potrà rivolgersi alla sola autorità di controllo capofila) è regolato dall’art. 60 del regolamento. Si tratta di un meccanismo di co-decisione, in cui l’autorità capofila è competente a emanare la (unica) decisione finale, ma è obbligata a interpellare tutte le autorità interessate prima di assumere qualsiasi provvedimento che riguardi un titolare o responsabile, e nel farlo deve tenere conto delle “obiezioni pertinenti e motivate” che le autorità interessate possono sollevare sul progetto di decisione o parere fatto circolare dall’autorità capofila, secondo una tempistica molto stretta.
L’autorità capofila può, in ogni momento, respingere le obiezioni formulate dalle autorità interessate e adire il Comitato europeo per la protezione dei dati (il “Board”) che decide secondo la procedura di cui all’art. 65, ma solo sulla “obiezione pertinente e motivata” – qualunque ne sia l’oggetto. La decisione del Comitato è vincolante per l’autorità capofila e le autorità interessate.
Le Linee-guida del WP29 sulla “autorità di controllo capofila” intendono chiarire i criteri che i titolari di trattamento (e anche le autorità di controllo) utilizzeranno per individuare correttamente la propria autorità capofila, rispetto ai trattamenti transfrontalieri di dati personali, e illustrano in concreto il funzionamento del meccanismo di “sportello unico”.
La portabilità non comporta la cancellazione automatica dei dati conservati nei sistemi del titolare, e non incide sul periodo di conservazione previsto originariamente per i dati oggetto di trasmissione a seguito dell’esercizio del diritto alla portabilità.
L’interessato potrebbe decidere di chiudere il proprio account presso un dato servizio. In tal caso, senza il nuovo diritto, al momento della chiusura perderebbe tutti i dati personali in esso contenuti. Nello stesso modo, potrebbe invece decidere di cambiare il fornitore di un dato servizio, per esempio di posta elettronica e avere necessità di esportare e trasferire al nuovo titolare del servizio di posta elettronica scelto, tutti i contatti raccolti fino a quel momento e tutte le precedenti comunicazioni.
Con l’entrata in vigore del Regolamento, il diritto di accesso sarà rafforzato e ampliato, in quanto considerato di nuovo come diritto fondamentale in capo alle persone fisiche al fine di mantenere il controllo dei propri dati.
In presenza di una richiesta di accesso, e qualora vi sia effettivamente un trattamento di dati personali relativi alla persona che ha fatto richiesta di accesso, il titolare del trattamento deve fornire all’interessato una copia dei dati personali oggetto di trattamento che lo riguardano.
Al diritto di accesso si applica il principio della gratuità. Però, in caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi.
Il Regolamento prevede che il titolare del trattamento predisponga i mezzi per inoltrare le richieste per via elettronica, in particolare nel caso in cui i dati personali siano trattati con mezzi elettronici. Qualora l’interessato presenti la richiesta mediante mezzi elettronici, le informazioni devono essere fornite in un formato elettronico “di uso comune”, salvo che vi sia un’indicazione diversa da parte dello stesso interessato.
Il titolare del trattamento è tenuto a rispondere “senza ingiustificato ritardo” e al più tardi entro un mese.
Qualora i dati siano stati trasferiti dal titolare a un Paese terzo o a un’organizzazione internazionale, l’interessato ha diritto a esserne informato e a conoscere l’esistenza di adeguate garanzie relative al trasferimento.
Viene introdotto il diritto degli interessati di venire a conoscenza delle violazioni dei propri dati personali, data breach.
I dati possono essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità.
In questi casi, il Titolare dovrà comunicare all’Autorità Nazionale tale violazione.
Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative.
La comunicazione non richiesta se:
Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio
(si veda art. 30, paragrafo 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all’art. 30.
Il Regolamento esclude da tale obbligo tutti gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti che possano presentare “un rischio per i diritti e le libertà dell’interessato, o il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1 o i dati personali relativi a condanne penali e a reati di cui all’articolo 10”.
Si tratta di uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio.
Il registro dei trattamenti deve essere tenuto in forma scritta, anche in formato elettronico e deve essere messo a disposizione delle autorità di controllo in caso di richiesta.
La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali.
Per tale motivo, il Garante invita tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione.
Contenuti del registro delle attività di trattamento (art. 30, paragrafo 1):
Si tratta di uno strumento fondamentale in termini di responsabilizzazione (accountability) in quanto aiuta il titolare non soltanto a rispettare le prescrizioni del RGPD, ma anche ad attestare di aver adottato misure idonee a garantire il rispetto di tali prescrizioni.
Quando è obbligatoria la valutazione d’impatto?
Ogni persona può tutelare i propri dati personali, in primo luogo, esercitando i diritti previsti dagli articoli da 15 a 22 del Regolamento (UE) 2016/679.
Come?
L’interessato può presentare un’istanza al titolare, senza particolari formalità (ad esempio, mediante lettera raccomandata, telefax, posta elettronica, ecc.).
Su questo sito è disponibile un modulo che si può utilizzare per esercitare i predetti diritti.
L’istanza può essere riferita, a seconda delle esigenze dell’interessato, a specifici dati personali, a categorie di dati o ad un particolare trattamento, oppure a tutti i dati personali che lo riguardano, comunque trattati.
All’istanza il titolare, deve fornire idoneo riscontro.
I termini per fornire riscontro sono mutati in base al Regolamento (UE) 2016/679, pertanto a partire dal 25 maggio 2018, il riscontro deve essere fornito:
– senza ingiustificato ritardo, al più tardi entro 1 mese dal suo ricevimento;
– tale termine può essere prorogato di 2 mesi, qualora si renda necessario tenuto conto della complessità e del numero di richieste. In tal caso, il titolare deve comunque darne comunicazione all’interessato entro 1 mese dal ricevimento della richiesta.