Regolamento Europeo 679/2016 sulla protezione dei dati personali

Patrizia Meo Consulente Privacy e DPO > Regolamento Europeo 679/2016 sulla protezione dei dati personali

Regolamento Europeo sulla protezione dei dati. Regolamento (UE) 2016/679

Il 24 maggio 2016 è entrato in vigore il nuovo Regolamento europeo in materia di protezione dei dati personali, noto come GDPR (General Data Protection Regulation). Il testo è pplicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018. Nasce un nuvo concetto di privacy. La tecnologia ha trasformato la società e con essa è cambiato il concetto di “privacy”: da diritto “a essere lasciato solo” (right to be let alone) è arrivato a indicare il “diritto al controllo sui propri dati personali”. Le evoluzioni normative riguardanti la privacy hanno imposto l’adozione di cautele giuridiche, tecniche ed organizzative necessarie per procedere in maniera corretta al trattamento dei dati personali. Con il GDPR la normativa in materia di protezione dei dati personali assume un ruolo determinante per l’adozione di qualsiasi attività e decisione da parte di soggetti economici e pubblici che implichi un trattamento di dati personali. Il Regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali,  da applicarsi sia al trattamento automatizzato che al trattamento manuale dei dati personali (art. 2 e Considerando 15).

Comitato europeo per la protezione dei dati (EDPB European Data Protection Board)

È un organismo dell’UE incaricato dell’applicazione del regolamento generale sulla protezione dei dati a partire dal 25 maggio 2018. L’EDPB è un organismo indipendente che:

  • assicura che il diritto dell’UE in questo settore – in particolare il regolamento generale sulla protezione dei dati (RGPD) e la direttiva sulla protezione dei dati nell’ambito delle attività di contrasto – sia applicato in modo coerente in tutti i paesi che ne sono coperti
  •  promuove la cooperazione fra le autorità nazionali preposte alla protezione dei dati

Chi fa parte dell’EDPB?

Cosa fa l’EDPB?

  • fornisce una guida generale (compresi orientamenti, raccomandazioni e migliori pratiche) per chiarire l’RGPD
  • adotta conclusioni coerenti , volte a garantire che l’RGPD sia interpretato in modo coerente da tutti gli organismi di regolamentazione nazionali, ad esempio nei casi riguardanti due o più paesi
  • fornisce consulenze alla Commissione europea sulle questioni riguardanti la protezione dei dati e qualsiasi nuova normativa dell’UE di particolare importanza per la protezione dei dati personali
  • incoraggia le autorità nazionali preposte alla protezione dei dati a collaborare e condividere informazioni e migliori pratiche.

Applicazione Territoriale

Applicazione territoriale (art.3) Il regolamento si applica – ai soggetti stabiliti sul territorio comunitario:

  • sia che trattino i dati all’interno del territorio comunitario
  • sia che li trattino fuori dal territorio comunitario

– ai soggetti stabiliti al di fuori del territorio comunitario quando il trattamento riguarda:

  • l’offerta di beni e servizi per soggetti residenti nell’UE
  • il monitoraggio del comportamento dei cittadini dell’UE

Ne consegue che le aziende che oggi non sono soggetti alla applicazione della dir 95/46/CEE dovranno invece ottemperare agli obblighi del Regegolamento 679/2016.

L'Informativa

L’informativa diventa sempre di più uno strumento di trasparenza riguardo al trattamento dei dati personali e all’esercizio dei diritti.
L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online: si vedano art. 12, paragrafo 1, e considerando 58), anche se sono ammessi “altri mezzi”, quindi può essere fornita anche oralmente, ma nel rispetto delle caratteristiche di cui sopra (art. 12, paragrafo 1). Per facilitare la comprensione dei contenuti, nell’informativa si potrà fare ricorso anche a icone. Il regolamento ammette, soprattutto, l’utilizzo di icone ma solo “in combinazione” con l’informativa estesa (art. 12,  paragrafo  7); queste icone dovranno essere identiche in tutta l’Ue e saranno definite prossimamente dalla Commissione europea.
 
Contenuti dell’informativa
I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del regolamento e in parte sono più ampi rispetto al Codice. Il titolare DEVE SEMPRE
  1. specificare i dati di contatto del RPD-DPO, ove esistente
  2. la base giuridica del trattamento qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento
  3. se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.)
  4. diritto di revocare il consenso a determinati trattamenti, come quelli a fini di marketing diretto.
Ulteriori informazioni:
  1. specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione
  2. il diritto di presentare un reclamo all’autorità di controllo.
  3. Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.

Informativa chiara e completa, concisa, trasparente, intelligibile per l’interessato e facilmente accessibile

Il Regolamento prevede:

  • informativa diretta: quando le informazioni sono raccolte presso l’interessato prima di effettuare la raccolta dei dati (art. 13)
  • informativa indiretta: quando le informazioni sono raccolti  presso altro titolare del trattamento (art. 14)

Il titolare deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati. Tempi dell’informativa Nel caso di dati personali non raccolti direttamente presso l’interessato (art. 14 del regolamento), l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (NON della registrazione) dei dati (a terzi o all’interessato) (diversamente da quanto prevede attualmente l’art. 13, comma 4, del Codice).

Consenso

Il consenso dell’interessato al trattamento dei dati personali dovrà essere, libero, specifico, informato e inequivocabile, anche quando espresso attraverso mezzi elettronici, NON è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo).
 
Viene esclusa ogni forma di consenso tacito (il silenzio, cioè, non equivale al consenso), in quanto il consenso DEVE essere manifestato attraverso “dichiarazione o azione positiva inequivocabile”.
Per i dati “sensibili” il consenso DEVE essere “esplicito”; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – art. 22). Il consenso potrà essere revocato in ogni momento.
 
Il consenso dei minori è valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.
 
E’ valido il consenso raccolto precedentemente al 25 maggio 2018? Resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento, se si vuole continuare a fare ricorso a tale base giuridica.
 
ATTENZIONE verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (art. 7.2), per esempio all’interno di modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara (art. 7.2). I soggetti pubblici non devono, di regola, chiedere il consenso per il trattamento dei dati personali (si vedano considerando 43, art. 9, altre disposizioni del Codice: artt. 18, 20).

Soggetti Privacy

Contitolarità del trattamento (art. 26) il regolamento impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente;
 
Responsabile del trattamento (art. 28) Il Regolamento fissa le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” – quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento;
Obblighi del Responsabile. Il responsabile del trattamento ha obblighi specifici, quali: la tenuta del registro dei trattamenti svolti (art. 30, comma 2); l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (art. 32 ); la designazione di un Data Protection Officer (art. 37);
Sub-responsabili del trattamento possono essere nominati da parte di un responsabile (si veda art. 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest’ultimo risponde dinanzi al titolare dell’inadempimento dell’eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l’evento dannoso “non gli è in alcun modo imputabile” (si veda art. 82, paragrafo 1 e paragrafo 3);
 
Incaricato del trattamento (ex art. 30 Codice), il regolamento non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile(si veda, in particolare, art. 4, n. 10, del regolamento). Si ritiene opportuno che titolari e responsabili del trattamento mantengano in essere la struttura organizzativa e le modalità di designazione degli incaricati di trattamento così come delineatesi negli anni anche attraverso gli interventi del Garante.
 
Cosa fare prima del 25 maggio 2018?
  • I titolari di trattamento dovrebbero valutare attentamente l’esistenza di eventuali situazioni di contitolarità.
  • I titolari di trattamento dovrebbero verificare che i contratti o altri atti giuridici che attualmente disciplinano i rapporti con i rispettivi responsabili siano conformi a quanto previsto, in particolare, dall’art. 28, paragrafo 3, del regolamento. Dovranno essere apportate le necessarie integrazioni o modifiche entro il 25 maggio 2018, in particolare qualora si intendano designare sub-responsabili nei termini sopra descritti.
 

Il Responsabile della Protezione dei dati

Il Regolamento Europeo prevede una novità molto importante, la figura del responsabile della protezione dei dati (RPD). Chi deve nominare il RPD? Nomina obbligatoria:

  1. se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
  2. se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
  3. se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

Cosa significa “attività principali”?

Con “attività principali” si possono intendere le operazioni essenziali che sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare o dal responsabile del trattamento, comprese tutte quelle attività per le quali il trattamento dei dati è inscindibilmente connesso all ’attività del titolare o del responsabile. Per esempio, il trattamento di dati relativi alla salute (come le cartelle sanitarie dei pazienti) è da ritenersi una delle attività principali di qualsiasi ospedale; ne deriva che tutti gli ospedali dovranno designare un RPD.

Quali saranno i compiti del RPD?

  1. Informare e fornire consulenza al titolare del trattamento o al responsabile
  2. Sorvegliare l’osservanza del RGPD
  3. Fornire un parere sulla valutazione di impatto sulla protezione dei dati
  4. fungere da punto di contatto per l’autorità di controllo
     
     
     
E’ ammessa la designazione congiunta di uno stesso RPD da parte di più soggetti?
E’ possibile a un gruppo imprenditoriale di nominare un unico RPD a condizione che quest’ultimo sia “facilmente
raggiungibile da ciascuno stabilimento”.

Quali sono le garanzie che possono consentire al RPD di operare con indipendenza?

Vi sono numerose garanzie che possono consentire al RPD di operare in modo indipendente, come indicato al considerando 97 del regolamento:

    • nessuna istruzione da parte del titolare o del responsabile per quanto riguarda lo svolgimento dei compiti affidati al RPD;
    • nessuna penalizzazione o rimozione dall’incarico in rapporto allo svolgimento dei compiti affidati al RPD;
  • nessun conflitto di interessi con eventuali ulteriori compiti e funzioni.
Quali sono gli “altri compiti e funzioni” del RPD che possono comportare conflitti di interessi?
Un RPD non può rivestire, all’interno dell’organizzazione del titolare o del responsabile, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Si tratta di un elemento da tenere in considerazione caso per caso guardando alla specifica struttura organizzativa del singolo titolare o responsabile.
A grandi linee, possono sussistere situazioni di conflitto con riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT).
 
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5930300
 
 
 
 

Autorità di controllo Capofila

Le disposizioni sui meccanismi amministrativi della protezione dei dati nell’Ue sono fissate nei Capi VI e VII del regolamento 2016/679. Il Capo VI, in particolare, prevede la costituzione di un’”autorità di controllo” in ciascuno Stato membro (rinviando al legislatore nazionale la definizione delle modalità di nomina dei componenti e l’attribuzione di idonee risorse), fissa identici compiti e poteri per le autorità (artt. 57 e 58) in tutti i Paesi Ue e introduce (art. 56) la nozione di “autorità di controllo capofila”. L’autorità di controllo capofila è, in sintesi, l’autorità dello stabilimento principale o unico nell’Ue del titolare o responsabile del trattamento, alla quale viene trasferita la competenza da tutte le altre autorità di controllo (definite, in questo caso, “autorità interessate”) per quanto riguarda i “trattamenti transfrontalieri” di dati personali svolti da quel titolare o responsabile. Le definizioni di “stabilimento principale” e “trattamento transfrontaliero” sono contenute all’art. 4(16) e (23), rispettivamente; anche il concetto di “autorità di controllo interessata” trova definizione all’art. 4 (punto 22) del regolamento. L’obiettivo della devoluzione di competenze a favore dell’autorità capofila è garantire l’esistenza di uno “sportello unico” per i trattamenti transfrontalieri di dati personali: principio sancito dal paragrafo 6 dell’art. 56 (“L’autorità di controllo capofila è l’unico interlocutore del titolare del trattamento o del responsabile del trattamento in merito al trattamento transfrontaliero effettuato da tale titolare o responsabile“). Occorre ricordare, tuttavia, che il regolamento stesso prevede alcune eccezioni: l’autorità di controllo che riceve un reclamo (e quindi è, per definizione, un’autorità “interessata”) può infatti far valere il carattere esclusivamente locale del caso e chiedere all’autorità capofila di rinunciare alla propria competenza (“se l’oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro”): v. art. 56, paragrafo 2. La cooperazione fra l’autorità capofila e le altre autorità, ma anche fra le autorità di controllo in generale, è disciplinata nel Capo VII del regolamento, che ha per oggetto appunto “Cooperazione e coerenza”. In particolare, il meccanismo decisionale nei casi di trattamento transfrontaliero (detto “sportello unico”, poiché il titolare o il responsabile potrà rivolgersi alla sola autorità di controllo capofila) è regolato dall’art. 60 del regolamento. Si tratta di un meccanismo di co-decisione, in cui l’autorità capofila è competente a emanare la (unica) decisione finale, ma è obbligata a interpellare tutte le autorità interessate prima di assumere qualsiasi provvedimento che riguardi un titolare o responsabile, e nel farlo deve tenere conto delle “obiezioni pertinenti e motivate” che le autorità interessate possono sollevare sul progetto di decisione o parere fatto circolare dall’autorità capofila, secondo una tempistica molto stretta. L’autorità capofila può, in ogni momento, respingere le obiezioni formulate dalle autorità interessate e adire il Comitato europeo per la protezione dei dati (il “Board”) che decide secondo la procedura di cui all’art. 65, ma solo sulla “obiezione pertinente e motivata” – qualunque ne sia l’oggetto. La decisione del Comitato è vincolante per l’autorità capofila e le autorità interessate. Le Linee-guida del WP29 sulla “autorità di controllo capofila” intendono chiarire i criteri che i titolari di trattamento (e anche le autorità di controllo) utilizzeranno per individuare correttamente la propria autorità capofila, rispetto ai trattamenti transfrontalieri di dati personali, e illustrano in concreto il funzionamento del meccanismo di “sportello unico”.

Portabilità dei dati

  • Che cos’è il diritto alla portabilità dei dati?
E’ un nuovo diritto dell’interessato, stabilito dal Regolamento Europeo n. 679/2016, art. 20, che permette di ricevere i dati personali da una società, ente o persona, titolare del trattamento e di trasmetterli a un diverso titolare.
 
  • Quali sono i vantaggi per l’interessato?
Facilitare il passaggio da un un fornitori di servizi ad un altro. L’obiettivo ultimo è accrescere il controllo degli interessati sui propri dati personali.
 
  • A quali tipo di dati si applica?
La portabilità è prevista solo per i trattamenti effettuati con “mezzi automatizzati”. Dunque sono fuori dall’ambito della portabilità registri o archivi cartacei.
 
  • Quali dati personali devono essere portabili?
Ai sensi dell’art. 20, paragrafo 1, sono portabili i dati personali che riguardano l’interessato, e sono stati forniti dall’interessato a un titolare.
 
  • Quando si può chiedere la portabilità del dato?
Al  Punto II della Linea Guida si precisa che il diritto può essere attivato in presenza di tre condizioni: i dati devono “riguardare” l’interessato”, devono  essere  stati “forniti” dall’interessato stesso  (art. 20 co 1) ed infine non deve essere leso il diritto altrui (art 20 co 4).
Altra condizione perché l’interessato possa domandare la trasmissione dei dati in virtù della portabilità è che i dati siano trattati dal titolare perché ha ricevuto preventivamente il consenso a farlo o perché i trattamenti sono necessari per rispettare un contratto di cui l’interessato è parte.
 
  • Cosa si intende per dati “forniti” dall’interessato?
L’espressione “forniti da” si riferisce ai dati personali relativi ad attività compiute dall’interessato o derivanti dall’osservazione del comportamento di taleinteressato, con esclusione della successiva analisi di tale comportamento. Viceversa, tutti i dati personali che siano generati dal titolare nell’ambito di un trattamento, per esempio attraverso procedure di personalizzazione o finalizzate alla formulazione di raccomandazioni, o attraverso la categorizzazione o profilazione degli utenti, sono dati derivati o inferiti dai dati personali forniti dall’interessato e non ricadono nell’ambito del diritto alla portabilità.
  • Se si chiede la portabilità dei dati, il Titolare deve cancellari dai suoi sistemi?

La portabilità non comporta la cancellazione automatica dei dati conservati nei sistemi del titolare, e non incide sul periodo di conservazione previsto originariamente per i dati oggetto di trasmissione a seguito dell’esercizio del diritto alla portabilità.

  • Quando non si applica la portabilità del dato?
Il diritto alla portabilità dei dati non si applica in caso di trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento e non dovrebbe essere esercitato per i trattamenti effettuati nell’esercizio di funzioni pubbliche o pubblici poteri o per l’esecuzione di un compito svolto nel pubblico interesse e quando il trattamento è necessario per l’adempimento di un obbligo legale. Inoltre, il suo esercizio non deve ledere i diritti e le libertà altrui.
  • Esempio
L’interessato potrebbe decidere di chiudere il proprio account presso un dato servizio. In tal caso, senza il nuovo diritto, al momento della chiusura perderebbe tutti i dati personali in esso contenuti. Nello stesso modo, potrebbe invece decidere di cambiare il fornitore di un dato servizio, per esempio di posta elettronica e avere necessità di esportare e trasferire al nuovo titolare del servizio di posta elettronica scelto, tutti i contatti raccolti fino a quel momento e tutte le precedenti comunicazioni.

Pertanto, il titolare deve informare gli interessati specificamente in merito all’esistenza del diritto alla portabilità prima di chiudere un account, così da permettere loro di recuperare e conservare i propri dati personali.
 
  • In ambito sanitario?
I dati raccolti attraverso il monitoraggio e la registrazione delle attività delle persona (come ad esempio i dati del battito cardiaco registrati in una app o la tecnologia utilizzata per monitorare il comportamento di navigazione) dovrebbero essere considerati come “fornito da”, anche se i dati sono attivamente o consapevolmente trasmessi. Esempio, il portatore di un pacemaker, il paziente sottoposto ad un monitoraggio continuo della glicemia o il paziente assistito il telemedicina (solo a titolo di esempio) potranno richiedere i loro dati alla struttura sanitaria di competenza, la quale sarà tenuta a darglieli “in un formato strutturato, di uso comune e leggibile da dispositivo automatico».
  •  Informativa Privacy
Il titolare deve informare l’interessato della possibilità di esercitare  il diritto alla portabilità indicandolo nell’informativa privacy (art. 13 co. 2 e deve rispondere alle richieste di portabilità dell’interessato ‘senza ingiustificato ritardo’ e comunque entro un mese dalla richiesta (prorogabile al massimo di altri due mesi per i casi più complessi).
 
 

Diritto d'accesso

L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali (art. 15)
 
Con l’entrata in vigore del Regolamento, il diritto di accesso sarà rafforzato e ampliato, in quanto considerato di nuovo come diritto fondamentale in capo alle persone fisiche al fine di mantenere il controllo dei propri dati. In presenza di una richiesta di accesso, e qualora vi sia effettivamente un trattamento di dati personali relativi alla persona che ha fatto richiesta di accesso, il titolare del trattamento deve fornire all’interessato una copia dei dati personali oggetto di trattamento che lo riguardano.

  • Quanto costa?
Al diritto di accesso si applica il principio della gratuità. Però, in caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi.

  • In che modo il Titolare dovrà rispondere?

Il Regolamento prevede che il titolare del trattamento predisponga i mezzi per inoltrare le richieste per via elettronica, in particolare nel caso in cui i dati personali siano trattati con mezzi elettronici. Qualora l’interessato presenti la richiesta mediante mezzi elettronici, le informazioni devono essere fornite in un formato elettronico “di uso comune”, salvo che vi sia un’indicazione diversa da parte dello stesso interessato.

  • Tempi di risposta

Il titolare del trattamento è tenuto a rispondere “senza ingiustificato ritardo” e al più tardi entro un mese.

  • Cosa succede se i dati sono trasferiti verso Paesi Terzi?

Qualora i dati siano stati trasferiti dal titolare a un Paese terzo o a un’organizzazione internazionale, l’interessato ha diritto a esserne informato e a conoscere l’esistenza di adeguate garanzie relative al trasferimento.

Data Breach

Viene introdotto il diritto degli interessati di venire a conoscenza delle violazioni dei propri dati personali, data breach. I dati possono essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità. In questi casi, il Titolare dovrà comunicare all’Autorità Nazionale tale violazione. Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative. La comunicazione non richiesta se:

  • il titolare ha messo in atto misure che rendono i dati personali incomprensibili (cifratura);
  • il titolare ha adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
  • la comunicazione agli interessati potrebbe comportare uno sforzo sproporzionato (ad esempio, se il numero delle persone coinvolte è elevato). E’ richiesta, in questo caso, una comunicazione pubblica o adatta a raggiungere quanti più interessati possibile (ad esempio, tramite un’inserzione su un quotidiano o una comunicazione sul sito web del  titolare).
L’Autorità di protezione dei dati potrà comunque imporre al titolare del trattamento di informare gli interessati sulla base di una propria autonoma valutazione del rischio associato alla violazione.
 

Il registro dei trattamenti

Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (si veda art. 30, paragrafo 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all’art. 30. Il Regolamento esclude da tale obbligo tutti gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti che possano presentare “un rischio per i diritti e le libertà dell’interessato, o il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1 o i dati personali relativi a condanne penali e a reati di cui all’articolo 10”. Si tratta di uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio. Il registro dei trattamenti deve essere tenuto in forma scritta, anche in formato elettronico e deve essere messo a disposizione delle autorità di controllo in caso di richiesta. La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, il Garante invita tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione. Contenuti del registro delle attività di trattamento (art. 30, paragrafo 1):

  • il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  • le finalità del trattamento;
  • una descrizione delle categorie di interessati e delle categorie di dati personali;
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  • ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  • ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

Valutazione d'impatto DPIA

L’articolo 35 del Regolamento UE/2016/679 (RGDP) che mira a descrivere un trattamento di dati per valutarne la necessità e la proporzionalità nonché i relativi rischi, allo scopo di approntare misure idone e ad affrontarli. Una DPIA può riguardare un singolo trattamento oppure più trattamenti che presentano analogie in termini di natura, ambito, contesto, finalità e rischi.
 
La responsabilità della DPIA spetta al titolare, anche se la conduzione materiale dellavalutazione di impatto può essere affidata a un altro soggetto, interno o esterno all’organizzazione. Il titolare ne monitora lo svolgimento consultandosi con il responsabile della protezione dei dati (RPD, in inglese DPO) e acquisendo-se i trattamenti lo richiedono -il parere di esperti di settore, del responsabile della sicurezza dei sistemi informativi (ChiefInformation SecurityOfficer, CISO) e del responsabile IT.

Si tratta di uno strumento fondamentale in termini di responsabilizzazione (accountability) in quanto aiuta il titolare non soltanto a rispettare le prescrizioni del RGPD, ma anche ad attestare di aver adottato misure idonee a garantire il rispetto di tali prescrizioni. Quando è obbligatoria la valutazione d’impatto?

In tutti i casi in cui un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. E’ opportuno prendere in esame i seguenti nove criteri:
  1. Trattamenti valutativi o di scoring, compresa la profilazione
  2. Decisioni automatizzate che producono significativi effetti giuridici
  3. Monitoraggio sistematico (es: videosorveglianza)
  4. Dati sensibili o dati di natura estremamente personale (es: informazioni sulle opinioni politiche
  5. Trattamenti di dati personali su larga scala
  6. Combinazione o raffronto di insiemi di dati
  7. Dati relativi a interessati vulnerabili (minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani, ecc.)
  8. Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (es: riconoscimento facciale, device IoT, ecc.)
  9. Tutti quei trattamenti che, di per sé, “impediscono [agli interessati] di esercitare un diritto o di avvalersi di un servizio o di un contratto” (es: screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).
Un titolare può ritenere, nella maggioranza dei casi, che quando un trattamento soddisfa due dei criteri sopra indicati sia necessario condurre una DPIA.
 
 

Diritti degli interessati

Ogni persona può tutelare i propri dati personali, in primo luogo, esercitando i diritti previsti dagli articoli da 15 a 22 del Regolamento (UE) 2016/679. Come? L’interessato può presentare un’istanza al titolare, senza particolari formalità (ad esempio, mediante lettera raccomandata, telefax, posta elettronica, ecc.). Su questo sito è disponibile un modulo che si può utilizzare per esercitare i predetti diritti. L’istanza può essere riferita, a seconda delle esigenze dell’interessato, a specifici dati personali, a categorie di dati o ad un particolare trattamento, oppure a tutti i dati personali che lo riguardano, comunque trattati. All’istanza il titolare, deve fornire idoneo riscontro. I termini per fornire riscontro sono mutati in base al Regolamento (UE) 2016/679, pertanto a partire dal 25 maggio 2018, il riscontro deve essere fornito: – senza ingiustificato ritardo, al più tardi entro 1 mese dal suo ricevimento; – tale termine può essere prorogato di 2 mesi, qualora si renda necessario tenuto conto della complessità e del numero di richieste. In tal caso, il titolare deve comunque darne comunicazione all’interessato entro 1 mese dal ricevimento della richiesta.
 
 
Modulo di esercizio dei diritti
 https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1089924
 

Regolamento Europeo n. 679/2016

Scarica qui il testo in italiano

Guida al Regolamento Europeo

Scarica la guida del Garante Privacy

La protezione dei dati è un diritto di libertà