
Regolamento Europeo sulla protezione dei dati. Regolamento (UE) 2016/679
Il 24 maggio 2016 è entrato in vigore il nuovo Regolamento europeo in materia di protezione dei dati personali, noto come GDPR (General Data Protection Regulation). Il testo è pplicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018. Nasce un nuvo concetto di privacy. La tecnologia ha trasformato la società e con essa è cambiato il concetto di “privacy”: da diritto “a essere lasciato solo” (right to be let alone) è arrivato a indicare il “diritto al controllo sui propri dati personali”. Le evoluzioni normative riguardanti la privacy hanno imposto l’adozione di cautele giuridiche, tecniche ed organizzative necessarie per procedere in maniera corretta al trattamento dei dati personali. Con il GDPR la normativa in materia di protezione dei dati personali assume un ruolo determinante per l’adozione di qualsiasi attività e decisione da parte di soggetti economici e pubblici che implichi un trattamento di dati personali. Il Regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, da applicarsi sia al trattamento automatizzato che al trattamento manuale dei dati personali (art. 2 e Considerando 15).
Comitato europeo per la protezione dei dati (EDPB European Data Protection Board)
È un organismo dell’UE incaricato dell’applicazione del regolamento generale sulla protezione dei dati a partire dal 25 maggio 2018. L’EDPB è un organismo indipendente che:
- assicura che il diritto dell’UE in questo settore – in particolare il regolamento generale sulla protezione dei dati (RGPD) e la direttiva sulla protezione dei dati nell’ambito delle attività di contrasto – sia applicato in modo coerente in tutti i paesi che ne sono coperti
- promuove la cooperazione fra le autorità nazionali preposte alla protezione dei dati
Chi fa parte dell’EDPB?
- Un presidente e due vicepresidenti, nominati per un mandato rinnovabile di 5 anni.
- Ogni autorità nazionale preposta alla protezione dei dati e il garante europeo della protezione dei dati (GEPD).
Cosa fa l’EDPB?
- fornisce una guida generale (compresi orientamenti, raccomandazioni e migliori pratiche) per chiarire l’RGPD
- adotta conclusioni coerenti , volte a garantire che l’RGPD sia interpretato in modo coerente da tutti gli organismi di regolamentazione nazionali, ad esempio nei casi riguardanti due o più paesi
- fornisce consulenze alla Commissione europea sulle questioni riguardanti la protezione dei dati e qualsiasi nuova normativa dell’UE di particolare importanza per la protezione dei dati personali
- incoraggia le autorità nazionali preposte alla protezione dei dati a collaborare e condividere informazioni e migliori pratiche.
Applicazione Territoriale
Applicazione territoriale (art.3) Il regolamento si applica – ai soggetti stabiliti sul territorio comunitario:
- sia che trattino i dati all’interno del territorio comunitario
- sia che li trattino fuori dal territorio comunitario
– ai soggetti stabiliti al di fuori del territorio comunitario quando il trattamento riguarda:
- l’offerta di beni e servizi per soggetti residenti nell’UE
- il monitoraggio del comportamento dei cittadini dell’UE
Ne consegue che le aziende che oggi non sono soggetti alla applicazione della dir 95/46/CEE dovranno invece ottemperare agli obblighi del Regegolamento 679/2016.
L'Informativa
- specificare i dati di contatto del RPD-DPO, ove esistente
- la base giuridica del trattamento qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento
- se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.)
- diritto di revocare il consenso a determinati trattamenti, come quelli a fini di marketing diretto.
- specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione
- il diritto di presentare un reclamo all’autorità di controllo.
- Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.
Informativa chiara e completa, concisa, trasparente, intelligibile per l’interessato e facilmente accessibile
Il Regolamento prevede:
- informativa diretta: quando le informazioni sono raccolte presso l’interessato prima di effettuare la raccolta dei dati (art. 13)
- informativa indiretta: quando le informazioni sono raccolti presso altro titolare del trattamento (art. 14)
Il titolare deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati. Tempi dell’informativa Nel caso di dati personali non raccolti direttamente presso l’interessato (art. 14 del regolamento), l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (NON della registrazione) dei dati (a terzi o all’interessato) (diversamente da quanto prevede attualmente l’art. 13, comma 4, del Codice).
Consenso
Soggetti Privacy
- I titolari di trattamento dovrebbero valutare attentamente l’esistenza di eventuali situazioni di contitolarità.
- I titolari di trattamento dovrebbero verificare che i contratti o altri atti giuridici che attualmente disciplinano i rapporti con i rispettivi responsabili siano conformi a quanto previsto, in particolare, dall’art. 28, paragrafo 3, del regolamento. Dovranno essere apportate le necessarie integrazioni o modifiche entro il 25 maggio 2018, in particolare qualora si intendano designare sub-responsabili nei termini sopra descritti.
Il Responsabile della Protezione dei dati
Il Regolamento Europeo prevede una novità molto importante, la figura del responsabile della protezione dei dati (RPD). Chi deve nominare il RPD? Nomina obbligatoria:
- se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
- se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
- se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.
Cosa significa “attività principali”?
Quali saranno i compiti del RPD?
-
Informare e fornire consulenza al titolare del trattamento o al responsabile
- Sorvegliare l’osservanza del RGPD
- Fornire un parere sulla valutazione di impatto sulla protezione dei dati
-
fungere da punto di contatto per l’autorità di controllo
Quali sono le garanzie che possono consentire al RPD di operare con indipendenza?
Vi sono numerose garanzie che possono consentire al RPD di operare in modo indipendente, come indicato al considerando 97 del regolamento:
-
- nessuna istruzione da parte del titolare o del responsabile per quanto riguarda lo svolgimento dei compiti affidati al RPD;
-
- nessuna penalizzazione o rimozione dall’incarico in rapporto allo svolgimento dei compiti affidati al RPD;
- nessun conflitto di interessi con eventuali ulteriori compiti e funzioni.
Autorità di controllo Capofila
Le disposizioni sui meccanismi amministrativi della protezione dei dati nell’Ue sono fissate nei Capi VI e VII del regolamento 2016/679. Il Capo VI, in particolare, prevede la costituzione di un’”autorità di controllo” in ciascuno Stato membro (rinviando al legislatore nazionale la definizione delle modalità di nomina dei componenti e l’attribuzione di idonee risorse), fissa identici compiti e poteri per le autorità (artt. 57 e 58) in tutti i Paesi Ue e introduce (art. 56) la nozione di “autorità di controllo capofila”. L’autorità di controllo capofila è, in sintesi, l’autorità dello stabilimento principale o unico nell’Ue del titolare o responsabile del trattamento, alla quale viene trasferita la competenza da tutte le altre autorità di controllo (definite, in questo caso, “autorità interessate”) per quanto riguarda i “trattamenti transfrontalieri” di dati personali svolti da quel titolare o responsabile. Le definizioni di “stabilimento principale” e “trattamento transfrontaliero” sono contenute all’art. 4(16) e (23), rispettivamente; anche il concetto di “autorità di controllo interessata” trova definizione all’art. 4 (punto 22) del regolamento. L’obiettivo della devoluzione di competenze a favore dell’autorità capofila è garantire l’esistenza di uno “sportello unico” per i trattamenti transfrontalieri di dati personali: principio sancito dal paragrafo 6 dell’art. 56 (“L’autorità di controllo capofila è l’unico interlocutore del titolare del trattamento o del responsabile del trattamento in merito al trattamento transfrontaliero effettuato da tale titolare o responsabile“). Occorre ricordare, tuttavia, che il regolamento stesso prevede alcune eccezioni: l’autorità di controllo che riceve un reclamo (e quindi è, per definizione, un’autorità “interessata”) può infatti far valere il carattere esclusivamente locale del caso e chiedere all’autorità capofila di rinunciare alla propria competenza (“se l’oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro”): v. art. 56, paragrafo 2. La cooperazione fra l’autorità capofila e le altre autorità, ma anche fra le autorità di controllo in generale, è disciplinata nel Capo VII del regolamento, che ha per oggetto appunto “Cooperazione e coerenza”. In particolare, il meccanismo decisionale nei casi di trattamento transfrontaliero (detto “sportello unico”, poiché il titolare o il responsabile potrà rivolgersi alla sola autorità di controllo capofila) è regolato dall’art. 60 del regolamento. Si tratta di un meccanismo di co-decisione, in cui l’autorità capofila è competente a emanare la (unica) decisione finale, ma è obbligata a interpellare tutte le autorità interessate prima di assumere qualsiasi provvedimento che riguardi un titolare o responsabile, e nel farlo deve tenere conto delle “obiezioni pertinenti e motivate” che le autorità interessate possono sollevare sul progetto di decisione o parere fatto circolare dall’autorità capofila, secondo una tempistica molto stretta. L’autorità capofila può, in ogni momento, respingere le obiezioni formulate dalle autorità interessate e adire il Comitato europeo per la protezione dei dati (il “Board”) che decide secondo la procedura di cui all’art. 65, ma solo sulla “obiezione pertinente e motivata” – qualunque ne sia l’oggetto. La decisione del Comitato è vincolante per l’autorità capofila e le autorità interessate. Le Linee-guida del WP29 sulla “autorità di controllo capofila” intendono chiarire i criteri che i titolari di trattamento (e anche le autorità di controllo) utilizzeranno per individuare correttamente la propria autorità capofila, rispetto ai trattamenti transfrontalieri di dati personali, e illustrano in concreto il funzionamento del meccanismo di “sportello unico”.
Portabilità dei dati
- Che cos’è il diritto alla portabilità dei dati?
- Quali sono i vantaggi per l’interessato?
- A quali tipo di dati si applica?
- Quali dati personali devono essere portabili?
- Quando si può chiedere la portabilità del dato?
- Cosa si intende per dati “forniti” dall’interessato?
- Se si chiede la portabilità dei dati, il Titolare deve cancellari dai suoi sistemi?
La portabilità non comporta la cancellazione automatica dei dati conservati nei sistemi del titolare, e non incide sul periodo di conservazione previsto originariamente per i dati oggetto di trasmissione a seguito dell’esercizio del diritto alla portabilità.
- Quando non si applica la portabilità del dato?
- Esempio
- In ambito sanitario?
- Informativa Privacy
Diritto d'accesso
- Quanto costa?
- In che modo il Titolare dovrà rispondere?
Il Regolamento prevede che il titolare del trattamento predisponga i mezzi per inoltrare le richieste per via elettronica, in particolare nel caso in cui i dati personali siano trattati con mezzi elettronici. Qualora l’interessato presenti la richiesta mediante mezzi elettronici, le informazioni devono essere fornite in un formato elettronico “di uso comune”, salvo che vi sia un’indicazione diversa da parte dello stesso interessato.
- Tempi di risposta
Il titolare del trattamento è tenuto a rispondere “senza ingiustificato ritardo” e al più tardi entro un mese.
- Cosa succede se i dati sono trasferiti verso Paesi Terzi?
Qualora i dati siano stati trasferiti dal titolare a un Paese terzo o a un’organizzazione internazionale, l’interessato ha diritto a esserne informato e a conoscere l’esistenza di adeguate garanzie relative al trasferimento.
Data Breach
Viene introdotto il diritto degli interessati di venire a conoscenza delle violazioni dei propri dati personali, data breach. I dati possono essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità. In questi casi, il Titolare dovrà comunicare all’Autorità Nazionale tale violazione. Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative. La comunicazione non richiesta se:
- il titolare ha messo in atto misure che rendono i dati personali incomprensibili (cifratura);
- il titolare ha adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
-
la comunicazione agli interessati potrebbe comportare uno sforzo sproporzionato (ad esempio, se il numero delle persone coinvolte è elevato). E’ richiesta, in questo caso, una comunicazione pubblica o adatta a raggiungere quanti più interessati possibile (ad esempio, tramite un’inserzione su un quotidiano o una comunicazione sul sito web del titolare).
Il registro dei trattamenti
Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (si veda art. 30, paragrafo 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all’art. 30. Il Regolamento esclude da tale obbligo tutti gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti che possano presentare “un rischio per i diritti e le libertà dell’interessato, o il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1 o i dati personali relativi a condanne penali e a reati di cui all’articolo 10”. Si tratta di uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio. Il registro dei trattamenti deve essere tenuto in forma scritta, anche in formato elettronico e deve essere messo a disposizione delle autorità di controllo in caso di richiesta. La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, il Garante invita tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione. Contenuti del registro delle attività di trattamento (art. 30, paragrafo 1):
- il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
- le finalità del trattamento;
- una descrizione delle categorie di interessati e delle categorie di dati personali;
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
- ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
- ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
Valutazione d'impatto DPIA
Si tratta di uno strumento fondamentale in termini di responsabilizzazione (accountability) in quanto aiuta il titolare non soltanto a rispettare le prescrizioni del RGPD, ma anche ad attestare di aver adottato misure idonee a garantire il rispetto di tali prescrizioni. Quando è obbligatoria la valutazione d’impatto?
- Trattamenti valutativi o di scoring, compresa la profilazione
- Decisioni automatizzate che producono significativi effetti giuridici
-
Monitoraggio sistematico (es: videosorveglianza)
-
Dati sensibili o dati di natura estremamente personale (es: informazioni sulle opinioni politiche
-
Trattamenti di dati personali su larga scala
-
Combinazione o raffronto di insiemi di dati
-
Dati relativi a interessati vulnerabili (minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani, ecc.)
-
Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (es: riconoscimento facciale, device IoT, ecc.)
-
Tutti quei trattamenti che, di per sé, “impediscono [agli interessati] di esercitare un diritto o di avvalersi di un servizio o di un contratto” (es: screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).
