Adempimenti in materia di trattamento dati personali

Negli anni passati il tema della privacy era regolato dalla direttiva 95/46/CE, che era stata recepita dagli Stati europei in maniera diversa.

L’Italia aveva adottato il cosiddetto “Codice in materia di Protezione dati personali” (D. Lgs. 196/2003). Ciò ha comportato varie difficoltà nella gestione delle problematiche legate ai trattamenti di dati personali tra uno Stato e l’altro, sia dal punto di vista dello sviluppo tecnologico sempre più veloce, sia dal punto di vista normativo perché si aveva l’esigenza di avere una normativa unitaria per tutta l’Unione europea.

Il 25 maggio 2016 è entrato in vigore in tutti gli Stati membri dell’Unione Europea il Regolamento UE 2016/679, noto anche come GDPR – General Data Protection Regulation e ha avuto la sua piena applicabilità a partire dal 25 maggio 2018.

Una nuova normativa sulla privacy che nasce con un importante obiettivo: la protezione dei dati personali delle persone fisiche (“interessati”) presenti in Europa, nel rispetto della loro libertà e dignità.

L’Italia ha armonizzato tramite il D. Lgs. 101/2018, la precedente legge sulla Privacy 196/2003 con le nuove disposizioni europee.

AMBITO DI APPLICAZIONE

Il Regolamento si applica ad ogni "trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi". In tale prospettiva il GDPR disciplina solo il trattamento dei dati personali che riguardano una persona fisica, con esclusione delle persone giuridiche (tranne poche eccezioni).

Per quanto riguarda l'ambito territoriale, secondo l’articolo 3 del GDPR, il regolamento si applica ad ogni trattamento che ha ad oggetto dati personali, e a tutti i titolari (controller) e responsabili (processor) del trattamento stabiliti nel territorio dell'Unione, ma anche in generale a quelli che, offrendo beni e servizi a persone residenti nell'Unione, trattano dati di residenti nell'Unione europea (art. 3 del Regolamento).

Occorre che le aziende compiano una revisione completa dei dati che raccolgono e trattano, verificando le basi giuridiche per tali trattamenti e quale è l'impatto di tali trattamenti per gli interessati. Una volta fatto, occorre comunicare tutto ciò all'esterno, precisando anche quali diritti hanno gli individui in relazione a tali trattamenti. I principi generali del GDPR si fondano su responsabilità e trasparenza. 

DEFINIZIONI

Per dato personale, secondo quanto disposto dall’articolo 4, par. 1, si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Il Considerando 26 espone che “È auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile. I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l'utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Per stabilire l'identificabilità di una persona è opportuno considerare tutti i mezzi, come l'individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l'insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l'identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici”.

Per identificativo si intende un’informazione idonea a rendere identificata/identificabile la persona fisica. Mentre, per quanto concerne l’identificazione, essa va intesa nel senso di individuazione/riconoscimento della persona fisica, anche a prescindere dal nome.

Infine, per identificabilità si intende la possibilità di pervenire all’identificazione dell’interessato.

Per dati relativi alla salute: si intende i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.

Trattamento dei dati personali (articolo 4 GDPR): Il Trattamento dei dati personali è qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”. 

Il concetto di trattamento assorbe tutte quelle operazioni che implicano una conoscenza di dati personali. Il trattamento di dati personali deve essere svolto in maniera lecita e secondo correttezza, oltre al fatto che i dati devono essere raccolti e trattati per scopi determinati, espliciti e legittimi, e utilizzati in termini compatibili con tali scopi. Inoltre, i dati devono essere esatti e aggiornati, pertinenti, completi e non eccedenti rispetto agli scopi del trattamento. Infine, devono essere conservati per un periodo non superiore al tempo necessario per raggiungere gli scopi del trattamento, trascorso il quale i dati vanno cancellati oppure anonimizzati. 

I dati raccolti o trattati in modo illecito non possono essere in alcun modo utilizzati, in caso contrario l'utilizzatore può essere soggetto a sanzioni e condannato al risarcimento dei danni causati (art. 2050 cod. civ. e art. 13 Cod. Privacy). 

Tipi di trattamento: La raccolta dei dati è la prima operazione e normalmente rappresenta l'inizio del trattamento e rappresenta l'attività di acquisizione del dato. 
La registrazionerappresenta la memorizzazione dei dati su un qualsiasi supporto. 
L'organizzazione rappresenta la classificazione dei dati secondo un metodo prescelto. 
La strutturazione è l'attività di distribuzione dei dati secondi schemi precisi.

La conservazione consiste nel mantenere memorizzate le informazioni su un qualsiasi supporto.

La consultazione consiste nella lettura dei dati personali. Anche la semplice visualizzazione dei dati è un trattamento che può rientrare nell'operazione di consultazione. 
L'elaborazione è l'attività con la quale il dato personale subisce una modifica sostanziale. Il significato di modificazione è diverso dall'elaborazione poiché potrebbe riguardare anche solo una minima parte del dato personale.

La selezione è l'individuazione di dati personali nell'ambito di gruppi di dati già memorizzati.

L'estrazione è quell’attività di estrapolazione di dati da gruppi già memorizzati. 
Il raffronto rappresenta un'operazione di confronto tra dati, sia una conseguenza di elaborazione che di selezione o consultazione.

L'utilizzo consiste in un'attività generica che ricopre qualsiasi tipo di impiego dei dati. 
L'interconnessione è l'utilizzo di più banche dati, e si riferisce all'impiego di strumenti elettronici.

Il blocco è la conservazione con sospensione temporanea di ogni altra operazione di trattamento.

La comunicazione (o cessione) consiste nel dare conoscenza di dati personali ad uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati.

La diffusione consiste nel dare conoscenza dei dati a soggetti indeterminati, in qualunque forma anche mediante la loro messa a disposizione o consultazione. 

In assenza di consenso tale attività deve ritenersi illecita. 
La cancellazione consiste nell'eliminazione di dati tramite utilizzo di strumenti elettronici. 
Infine, la distruzione è l'attività di eliminazione definitiva dei dati.

Base giuridica del trattamento: Art. 6, par.1 del GDPR, “Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

  1. a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
  2. b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;
  3. c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
  4. d) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;
  5. e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  6. f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.”.

Art. 9, par. 1 e par. 2 del GDPR “Trattamento di categorie particolari di dati personali 1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. 2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi: a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1; b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato; c) il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso; d) il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato; e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato; f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali; g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato; h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3; i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale; j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.”.

Il consenso dell’interessato è definito all’articolo 4 GDPR, ed è “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”. Inoltre, in base al Considerando 32: "il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l'interessato manifesta l'intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un'apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell'informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l'interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l'inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell'interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso".

Caratteristiche del consenso:

  • Consenso inequivocabile, vuol dire che non è necessario che sia esplicito ma può anche essere implicito (ma non tacito), purché, nel momento in cui sia desunto dalle circostanze, non sussista alcun dubbio che col proprio comportamento l'interessato abbia voluto comunicare il proprio consenso. Cioè deve prevedere una chiara azione positiva. Il consenso deve essere esplicito (art. 9 GDPR) nel caso di trattamento di dati sensibili o nel caso di processi decisionali automatizzati. Occorre dire che la versione originaria della proposta della Commissione europea prevedeva sempre il consenso esplicito, poi si è pervenuti al compromesso attuale.
  • Consenso dato liberamente, il che significa che l'interessato deve essere in grado di operare una scelta effettiva, senza subire intimidazioni o raggiri, né deve subire conseguenze negative a seguito del mancato conferimento del consenso. L’articolo 7 del GDPR chiarisce che “nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l'eventualità, tra le altre, che l'esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all'esecuzione di tale contratto”.
  • Il consenso deve essere specifico, cioè relativo alla finalità per la quale è eseguito quel trattamento. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per ogni finalità (Considerando 32 GDPR). Quindi, i dati dovranno essere pertinenti al consenso fornito, e in caso di modifiche del trattamento occorre richiedere un nuovo consenso.
  • Il consenso deve essere informato, occorre cioè che l'interessato sia posto in condizioni di conoscere quali dati sono trattati, con che modalità e finalità e i diritti che gli sono attribuiti dalla legge, cioè deve essere rispettato il principio di trasparenza. Inoltre, l'interessato deve essere opportunamente informato sulle conseguenze del suo consenso. L'informazione si ha attraverso l'apposita informativa, che in questo caso diventa una vera e propria condizione di legittimità del trattamento.
  • Consenso verificabile non vuol dire che il consenso deve essere documentato per iscritto, né che è richiesta la forma scritta, ma che l'azienda deve essere in grado di dimostrare che l'interessato lo ha conferito con riferimento a quello specifico trattamento (quindi distinguendo tra i vari trattamenti). L'azienda dovrà essere in grado di sapere anche a quale informativa l'utente ha acconsentito, distinguendo tra le varie versioni. Il WP29 suggerisce di utilizzare un registro nel quale siano conservate le informazioni relative alla sessione in cui è stato espresso il consenso, unitamente alla documentazione del flusso di lavoro del consenso, e una copia delle informazioni presentate all'interessato in quel momento.
  • Il consenso deve essere revocabile in qualsiasi momento. La revoca deve essere facile così come lo è dare il consenso. Non vi è alcun obbligo di motivare la revoca, a seguito della quale il trattamento deve interrompersi, a meno che non sussista una differente base giuridica per continuare il trattamento. Per revocare il consenso, quindi, il titolare dovrebbe predisporre una procedura analoga a quella offerta per concedere il consenso. Nel caso in cui il titolare non ottemperi, ci si può rivolgere al Garante o al tribunale per la tutela dei propri diritti. Con la revoca si innesca il diritto di cancellazione, per cui l'azienda deve cancellare i dati dell'utente. Ovviamente vi sono motivi legittimi in base ai quali un'azienda ha necessità di conservare alcuni dati dell'utente anche dopo la revoca del consenso, come ad esempio mantenere un registro delle transazioni per motivi fiscali. In ogni caso l'azienda può avvertire l'interessato che a seguito della revoca del consenso, vi sarà la cancellazione dei dati è la conseguente impossibilità di fornire ulteriori servizi.

Il consenso dei minori è valido a partire dai 16 anni di età. Prima dei 16 anni occorre raccogliere il consenso dei genitori o di chi ne fa le veci.

Informativa Privacy (articolo 13 del GDPR): Il regolamento europeo prevede che, in base alla finalità del trattamento, il titolare debba fornire agli interessati, prima del trattamento, le informazioni richieste dalle norme (art. 12). Ciò avviene, appunto, tramite l'informativa. Essa è una comunicazione rivolta all'interessato che ha lo scopo di informare il cittadino, anche prima che diventi interessato, sulle finalità e le modalità dei trattamenti operati dal titolare del trattamento, Essa è condizione, non tanto del rispetto del diritto individuale ad essere informato, quanto del dovere del titolare del trattamento di assicurare la trasparenza e correttezza dei trattamenti fin dalla fase di progettazione dei trattamenti stessi, e di essere in grado di comprovarlo in qualunque momento (principio di accountability). L'informativa ha anche lo scopo di permettere che l'interessato possa rendere un valido consenso, se richiesto come base giuridica del trattamento. In questo caso l'informativa non è solo dovuta in base al principio di trasparenza e correttezza, ma è anche una condizione di legittimità del consenso.L'informativa è dovuta ogni qual volta vi sia un trattamento di dati.

L'informativa deve avere il seguente contenuto minimo (articoli 13 e 14 del Regolamento europeo):

  • categorie di dati trattati e finalità del trattamento;
  • la base giuridica del trattamento, quindi se si tratta di trattamento basato su consenso o giustificato da leggi, legittimi interessi, ecc.…;
  • natura obbligatoria o facoltativa del conferimento dei dati e le conseguenze di tale rifiuto;
  • se il titolare ha intenzione di utilizzare i dati per una finalità diversa da quella per la quale sono stati raccolti;
  • soggetti destinatari ai quali i dati possono essere comunicati e l’ambito di diffusione dei dati medesimi;
  • se il titolare ha intenzione di trasferire i dati in paesi extra UE, nel qual caso se esiste o meno una decisione di adeguatezza della Commissione UE;
  • il periodo di conservazione dei dati oppure l'indicazione dei criteri per determinarlo;
  • i diritti dell’interessato;
  • dati identificativi del titolare del trattamento e, se designato, del responsabile per la protezione dei dati (DPO), quindi un recapito al quale gli interessati potranno rivolgersi per esercitare i propri diritti;
  • se il trattamento comporta processi decisionali automatizzati deve essere specificato indicando anche la logica di tali processi decisionali e le conseguenze previste per l'interessato.
  • All'interno dell'informativa privacy devono essere indicati anche i cookie che veicola il sito, le modalità di disabilitazione dei cookie, e nel caso di cookie di terze parti, il link alle pagine delle privacy policy dei servizi delle terze parti.

Articolo 26 Contitolari del trattamento: Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell'Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati. L'accordo riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell'accordo è messo a disposizione dell'interessato. Indipendentemente dalle disposizioni dell'accordo, l'interessato può esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun titolare del trattamento.

SOGGETTI COINVOLTI

Il Titolare del trattamento (data controller) è "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali" (art. 4. par. 1, n. 7 GDPR). In sostanza, è colui che tratta i dati senza ricevere istruzioni da altri, pertanto è colui che decide il "perché" e il "come" devono essere trattati i dati.

Il titolare del trattamento non è chi gestisce i dati, ma chi decide il motivo e le modalità del trattamento.

Obblighi del titolare: è responsabile giuridicamente dell'ottemperanza degli obblighi previsti dalla normativa, sia nazionale che internazionale, in materia di protezione dei dati personali, infatti, in questo caso ha un ruolo fondamentale il principio di responsabilizzazione del titolare del trattamento.

Nello specifico gli obblighi posti in capo al titolare sono:

  • La notifica al Garante nei casi previsti;
  • L’adozione delle misure tecniche e organizzativeadeguate per garantire, sin dalla fase della progettazione, la tutela dei diritti dell'interessato (privacy by design) e per garantire che i dati non siano persi, alterati, distrutti o comunque trattati illecitamente;
  • Il vincolo al dovere di riservatezza dei dati, inteso come dovere di non usare, comunicare o diffondere i dati al di fuori del trattamento;
  • La designazione del responsabile del trattamentoa cui affidare mansioni importanti e di elevata professionalità, in fase di gestione dei dati personali;
  • La redazione del registro di trattamenti;
  • La formazione del personale;
  • La documentazione delle violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.
  • Svolge una valutazione d’impatto sulla protezione dei dati (DPIA, art. 35 GDPR);
  • esegue la nomina a DPO (art. 37 GDPR).

 Responsabilità del Titolare: in caso di trattamento illecito, secondo quanto previsto dall'articolo 82 e dal Considerando 79, risponde direttamente per il danno cagionato all'interessato in conseguenza di una violazione del regolamento. Inoltre, il Considerando 146 specifica che il titolare sarà responsabile anche nel caso di violazione di altre disposizioni in materia di protezione dei dati personali previste dalle norme attuative, da atti delegati o di esecuzione del Regolamento stabilite dai singoli Stati membri. 

Se più titolari o responsabili sono coinvolti nello stesso trattamento e sono responsabili del danno causato, ne rispondono in solido per l'intero ammontare del danno, al fine di garantire l'intero risarcimento.

Il titolare e il responsabile saranno esonerati da responsabilità se dimostrano che:

  • L’evento dannoso non è imputabile alla loro condotta, ma è dipeso da una causa esterna alla loro sfera di controllo;
  • Hanno adottato tutte le misure prevedibilmente idonee al fine di evitare il danno.

Il Responsabile del trattamento (data processor) è “la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento” (art. 4, par. 1, n. 8 GDPR). 

È un soggetto, distinto dal titolare, che deve essere in grado di fornire garanzie per assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, oltre a garantire la tutela dei diritti dell'interessato. 

Obblighi del responsabile: ha obblighi di trasparenza. Per tale motivo occorre contrattualizzare il rapporto tra titolare e responsabile, specificando gli obblighi e i limiti del trattamento dati. Sarà compito del titolare individuare tutti i soggetti esterni che effettuano il trattamento per suo conto e attivarsi affinché venga stipulato l’atto giuridico, con il quale verranno formalizzati i rapporti in punto di trattamento dei dati personali e con il quale il titolare impartirà apposite istruzioni che dovranno essere seguite per questo trattamento.  Ogni atto giuridico dovrà essere valutato e parametrato alla luce del trattamento che viene esternalizzato.

Oltre a tutto quanto sopra, il responsabile del trattamento dovrà mettere a disposizione del titolare tutte le informazioni essenziali per dimostrare il rispetto degli obblighi che gli impone l’articolo 28 del Regolamento, e dovrà tenere il registro dei trattamenti svolti (ex art. 30, paragrafo 2, GDPR). 

Inoltre, il responsabile ha l'obbligo di garantire la sicurezza dei dati. Egli, infatti, deve:

  • adottare tutte le misure di sicurezza adeguate al rischio(art. 32 GDPR)che gli sono richieste dal titolare, tra le quali anche le misure di attuazione dei principi di privacy by design e by default (l'articolo 25 GDPR introduce il principio di privacy by design e privacy by defaultche impone alle aziende l'obbligo di avviare un progetto prevedendo, fin da subito, gli strumenti e le corrette impostazioni a tutela dei dati personali),
  • garantire la riservatezza dei dati, vincolando i dipendenti,
  • informare il titolare delle violazioni avvenute, e dovrà occuparsi della cancellazione dei dati alla fine del trattamento. 

Il titolare ed il responsabile del trattamento sono tenuti ad attuare le misure tecniche ed organizzative tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche. Si tratta di specifici requisiti previsti dal GDPR, che indica alcune misure di sicurezza utili per ridurre i rischi del trattamento, quali la pseudonimizzazione e la cifratura dei dati personali, la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico; una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Il responsabile può dimostrare le garanzie sufficienti anche attraverso l’adesione a codici deontologici ovvero a schemi di certificazione. 

Il responsabile ha l'obbligo di avvisare, assistere e consigliare il titolare. Pertanto, egli dovràconsentire e contribuire alle attività di revisione, comprese le ispezioni (o audit), realizzate dal titolare del trattamento, dovrà avvisare il titolare se ritiene che un'istruzione ricevuta viola qualche norma in materia, dovrà prestare assistenza al titolare per l'evasione delle richieste degli interessati, dovrà avvisare il titolare in caso di violazioni dei dati, e assisterlo nella conduzione di una valutazione di impatto (DPIA). 

Responsabilità del Responsabile: Nel caso di trattamento in violazione delle norme del regolamento europeo, il responsabile risponde, congiuntamente al titolare, per il danno cagionato all'interessato, secondo quanto previsto dall'articolo 82. Il responsabile risponde per il danno causato dal trattamento solo in caso di non corretto adempimento degli obblighi previsti dalle norme in capo al responsabile stesso, oppure se ha agito in modo difforme rispetto alle istruzioni del titolare del trattamento. 

Il Considerando 28 stabilisce un obbligo in capo al responsabile di informare immediatamente il titolare del trattamento qualora ritenga un'istruzione fornitagli in violazione delle norme in materia di protezione dei dati personali, compreso le norme nazionali. Per questo motivo, il regolamento europeo configura, in capo al responsabile, un dovere di verifica e controllo della conformità delle procedure aziendali con conseguente responsabilità, in solido col titolare, nel caso di omesso controllo o omessa informazione al titolare. 

Il responsabile potrebbe rispondere nei casi in cui:

  • Va oltre le istruzioni del titolare;
  • Agisce in contrasto con le istruzioni del titolare;
  • Non assiste il titolare (ad esempio per le violazioni dei datio la valutazione di impatto);
  • non pone a disposizione del titolare le informazioni necessarie per un audit;
  • non informa il titolare che una sua istruzione è in violazione della normativa;
  • pur essendovi obbligato, non designa il DPO;
  • designa un sub-responsabile non essendo stato previamente autorizzato;
  • non tiene il registro dei trattamenti.

Se più titolari o responsabili sono coinvolti nello stesso trattamento e sono responsabili del danno causato, ne rispondono in solido per l'intero danno, al fine di garantire l'intero risarcimento.

Il titolare e il responsabile sono esonerati da responsabilità se dimostrano che l'evento dannoso non è imputabile alla loro condotta, o se dimostrano di aver adottato tutte le misure idonee per evitare il danno stesso.

L’Addetto al trattamento: L’art. 29 GDPR prevede: “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

L’art. 2-quaterdecies D. lgs. 196/2003 come modificato dal D. lgs. 101/2018 prevede:“Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuite a persone fisiche, espressamente designate, che operano sotto la loro autorità. Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta”.

Il Data ProtectionOfficer (DPO), è un professionista che deve avere un ruolo aziendale (sia esso soggetto interno o esterno) con competenze giuridiche, informatiche, di risk management e di analisi dei processi. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

I compiti del DPO sono:

  • informare e consigliare il Responsabile del trattamento (ora Titolare del trattamento Data Controller) o l’incaricato del trattamento (ora Responsabile o incaricato Data Processor) in merito agli obblighi derivanti dal Regolamento e conservare la documentazione relativa a tale attività e alle risposte ricevute;
  • sorvegliare l’attuazione e l’applicazione delle politiche del Responsabile del trattamento o dell’incaricato del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti e gli audit connessi;
  • sorvegliare l’attuazione e l’applicazione Regolamento, con particolare riguardo ai requisiti concernenti la protezione fin dalla progettazione, la protezione di default, la sicurezza dei dati, l’informazione dell’interessato e le richieste degli interessati di esercitare i diritti riconosciuti dal presente regolamento;
  • garantire la conservazione della documentazione prevista per alcuni Responsabili di trattamento (vedi dimensione) – documenti quali (elenco interessati – finalità del trattamento – contatto privacy in azienda ecc.);
  • controllare che le violazioni dei dati personali siano documentate, notificate e comunicate (Data Breach);
  • controllare che il responsabile del trattamento o l’incaricato del trattamento effettui la valutazione d’impatto sulla protezione dei dati e richieda l’autorizzazione preventiva o la consultazione preventiva quando prevista (es. dati sanitari – videosorveglianza su larga scala – abitudini o scelte di consumo);
  • controllare che sia dato seguito alle richieste dell’autorità di controllo e, nell’ambito delle sue competenze, cooperare con l’autorità di controllo di propria iniziativa o su sua richiesta;
  • fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento e, se del caso, consultare l’autorità di controllo di propria iniziativa

La nomina obbligatoria del DPO: Art. 37, 1 paragrafo, GDPR, è obbligatoria in tre ipotesi: “se il trattamento di dati personali è effettuato da un’autorità pubblica o da un organismo pubblico; quando le attività principali dell’organizzazione consistono in trattamenti che, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; quando le attività principali dell’organizzazione consistono nel trattamento su larga scala di dati sensibili o giudiziari”.

L’utilizzo di criteri indeterminati nel GDPR, come ad esempio quello di “larga scala”, ha reso indispensabile l’elaborazione delle “Linee Guida sui responsabili della protezione dei dati”, fornite dal “Gruppo di Lavoro articolo 29 in materia di protezione dei dati personali”:

  • Il concetto di “monitoraggio regolare e sistematico” degli interessati non è definito all’interno del GDPR. Tuttavia, il considerando 24 lo menziona ricomprendendo in esso, a titolo esemplificativo e non certamente esaustivo, tutte le forme di tracciamento e profilazione su Internet. Secondo il WP29, è “regolare” ciò che: avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito; è ripetuto a intervalli costanti; avviene in modo costante o a intervalli periodici. Si intende “sistematico”, invece, ciò che: avviene per sistema; è predeterminato, organizzato o metodico; è inserito nell’ambito di un progetto complessivo di raccolta di dati; viene svolto nell’ambito di una strategia.
  • Trattamento “su larga scala”: il considerando 91 ritiene su larga scala i trattamenti “di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato” e precisa che “non dovrebbe essere considerato un trattamento su larga scala il trattamento di dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato”. Lo stesso WP29 mette in rilievo che si tratta di mere esemplificazioni volte a definire i due estremi della scala: il trattamento svolto dal singolo medico rispetto al trattamento di dati relativi a un’intera nazione.

Non esistendo, al momento, uno standard utile a specificare il concetto e le relative soglie applicabili, il WP29 raccomanda di tenere conto dei seguenti fattori al fine di stabilire se un trattamento sia effettuato su larga scala: il numero di soggetti interessati, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento; il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; la durata, ovvero la persistenza, dell’attività di trattamento; la portata geografica dell’attività di trattamento.

  • Dati “sensibili” e “giudiziari”: consiste nel trattamento su larga scala di “categorie particolari di dati” ai sensi degli artt. 9 e 10 del GDPR. L’art. 9 richiama i “dati personali idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”. L’art. 10, invece, si riferisce ai “dati relativi a condanne penali e a reati”, considerati dall’ordinamento meritevoli di una tutela rafforzata.

PRINCIPI E DIRITTI

Il GDPR impone alle aziende un modello organizzativo per la tutela dei dati con l’introduzione del principio di responsabilità e trasparenza (accountability).

Principio di responsabilità:Il principio della accountability (responsabilità verificabile) comporterà l’onere in capo al titolare del Trattamento dei dati di dimostrare l’adozione di tutte le prescrizioni privacy. Al fine di dimostrare l’osservanza di questo principio è stato introdotto il dovere di costituire e conservare una apposita documentazione basata sul P.I.A. (privacy impact assessment) in grado di attestare il “modello organizzativo e di sicurezza privacy “(c.d. principio di rendicontazione).

Trasparenza e conformità al regolamento: Il regolamento pone l'accento sul principio della trasparenza, in un'ottica di rispetto della finalità. Occorre, quindi, valutare attentamente gli scopi del trattamento, in modo da stabilire correttamente quali dati possono essere trattati e quali no (principio di essenzialità dei dati).

Il regolamento europeo prevede una serie di obblighi proattivi, a dimostrazione della concreta, e non meramente formale adozione del regolamento stesso. In tale ottica la predisposizione e l'aggiornamento della documentazione è essenziale, in quanto indice di corretta implementazione delle norme: 

Approccio risk based e responsabilizzazione: Il regolamento sposta il centro della normativa dalla tutela dell'interessato alla responsabilità del titolare e dei responsabili del trattamento, che si deve concretizzare nell'adozione di comportamenti attivi che dimostrino la concreta (e non semplicemente formale) adozione del regolamento.

Si evidenzia la necessità di attuare misure di tutela e garanzia dei dati trattati, con un approccio del tutto nuovo che demanda ai titolari il compito di decidere autonomamente le modalità e i limiti del trattamento dei dati alla luce dei criteri specifici indicati nel Regolamento: 

  • principio "privacy by design", in base al quale i prodotti e i servizi dovranno essere progettati fin dall'inizio in modo da tutelare la privacy degli utenti, cioè il trattamento deve essere previsto e configurato fin dall'inizio prevedendo le garanzie per tutelare i diritti degli interessati;
  • rischio del trattamento, inteso come valutazione dell'impatto negativo sulle libertà e i diritti degli interessati.

L'approccio del GDPR è incentrato su una valutazione del rischio (risk based), con il quale si determina la misura di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti.

Un approccio basato sulla valutazione del rischio ha il vantaggio di pretendere degli obblighi che possono andare oltre la semplice conformità alla legge, è più flessibile e adattabile al mutare delle esigenze e degli strumenti tecnologici. 

Le nuove norme prevedono, inoltre:

Documentazione:Obbligo di predisporre, conservare e mettere a disposizione dell’Autorità di Controllo la documentazione di tutti i trattamenti effettuati contenente fra le altre informazioni l’indicazione dei termini di cancellazione e la verifica dell’efficacia delle misure.

Diritto all’oblio:Ogni persona potrà per motivi legittimi richiedere la cancellazione dei propri dati in possesso di terzi.

Diritto alla portabilità dei dati:Il diritto cioè di trasferire i propri dati da un sistema di trattamento elettronico ad un altro.

Valutazione d’impatto sulla protezione dei dati (Data ProtectionImpact Assessment): Saranno richieste valutazioni d’impatto sulla protezione dei dati personali quando il trattamento, per la sua natura, il suo soggetto o le sue finalità, presenta rischi specifici per i diritti e la libertà degli interessati. Ad esempio, i trattamenti riguardanti l’ubicazione, la salute, i dati biometrici, la videosorveglianza, i minori ecc…

Sicurezza del Trattamento:Tenuto conto dei risultati della valutazione di impatto, il Responsabile è l’incaricato del trattamento mettono in atto misure tecniche ed organizzative adeguate pergarantire un livello di sicurezza appropriato, in relazione ai rischi che il trattamento comporta.

Obbligo di notificazione in caso di violazione (Personal Data Breach):Viene introdotto l’obbligo di notifica in caso di violazione dei dati personali all’autorità di controllo e in alcuni casi l’obbligo di comunicare l’accaduto anche all’interessato.

Privacy by Design e by Default:Viene introdotto il principio per cui fin dalla progettazione di un processo aziendale o di un applicativo informatico vanno attuati dei sistemi che consentano il trattamento (di default) dei soli dati necessari alla specifica finalità del trattamento.

1. Privacy by design: che si fonda sui seguenti principi:

Prevenire non correggere, cioè i problemi vanno valutati nella fase di progettazione, e l'applicativo deve prevenire il verificarsi dei rischi;

  • La privacy come impostazione di default;
  • La privacy incorporata nel progetto;
  • Massima funzionalità, in maniera da rispettare tutte le esigenze;
  • Sicurezza durante tutto il ciclo del prodotto o servizio;
  • Visibilità e trasparenza del trattamento, cioè tutte le fasi operative devono essere trasparenti in modo che sia verificabile la tutela dei dati;
  • Centralità dell'utente, quindi rispetto dei diritti, tempestive e chiare risposte alle sue richieste di accesso.

Il sistema di tutela dei dati personali deve porre l'utente al centro, in tal modo obbligando ad una tutela effettiva da un punto sostanziale, non solo formale.L'obbligo di privacy by design è basato sulla valutazione del rischio, per cui le aziende dovranno valutare il rischio inerente alle loro attività. Tale valutazione deve essere svolta al momento della progettazione del sistema e, pertanto, prima che il trattamento inizi. Inoltre, deve essere preso in considerazione anche il tipo di dato trattato (ad esempio, nel caso di un trattamento interessa i dati di un minore, gli obblighi saranno più rigorosi).L'approccio basato sul rischio comporta che si deve tenere conto dello stato della tecnologia, per cui il trattamento va adattato nel corso del tempo. 

2. Privacy by default: Il principio di privacy by default (protezione per impostazione predefinita) prevede che per impostazione predefinita le imprese dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo necessario a tali fini. Occorre, quindi, progettare il sistema di trattamento di dati garantendo la non eccessività dei dati raccolti in modo che l'interessato riceva un alto livello di protezione anche se non si attiva per limitare la raccolta dei dati. 

L'introduzione di questi due principi appena esposti  obbliga le imprese a predisporre una valutazione di impatto privacy ogni volta che avviano un progetto che prevede un trattamento di dati.

PROCEDURE

Registro dei trattamenti: In base all’art. 30 del GDPR, il registro dei trattamenti è una mappa di tutte le procedure interne che il Titolare ed il Responsabile devono tenere per controllare tutti i dati personali da quando entrano a quando escono.

Tale registro è obbligatorio nel caso in cui o il Titolare oppure il Responsabile:

  • Abbiano imprese o organizzazioni con almeno 250 dipendenti;
  • Effettuino trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell'interessato;
  • Effettuino trattamenti non occasionali;
  • Effettuino trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 GDPR, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 GDPR.

Inoltre, oltre a questi appena esposti, in base a quanto disposto dal provvedimento n. 471 del 18 ottobre 2018 del Garante, anche:

  • Esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
  • Liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
  • Associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
  • Il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Il registro dei trattamenti del Titolare deve contenere:

  • Il nome e i dati di contatto del Titolare, Contitolare e del Rappresentante;
  • Le finalità del trattamento;
  • Una descrizione delle categorie di interessati e delle categorie di dati personali;
  • Le categorie dei destinatari dei dati personali;
  • I trasferimenti dei dati personali verso paesi terzi;
  • I termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • Una descrizione delle misure tecniche adottate.

Mentre, il registro dei trattamenti del responsabile deve contenere:

  • Il nome ed i dati di contatto del Responsabile, del Titolare per conto del quale il Responsabile agisce e del DPO;
  • Le categorie dei trattamenti effettuati per conto di ogni Titolare;
  • I trasferimenti di dati personali verso un Paese terzo;
  • Una descrizione delle misure tecniche adottate.

Valutazione di impatto (DPIA, Data Protection Impact Assessment): è elemento essenziale. Il titolare dovrà valutare il rischio per ogni trattamento, individuando, nei casi di rischio elevato, misure specifiche per l'eliminazione o attenuazione del rischio. 

Il regolamento è basato sulla valutazione del rischio (risk based).

Con tale valutazione si determina la misura di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti. Quindi, il rischio inerente al trattamento è da intendersi come l'impatto negativo sulle libertà e i diritti degli interessati

Secondo l’articolo 35 del GDPR, la valutazione di impatto del trattamentoè un onere posto a carico del titolare del trattamento, col quale si assicura trasparenza e protezione nelle operazioni di trattamento dei dati personali. Inoltre, è lo strumento principale tramite il quale il Titolare effettua l'analisi dei rischi derivanti dai trattamenti posti in essere. Il Titolare deve sviluppare una valutazione preventiva delle conseguenze del trattamento dei dati sulle libertà e i diritti degli interessati. Il Responsabile del trattamento deve assistere il Titolare fornendogli ogni informazione necessaria. 

La valutazione del rischio, da realizzare per ogni singolo trattamento, dovrà portare il Titolare a decidere in autonomia se sussistono rischi riguardanti il trattamento, in assenza dei quali potrà procedere oltre. Se al contrario ritenesse esistenti rischi per le libertà e i diritti degli interessati, dovrà individuare le misure specifiche richieste per attenuarli o eliminarli.

Nel caso in cui il titolare non riuscisse ad attuare delle misure idonee atte ad eliminare o quantomeno ridurre il rischio, è possibile consultare l’Autorità di controllo.

L’Autorità interviene solo ex post, sulle valutazioni del titolare, indicando le misure ulteriori eventualmente da implementare, fino ad ammonire il titolare oppure vietare il trattamento.

Il titolare dovrà comunque giustificare tutte le sue valutazione e rendicontarle nel registro dei trattamenti

Inoltre il titolare deve consultarsi col DPO quando svolge la valutazione di impatto, il quale ha il compito di dare, nel caso in cui venga richiesto, un parere in merito alla valutazione di impatto e sorvegliarne lo svolgimento.

Casi nei quali la DPIA è necessaria: la valutazione di impatto va sviluppata quando il trattamento prevede l'uso di nuove tecnologie e può presentare un alto rischio per i diritti e le libertà delle persone fisiche. L'articolo 35 del GDPR indica i criteri in base ai quali si individuano i casi nei quali la DPIA è necessaria: 

  • Il trattamento determina una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici;
  • il trattamento riguarda dati sensibili o giudiziarisu larga scala;
  • il trattamento riguarda la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

L'EDBP ha pubblicato le Linee Guida relative alla Valutazione di impatto (WP 248 rev.01) precisando i criteri di cui all'art. 35, traducendoli in nove parametrifunzionali all'individuazione dei casi di necessità della DPIA: tra i quali la creazione di corrispondenze o combinazioni di insieme di dati, cioè trattamenti ulteriori rispetto alle originarie finalità o dati raccolti da diversi titolari; il trattamento di dati relativi a interessati vulnerabili, come minori, dipendenti, ecc.. 

Inoltre, il comma 5 dell’art. 35 concede alle Autorità di controllo la possibilità di redigere un elenco pubblico di tipologie di trattamenti per i quali si rende necessaria la DPIA. Per tale motivo, il Garante italiano con le alte autorità europee ha predisposto un elenco che è stato oggetto di parere da parte dell'EDBP (art. 64 GDPR). L'elenco è stato pubblicato con provvedimento dell'11 ottobre 2018, ed è vincolante ma non è esaustivo, restando fermo quindi l’obbligo di adottare una valutazione d’impatto sulla protezione dei dati laddove ricorrano due o più dei criteri individuati dalle Linee Guida. 

Provvedimento del Garante dell’11 ottobre 2018: Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione di impatto:

  • Trattamenti valutativi o di scoring effettuati su larga scala, profilazione, attività predittive;
  • Trattamenti automatizzati finalizzati ad assumere decisioni che producono effetti giuridici oppure tali da incidere in modo significativo sull’interessato, come impedire l’esercizio corretto di un diritto o di avvalersi di un bene o di un servizio o di poter continuare ad essere parte di un contratto in essere;
  • Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati online o con App, il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione, e i trattamenti di metadati effettuati anche per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza ecc.;
  • Trattamenti su larga scala di dati aventi carattere estremamente personale, compreso dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull’esercizio di un diritto fondamentale (quali i dati sull’ubicazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato (dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti);
  • Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti;
  • Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo);
  • Trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo; tracciamenti di prossimità, ogniqualvolta ricorra anche almeno un altro dei criteri individuati nelle Linee Guida;
  • Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche;
  • Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento;
  • Trattamenti di categorie particolari di dati ai sensi dell’art. 9oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse;
  • Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento;
  • Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.

In base a quanto disposto dall’articolo 36 del GDPR, in caso di dubbi il titolare potrà in qualsiasi momento rivolgersi alle Autorità di controllo per una consultazione preventiva sulla necessità o meno di effettuare la valutazione di impatto. 

Contenuto della DPIA: La valutazione di impatto deve contenere almeno: 

  • la descrizione dei trattamenti previsti, la finalità del trattamento, compreso l'interesse legittimoperseguito dal titolare;
  • la valutazione dei rischi;
  • le misure previste per affrontare i rischi, incluse le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati e dimostrare la conformità al regolamento.

Il titolare e il responsabile del trattamento provvedono a sviluppare la valutazione di impatto. La valutazione implica una analisi ed una descrizione delle aree critiche da esaminare, del profilo di tutti i soggetti coinvolti, gli effetti e le conseguenze del trattamento dei dati, una valutazione dei rischi collegati, e quindi la stesura di un piano di mitigazione dei rischi. Il DPO poi analizzerà il rapporto e proporrà eventuali migliorie. Se il rapporto è approvato si passa all'attuazione delle misure di sicurezza proposte. 

I rischi vanno elencati sia con riferimento alla natura del rischio, che in termini di probabilità del rischio, e delle conseguenze. In tal modo si realizza una classificazione di ogni tipo di rischio. Di seguito si specificano le modalità di mitigazione del rischio. La norma ISO/IEC 27001 elenca una serie di tipi di rischio e misure di sicurezza. 

Rischio del trattamento: Secondo quanto esposto dal Considerando 75: "I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati". 

Si tratta di uno dei criteri previsti dal regolamento per la progettazione dei trattamenti, che appunto prevede l'obbligo di una analisi del rischio del trattamento, e quindi della valutazione delle misure tecniche od organizzative che il titolare ritiene di dover adottare per ridurre l'eventuale rischio. 

Per ogni rischio occorre individuare la probabilità dell'evento, nonché la gravità dello stesso.

Misure di Sicurezza e Violazione dei dati (artt.32 e ss e Considerando 74-77, 83 e ss del Regolamento EU 2016/679 – GDPR): “1.Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

  1. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
  2. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

Pertanto, la violazione dei dati personali cosiddetta Data Breach, è una violazione di sicurezza, sia in modo accidentale che illecito, che porta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali. 

 In caso di violazione dei dati personali, il titolare del trattamentosenza ingiustificato ritardo e, dove possibile, entro 72 ore dalla conoscenza, deve notificare la violazione all’Autorità Garante per la protezione dei dati personali, “a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche”. 

Nel caso in cui la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.

Il responsabile del trattamento che viene a conoscenza di una violazione è tenuto a informare senza ritardo il titolare del trattamento. 

Il Titolare deve comunicare a tutti gli interessati le eventuali violazioni nel caso in cui esse comportino un rischio elevato per i diritti delle persone, a meno che non abbia già preso misure tali da ridurne l’impatto.

Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità garante di effettuare eventuali verifiche sul rispetto della normativa.

Vanno notificate soltanto le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali. 

 La notifica al Garante deve contenere almeno le seguenti informazioni (art. 33, par. 3 del Regolamento (UE) 2016/679):

  • una descrizione della natura della violazione dei dati personali, che comprenda, se possibile:
    • le categorie e il numero approssimativo di persone interessate;
    • le categorie e il volume approssimativo di dati personali interessati;
  • il nome e i riferimenti di contatto del responsabile della protezione dei dati (se designato dal titolare) o comunque di un referente competente a fornire informazioni;
  • una descrizione delle possibili conseguenze della violazione dei dati personali;
  • una descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio alla violazione dei dati personali, comprese, se del caso, le misure adottate per mitigare eventuali effetti negativi;
  • Soltanto nel caso in cui la notifica venga eseguita oltre il termine di 72 ore, una descrizione dei motivi del ritardo. 

BK 01

Le sanzioni

Nel regolamento europeo sulla privacy sono state inasprite le sanzioni amministrative pecuniarie applicabili in caso di trattamento dei dati personali effettuato in modo non conforme a quanto previsto dalla normativa. Stabilito un importo massimo applicabile dal Garante e, ove si tratti di impresa, un metodo di quantificazione alternativo che consiste nel calcolo di una percentuale del fatturato mondiale annuo dell’esercizio precedente. In aggiunta, il regolamento riconosce all’interessato il diritto al risarcimento del danno dal titolare o dal responsabile del trattamento.

A questo si aggiungono poi le ulteriori previsioni del legislatore nazionale e, in primo luogo, quelle di natura penale.

Diritto al risarcimento dell’interessato: Ai sensi dell’art. 82 del Regolamento, “chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.

Inoltre, nella suddivisione delle responsabilità tra il titolare e il responsabile, il Regolamento precisa che il titolare “risponde per il danno cagionato dal suo trattamento che violi il presente regolamento”, mentre il responsabile “risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento”.

L’ammontare della sanzione sarà proporzionato ad una serie di criteri:

  • natura, gravità e durata della violazione;
  • carattere intenzionale o meno della violazione;
  • grado di responsabilità del legale rappresentante dell’ente e numero di sanzioni che egli ha ricevuto in passato;
  • presenza o meno di misure di sicurezza tecniche e organizzative;
  • grado di cooperazione con l’Autorità per porre rimedio alla violazione.

01

02

03

04

05

06

COMPLIANCE: Nuovo DLGS. 101/2018 – “schema di armonizzazione”

Il decreto delegato di adeguamento della normativa nazionale italiana (Dlgs. 196/2003 – Codice Privacy) alle disposizioni del GDPR è stato pubblicato in Gazzetta Ufficiale ed è entrato in vigore lo scorso 19 settembre 2018. Sul Garante Privacy italiano la norma pone nuovi grandi poteri e altrettante responsabilità.

Il nuovo decreto che pure affida alla Autorità Italiano un numero notevolissimo di compiti e poteri, compresa l’adozione di regole deontologiche, provvedimenti a carattere generale, misure di garanzia e provvedimenti sostitutivi o, quando è possibile, anche confermativi o adeguativi delle precedenti autorizzazioni generali, non dà alcun potere al Garante in merito.

Bisogna operare nel quadro di un unico contesto normativo, costituito da fonti regolatorie a più livelli. Il pilastro portante della costruzione è costituito ovviamente dal GDPR (e per le attività di polizia e giustizia anche dalla dottrina Direttiva 2016/680). Il contesto nazionale però, pur ruotando tutto intorno al GDPR, è costituito sia dal nuovo decreto delegato che dal vecchio decreto delegato come novellato a seguito della entrata in vigore di quest’ultimo. In questo contesto possiamo essere certi che, specialmente in una prima fase, non mancheranno le difficoltà interpretative e le controversie attuative relative alla nuova normativa.

Inizialmente è stata conferma una gradualità di otto mesi a partire dall’entrata in vigore del D. lgs. 101/2018 avvenuta il 19.9.2018. Il legislatore è andato incontro alle richieste della politica e nel decreto è stato previsto un periodo di otto mesi in cui il Garante, nell’erogazione delle sanzioni, dovrà tener conto del periodo transitorio necessario all’adeguamento. È necessario sottolineare che questo non è stata una proroga all’applicazione della normativa sulla protezione dei dati personali: il concetto di gradualità è stato applicato non sull’andebeatur, ma sul quantum debeatur.

Il secondo elemento riguarda le PMI - le piccole e medie imprese - alle quali è stata data la possibilità di seguire protocolli differenziati e semplificati individuati dal Garante che dovranno essere studiati in quanto semplificato potrebbe non voler dire operativamente semplice.

Terzo importante elemento è l’adozione di disposizione specifiche, quindi aggiuntive, per chi nell'ambito del trattamento di dati sensibili tratta dati sulla salute.

Infine, il legislatore italiano ha previse sanzioni penali per alcune violazioni della normativa sulla protezione dei dati personali perseguendo: il trattamento illecito dei dati personali (art. 167 D. lgs. 196/2003); comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala (art. 167 – bis D. lgs. 196/2003); acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala (art. 167-ter D. lgs. 196/2003); falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante (art. 168 D. lgs. 196/2003); inosservanza dei provvedimenti del Garante (art. 170 D. lgs. 196/2003); inosservanza di provvedimenti del Garante (art. 170 D. lgs. 196/2003); Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori (art. 171 D. lgs. 196/2003); pene accessorie (art. 172 D. lgs. 196/2003).

Volendo, a titolo esemplificativo e sommariamente, elencare le principali novità in punto di parte speciale:

  • curriculum vitae: l’informativa ex art. 13 GDPR deve essere fornita al primo contatto utile successivo all’invio del curriculum. Nei limiti delle finalità stabilite dall’art. 6.1 lett. b) GDPR - quindi limitatamente ai soli dati comuni identificativi – il consenso del candidato al trattamento dei dati personali contenuti nel curriculum non è richiesto.
  • Controlli a distanza: viene fatta salva la disciplina dell’art. 4 dello Statuto dei lavoratori (come modificata nel 2015 dal job act) e viene altresì confermata la sanzione penale ex art. 38 L. 300/1970 in caso di violazione dell’art. 4 co. 1 Stat. Lav.;
  • Consenso dei minori: in relazione all’offerta diretta di “servizi della società dell’informazione”, il consenso potrà essere espresso al compimento di 14 anni di età. Al di sotto di tale soglia, il consenso andrà prestato da chi esercita la responsabilità genitoriale.

Stato di applicazione della normativa: Il percorso di adeguamento al GDPR, in un quadro normativo molto complesso, da ultimo arricchito dal citato decreto legislativo n. 101/18 di armonizzazione tra Codice Privacy e Regolamento Europeo necessita di una continua verifica e monitoraggio della completa e corretta applicazione.

COSA FARE

  07

RIFERIMENTI