Il nuovo Regolamento Europeo sulla protezione dei dati (General Data Protection Regulation, acronimo GDPR) UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 troverà piena applicazione dal 25 maggio 2018 (CLICCA QUI PER IL TESTO)
Il Legislatore Europeo, sulla base della considerazione che la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale dell’Unione è intervenuto in materia di protezione dei dati riconoscendo come, al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri.
Il presente regolamento è volto a contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia e di un’unione economica, al progresso economico e sociale, al rafforzamento e alla convergenza delle economie nel mercato interno e al benessere delle persone fisiche.
Ulteriore vantaggio del nuovo regolamento è l’applicabilità nei confronti di tutti i soggetti che svolgono affari sul suolo europeo, anche di quelli che hanno sede fuori dall’Unione, con ciò mettendo fine a possibili discriminazioni e/o distorsioni tra aziende del territorio UE ed aziende extra europee.
Gran parte della rivoluzione del GDPR consiste in una forte responsabilizzazione dei titolari del trattamento, che devono operare la raccolta in modo lecito, corretto e soprattutto trasparente e devono mettere in atto tutte le misure tecniche e organizzative necessarie per assicurare, ed essere in grado di dimostrare, che la raccolta e l’utilizzo dei dati siano conformi alle nuove regole.
Si richiede, quindi, ai titolari e responsabili del trattamento l’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento (si vedano in particolare gli artt. 23 – 25 e l’intero Capo IV del regolamento).
Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.
Il primo fra tali criteri è sintetizzato dall’espressione inglese “data protection by default and by design” (in italiano Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita, si veda l’art. 25 del Regolamento), ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili onde soddisfare i requisiti del regolamento e tutelare i diritti degli interessati.
Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio e richiede, pertanto, un’analisi preventiva.
Fondamentali fra tali attività sono quelle connesse al secondo criterio individuato nel regolamento rispetto alla gestione degli obblighi dei titolari, ossia il rischio inerente al trattamento.
Quest’ultimo è da intendersi come rischio di impatti negativi sulle libertà ed i diritti degli interessati; tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione (si vedano gli artt. 35–36) tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi.
All’esito di questa valutazione di impatto il titolare potrà decidere in autonomia se iniziare il trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero consultare l’autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale.
L’autorità, quindi, non avrà il compito di “autorizzare” il trattamento, bensì di indicare le misure ulteriori eventualmente da implementare a cura del titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell’art. 58: dall’ammonimento del titolare fino alla limitazione o al divieto di procedere al trattamento.
Dunque, l’intervento delle autorità di controllo sarà principalmente un intervento che si collocherà successivamente alle determinazioni assunte autonomamente dal titolare; saranno quindi aboliti, a partire dal 25 maggio 2018, alcuni istituti previsti dalla direttiva 95/46/CE e dal Codice Privacy Italiano (D.Lgs 196/03), come la notifica preventiva dei trattamenti all’autorità di controllo e il cosiddetto prior checking, sostituiti da obblighi di tenuta di un registro dei trattamenti da parte del titolare/responsabile (cui si accennerà anche in calce al presente articolo) e, appunto, di effettuazione di valutazioni di impatto in piena autonomia.
In ordine alle novità del Regolamento
1) Il regolamento conferma che ogni trattamento deve trovare fondamento in un’idonea base giuridica; i fondamenti di liceità del trattamento sono indicati all’art. 6 del regolamento.
2) In ordine al consenso si fa presente che deve essere, in tutti i casi, libero, specifico, informato e inequivocabile anche se NON deve essere necessariamente documentato per iscritto né è richiesta la forma scritta, anche se il titolare (art. 7, paragrafo 1) deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento. In caso di minori, si sottolinea come il consenso sia valido a partire dai 16 anni (prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci).
3) Con riferimento all’informativa il Legislatore Europeo ha indicato i contenuti della stessa in modo tassativo all’art. 13, paragrafo 1 (dati personali raccolti presso l’interessato) ed all’art. 14, paragrafo 1 (dati personali non ottenuti presso l’interessato) del Regolamento. In particolare si sottolinea che il titolare del trattamento deve sempre specificare i dati di contatto del Responsabile della protezione dei dati (RPD o, con l’acronimo inglese, Data Protection Officer), ove esistente (cfr. art. 37), la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti. In aggiunta a ciò, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo e specificare se il trattamento comporta processi decisionali automatizzati (anche la profilazione) ed indicare la logica di tali processi decisionali e le conseguenze previste per l’interessato.
Nel caso di dati personali non raccolti direttamente presso l’interessato l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione dei dati a terzi o all’interessato.
Il regolamento specifica poi molto più in dettaglio rispetto al Codice Privacy D.Lgs. 196/03 le caratteristiche dell’informativa, che deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato (art. 12, paragrafo 1).
4) Diritti degli interessati:
A) Il titolare del trattamento deve agevolare l’esercizio dei diritti da parte dell’interessato, adottando ogni misura tecnica ed organizzativa a ciò idonea.
Il termine per la risposta all’interessato è, per tutti i diritti (compreso il diritto di accesso) di 1 mese, estensibile fino a 3 mesi.
L’esercizio dei diritti è, in linea di principio, gratuito salvo la possibilità per il titolare del trattamento di valutare la complessità del riscontro da fornire all’interessato e stabilire l’ammontare dell’eventuale contributo da chiedere a quest’ultimo nei seguenti casi:
– se si tratta di richieste manifestamente infondate o eccessive (cfr art. 12 paragrafo 5, potendo comunque in tale ipotesi rifiutarsi di soddisfare la richiesta) ovvero
– se sono chieste più copie dei dati personali nel caso del diritto di accesso (art. 15, paragrafo 3; in quest’ultimo caso il titolare deve tenere conto dei costi amministrativi sostenuti).
Il riscontro all’interessato deve avvenire, di regola, in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità; può essere dato oralmente solo se così richiede l’interessato stesso (art. 12, paragrafo 1).
B) Interessante è il diritto alla cancellazione (il c.d. diritto “all’oblio”) che si configura nel regolamento come un diritto alla cancellazione dei propri dati personali in forma rafforzata (art. 17 regolamento).
Si prevede, infatti, l’obbligo per i titolari del trattamento (se hanno reso pubblici i dati personali dell’interessato: ad esempio, pubblicandoli su un sito web) di informare altri titolari che trattano i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali (si veda art. 17, paragrafo 2).
Il diritto all’oblio non si applica in alcune ipotesi indicate all’art. 17, paragrafo 3.
C) Il Regolamento disciplina poi il diritto di limitazione del trattamento (art. 18), diritto diverso e più esteso rispetto al “blocco” del trattamento, esercitabile sia nel caso di violazione dei presupposti di liceità del trattamento (in alternativa alla cancellazione dei dati stessi), ma anche quando l’interessato contesta l’esattezza dei dati personali (per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali) ovvero l’interessato si è opposto al trattamento ai sensi dell’articolo 21, paragrafo 1 del Regolamento (in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato)
D) Di nuova introduzione da parte del Regolamento è il diritto alla portabilità dei dati previsto all’art. 20 del Regolamento. Tale diritto si applica ai soli trattamenti automatizzati (quindi non si applica agli archivi o registri cartacei) e sono previste specifiche condizioni per il suo esercizio : sono portabili solo i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato (quindi non si applica ai dati il cui trattamento si fonda sull’interesse pubblico o sull’interesse legittimo del titolare, per esempio), e solo i dati che siano stati “forniti” dall’interessato al titolare
4) Titolarità del trattamento
Il regolamento:
- disciplina la contitolarità del trattamento (art. 26) e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, prevendendo comunque che l’interessato possa esercitare i propri diritti nei confronti di e contro ciascun titolare del trattamento;
- fissa le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) che vincoli il responsabile del trattamento al titolare del trattamento e che deve disciplinare tassativamente alcune materie (riportate all’art. 28 paragrafo 3);
- consente la nomina di sub-responsabili del trattamento da parte di un responsabile (si veda l’art. 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario. Quest’ultimo risponde dinanzi al titolare dell’inadempimento dell’eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l’evento dannoso non gli è in alcun modo imputabile;
- prevede obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare, la tenuta del registro dei trattamenti svolti (art. 30, paragrafo 2):
- Tutti i titolari ed i responsabili di trattamento, eccettuate le imprese e le organizzazioni con meno di 250 dipendenti (ma solo se non effettuano trattamenti a rischio, cfr. art. 30, paragrafo 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati al medesimo art. 30.
- Si tratta di uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, indispensabile per ogni valutazione e analisi del rischio.
- Il registro deve avere forma scritta, anche elettronica, e deve essere messo a disposizione dell’Autorità di controllo.
Articolo redatto a cura dell’Avv. Simone Poggi
Commenti recenti