Dal 25 maggio 2018 è direttamente applicabile in tutti gli Stati membri il Regolamento UE 2016/679 meglio noto come GDPR (General Data Protection Regulation), relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.
Dalla sua entrata in vigore, il GDPR ha sostituito i contenuti della direttiva sulla protezione dei dati (Direttiva 95/46/CE) e, in Italia, ha abrogato le norme del Codice per la protezione dei dati personali (D.Lgs. n. 196/2003) con esso incompatibili.
* * *
Il testo, adottato il 27 aprile 2016, è stato pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed è entrato in vigore il 25 maggio; è operativo a partire dal 25 maggio 2018.
Il Regolamento disciplina solo il trattamento di dati personali delle persone fisiche (ivi compresi quelli di persone fisiche trattati in ambito professionale ovvero nei rapporti tra imprese, enti e associazioni).
Pertanto, le informazioni anagrafiche e simili di soggetti aventi personalità giuridica (società di capitali, aziende ed enti pubblici, associazioni e fondazioni) sono esclusi dall’applicazione del codice (questo non vale per le ditte individuali perché identità personale e professionale coincidono).
In pratica, il campo di applicazione riguarda i dati personali di persone fisiche trattati in qualsiasi attività (professionale, economica, di interesse pubblico, associativa, ecc.) ad esclusione delle sole attività della vita personale o domestica (eccezion fatta per la pubblicazione on line di dati personali di persone fisiche, anche se nell’ambito personale o domestico, in quanto si tratta di divulgazione indistinta).
Il GDPR nasce da precise esigenze – come indicate dalla stessa Commissione UE – di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dalla UE verso altre parti del mondo.
Nello specifico, il GDPR:
– introduce regole più chiare su informativa e consenso;
– definisce i limiti al trattamento automatizzato dei dati personali;
– pone le basi per l’esercizio di nuovi diritti;
– stabilisce criteri rigorosi per il trasferimento degli stessi al di fuori della UE;
– fissa norme rigorose per i casi di violazione dei dati (data breach).
Le norme si applicano anche alle imprese situate al di fuori dell’Unione Europea che offrono servizi o prodotti all’interno del mercato UE: tutte le aziende, ovunque stabilite, dovranno quindi rispettare le nuove regole.
Imprese ed enti avranno più responsabilità e, in caso di inosservanza delle regole, rischiano pesanti sanzioni (ci sono diverse fattispecie, e si va da una mera diffida amministrativa fino a sanzioni da 20 milioni di euro).
Il GDPR è entrato in vigore prima che il Governo esercitasse la delega: c’è tempo fino al 22 agosto per emanare il decreto legislativo di adeguamento della normativa italiana al GDPR, con riguardo unicamente alle materie in cui lo stesso GDPR prevede la competenza delle normative nazionali.
Fino a quando non verrà emanato il decreto, pertanto, il GDPR equivale al regolamento europeo. Successivamente, il GDPR sarà integrato anche dalla normativa nazionale in quelle materie nelle quali è consentita ai singoli Stati l’integrazione con le relative misure di esecuzione.
Di seguito, una breve carrellata delle novità più rilevanti introdotte dal Regolamento.
* * *
Titolare del trattamento (data controller)
Il Titolare del trattamento (data controller) è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
In sostanza il Titolare è colui che tratta i dati senza ricevere istruzioni da altri, colui che decide “perché” e “come” devono essere trattati i dati.
Il Titolare del trattamento non è, quindi, chi gestisce i dati, ma chi decide il motivo e le modalità del trattamento.
L’introduzione del nuovo Regolamento generale europeo ha creato qualche problema nella traduzione dei termini, in quanto il termine data controller va tradotto, come stabilito dal Garante italiano, con “Titolare del trattamento”, cioè colui il quale è responsabile per il trattamento medesimo.
Questo ha creato qualche confusione col “Responsabile del trattamento”, che invece più correttamente è la traduzione di data processor.
Responsabile del trattamento (data processor)
Il Responsabile del trattamento (data processor) è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del Titolare del trattamento.
Si tratta di un soggetto, distinto dal Titolare, che deve essere in grado di fornire garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché di garantire la tutela dei diritti dell’interessato.
Il Responsabile del trattamento dovrà avere innanzitutto una competenza qualificata dovendo garantire una conoscenza specialistica della materia, e l’attuazione delle misure tecniche e organizzative in grado di soddisfare i requisiti stabiliti dal Regolamento europeo. Inoltre, dovrà garantire una particolare affidabilità, un requisito fondato su aspetti etici e deontologici (ad esempio l’assenza di condanne penali).
Ovviamente dovrà disporre delle risorse tecniche adeguate per l’attuazione degli obblighi derivanti dal contratto di designazione e dalle norme in materia. Se è soggetto interno, le risorse saranno a carico del Titolare.
Il Titolare del trattamento rimane, a sua volta, responsabile della gestione effettuata dai Responsabili, dovendo garantire che le loro decisioni siano conformi alle leggi.
In particolare, il Titolare deve ricorrere a responsabili che presentino garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del Regolamento.
Compito specifico del Titolare è, infatti, quello di valutare il rischio del trattamento che pone in essere tramite i Responsabili.
Il titolare deve sempre poter sindacare le decisioni dei Responsabili.
DPO (Data Protection Officer)
È stata inoltre prevista la figura del Responsabile della protezione dei dati (Data Protection Officer o DPO), incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti, individuato in funzione delle qualità professionali, della conoscenza specialistica della normativa e della prassi in materia di protezione dati.
Il DPO è un consulente esperto che va ad affiancare il titolare nella gestione delle problematiche del trattamento dei dati personali. In tal modo si garantisce che un soggetto qualificato si occupi in maniera esclusiva della materia della protezione dei dati personali, aggiornandosi sui rischi e le misure di sicurezza, in considerazione della crescente importanza e complessità del settore.
Il ruolo del DPO è di tutelare i dati personali, non gli interessi del titolare del trattamento. E ciò appare ovvio soprattutto nell’ambito degli enti pubblici e delle aziende che effettuano un monitoraggio su larga scala degli individui.
Il DPO deve possedere un’adeguata conoscenza delle normative e delle prassi di gestione dei dati personali, deve adempiere alle proprie funzioni in piena autonomia ed indipendenza, e in assenza di conflitti di interesse. In tal senso non può ricoprire tale incarico un soggetto che si trova ai vertici aziendali, quindi in grado di influenzare le scelte adottate in materia di trattamento dei dati.
Titolare e Responsabile devono mettere a disposizione del DPO le risorse umane e finanziarie per poter svolgere il suo compito.
Il ruolo di DPO può essere affidato ad uno dei dipendenti dell’azienda ma può anche essere esternalizzato a un fornitore di servizi (libero professionista o azienda) tramite apposito contratto, nel qual caso dovrà essere nominato anche responsabile del trattamento. È difficilmente immaginabile, infatti, che possa svolgere le sue funzioni senza avere accesso ai dati personali.
Può essere una persona fisica o un’organizzazione, e può essere nominato per un gruppo di imprese al fine di ridurre i costi.
Il titolare del trattamento e il Responsabile del trattamento si assicurano che il DPO non riceva alcuna istruzione per quanto riguarda l’esecuzione dei suoi compiti. Inoltre, il DPO non può essere rimosso o penalizzato dal Titolare o dal Responsabile del trattamento per l’adempimento dei propri compiti. Questo proprio a tutela della sua autonomia. In tal senso appare difficile ritenere che tale autonomia sia giustificabile nell’ambito di un rapporto di lavoro dipendente, per cui sarebbe preferibile che il DPO sia un soggetto esterno.
Consenso al trattamento
Il consenso è qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso esprime il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, al trattamento dei dati personali che lo riguardano.
Il presupposto indefettibile è che il soggetto che conferisce il consenso abbia la capacità giuridica per farlo.
Inoltre, il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale.
Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle.
Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste.
Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.
Sicurezza dei dati
La sicurezza dei dati raccolti è garantita dal Titolare del trattamento e dal Responsabile del trattamento chiamati a mettere in atto misure tecniche e organizzative idonee per garantire un livello di sicurezza adeguato al rischio.
Il principio di integrità e riservatezza stabilisce che i dati devono essere sempre trattati in modo da garantirne una sicurezza adeguata.
In tal senso, il Titolare dovrà adottare misure di sicurezza tecniche ed organizzative adeguate per proteggere i dati stessi da trattamenti non autorizzati o illeciti, dalla loro perdita o distruzione o dal danno accidentale.
È importante tenere presente che la sicurezza non riguarda solo il dato, ovvero il prodotto finale, bensì l’intero ciclo del trattamento.
Al Titolare del trattamento sono imposti obblighi che vanno oltre gli oneri del custode, prevedendo la dotazione di strutture informatiche adeguate a ridurre al minimo i rischi di distruzione, perdita o accesso non autorizzato ai dati.
Autorità di controllo (Garante)
Ogni Stato membro dell’Unione europea ha la sua Autorità di controllo.
L’Autorità di controllo è competente per la gestione dei reclami ad essa proposti o per eventuali violazioni del Regolamento europeo e delle norme nazionali in materia di protezione dei dati, ma solo se l’oggetto riguarda uno stabilimento nel territorio dello Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro.
Il Garante per la protezione dei dati personali (Garante Privacy) è l’Autorità di controllo nazionale italiana, un’autorità amministrativa indipendente istituita dalla Legge sulla privacy (Legge 31 dicembre 1996, n. 675), in attuazione della direttiva comunitaria 95/46/CE.
Con il nuovo Regolamento europeo l’Autorità di controllo interviene principalmente ex post: la sua valutazione si colloca successivamente alle valutazioni del Titolare del trattamento, con abolizione delle notifiche preventive dei trattamenti e loro sostituzione con obblighi di tenuta di un Registro dei trattamenti, oltre che da valutazioni di impatto autonome da parte del Titolare del trattamento.
Registro dei trattamenti
L’onere della tenuta del Registro è a carico del Titolare e, se nominato, del Responsabile del trattamento.
La tenuta del Registro è utile per una completa ricognizione e valutazione dei trattamenti svolti e, quindi, finalizzata anche all’analisi del rischio e ad una corretta pianificazione dei trattamenti.
Per tale ragione, le Autorità invitano tutti i titolari a dotarsene eventualmente inserendo nel registro ogni elemento utile, anche oltre a quelli minimi previsti dalle norme.
Il Registro deve essere tenuto in forma scritta, anche in formato elettronico, e va esibito all’Autorità di controllo (Garante) in caso di verifiche.
Sono esentate dall’obbligo di tenuta del Registro le imprese o le organizzazioni con meno di 250 dipendenti, a meno che il trattamento effettuato:
– possa presentare un rischio per i diritti e le libertà degli interessati,
– non sia occasionale,
– includa il trattamento di categorie particolari di dati di cui all’art. 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’art. 10 (dati sensibili o giudiziari).
Sportello unico (One stop shop)
Il nuovo Regolamento europeo per la protezione dei dati personali introduce il principio dello Sportello unico (one stop shop) che semplificherà la gestione dei trattamenti e garantirà un approccio uniforme.
Poiché l’obiettivo del regolamento europeo è quello di armonizzare le norme e la loro applicazione nel territorio dell’Unione, tale principio stabilisce che le imprese e, in genere, i Titolari del trattamento, avranno a che fare con una sola Autorità di controllo: ovvero, quella del paese dove hanno la sede principale, piuttosto che con le autorità di 28 Stati europei.
Ciò che decide l’Autorità di controllo nazionale trova quindi applicazione anche negli altri paesi dell’Unione.
Portabilità dei dati
Nel Regolamento viene introdotto il diritto alla portabilità dei propri dati personali per trasferirli da un Titolare del trattamento a un altro.
L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali che lo riguardano forniti a un Titolare del trattamento, e ha il diritto di trasmettere tali dati a un altro Titolare del trattamento senza impedimenti da parte del Titolare del trattamento cui li ha forniti.
La norma fa eccezione nei casi i cui si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafi. In questo caso il diritto non potrà essere esercitato, così come è vietato il trasferimento di dati personali verso Paesi extra UE oppure verso organizzazioni internazionali che non rispondono agli standard di sicurezza in materia di tutela.
Il principio di “responsabilizzazione”
È stato introdotto il principio della responsabilizzazione dei Titolari del trattamento (accountability) con un approccio che tenga in maggior considerazione i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati.
Il Titolare del trattamento, tenuto conto della natura, del contesto e della finalità del trattamento, dovrà garantire, ed essere in grado di dimostrare, che il trattamento è effettuato non solo in maniera conforme alla normativa, ma anche in maniera tale da non determinare rischi e quindi gravare sui diritti e le libertà degli interessati.
In tal senso si supera la concezione formalistica del passato, quando bastava avere il consenso per sentirsi in regola, perché oggi l’essere conformi al Regolamento non è più sufficiente, in quanto il Titolare ha sempre la responsabilità di tutelare l’interessato e la collettività dai rischi impliciti del trattamento.
Violazione di dati personali (Data breach)
La violazione dei dati personali (data breach) consiste nella violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Pertanto un data breach non è solo un evento doloso (come un attacco informatico) ma può essere anche un evento accidentale come un accesso abusivo, un incidente (ad es. un incendio o una calamità naturale), la semplice perdita di una chiavetta USB o la sottrazione di documenti con dati personali (furto di un notebook di un dipendente).
Il Regolamento prescrive specifici adempimenti nel caso di una violazione di dati personali.
Il Titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali al Garante.
Diritto all’oblio
Per quanto riguarda il diritto all’oblio, l’interessato al trattamento che ritiene di aver subito una violazione dei suoi diritti può rivolgersi direttamente al Titolare del trattamento (oppure al Responsabile, anche attraverso un incaricato) per la sua tutela, senza particolari formalità (lettera, mail, fax, etc…).
Un classico esempio è la richiesta di diritto all’oblio (cancellazione) che può essere rivolta direttamente a Google Search (e agli altri motori di ricerca) quale Titolare del trattamento.
L’interessato deve ricevere una risposta entro 30 giorni, termine che può essere esteso a 60 giorni dandone comunicazione all’interessato nei primi 30 giorni.
In mancanza di risposta, o in caso di risposta non soddisfacente, l’interessato può rivolgersi all’Autorità di controllo (Garante) oppure a quella giudiziaria.
* * *
Qui di seguito, il link al Regolamento (UE) 2016/679 (GDPR) del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
