linkedinPx

Il nuovo Regolamento sulla Privacy

Il nuovo Regolamento sulla Privacy

Il nuovo Regolamento sulla Privacy
 
Il Regolamento (UE) generale sulla protezione dei dati personali n. 2016/679 (c.d. GDPR) è entrato in vigore il 25 maggio 2016, con applicabilità in tutti i Paesi dell’UE dal 25 maggio 2018, senza necessità di recepimento.
Alle aziende europee è stato dato un periodo utile per adeguarsi alla nuova normativa privacy di due anni e venti giorni a partire dal momento in cui il regolamento è stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea, ovvero il 4 maggio 2016.
Pertanto, a tutti i soggetti interessati - imprese così come Pubbliche Amministrazioni – sono stati concessi due anni di tempo, fino al 24 maggio 2018, per ripensare i processi di trattamento dei dati adattandosi a novità come le valutazioni di impatto e i sistemi di certificazione e di notificazione delle violazioni.
Nei casi in cui sarà necessario, le aziende dovranno anche dotarsi di un Privacy Officer.
Per quanto riguarda l’Italia, il Regolamento sostituirebbe (non integralmente) il Codice Privacy in vigore dal 1°gennaio 2004, ma sarà necessario comunque un coordinamento normativo (il Garante Privacy ha in corso una ricognizione normativa per verificare quali parti del Codice Privacy e quali provvedimenti generali del Garante sopravvivranno alla riforma).
Il Regolamento si applica al solo trattamento dei dati personali di persone fisiche:

  • effettuato da un titolare stabilito nella UE;
  • effettuato da titolari non stabiliti nell’Unione Europea se il trattamento ha ad oggetto dati personali di interessati che si trovano nella UE e riguarda
(1) l’offerta di beni o servizi (anche non a pagamento) ai suddetti interessati
(2) il monitoraggio del loro comportamento nel territorio dell’Unione Europea.
Ricorrendo tali presupposti qualsiasi ente/azienda internazionale, anche non avente sede nella EU, sarà soggetta al Regolamento.
 
Il diritto all’oblio
Il Regolamento codifica compiutamente il diritto all’oblio, quale specifico esercizio del diritto alla cancellazione dei dati personali.
L’interessato esercita il diritto all'oblio chiedendo al titolare del trattamento che siano cancellati, quindi, e non più sottoposti a trattamento i propri dati personali, che:
  • non siano più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati, quando abbia ritirato il proprio consenso, o
  • si sia opposto al trattamento dei dati personali che lo riguardano, o
  • quando il trattamento dei suoi dati personali non sia altrimenti conforme al Regolamento.
 
Il diritto alla portabilità dei dati personali
Con il diritto alla portabilità dei dati personali introdotto con il Regolamento n. 2016/679, l'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali che lo riguardano forniti ad un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora  il trattamento:
(1) sia effettuato con mezzi automatizzati;
(2) si basi sul consenso precedentemente prestato dall’interessato o
(3) si basi su un contratto o su trattative precontrattuali.
In questi specifici casi l’interessato – fermo restando comunque il suo diritto alla cancellazione dei dati - ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all'altro, “se tecnicamente fattibile”.
 
Trasferimento dei dati al di fuori della EU
Qualunque trasferimento di dati personali verso un Paese terzo o un'organizzazione internazionale può avere luogo soltanto se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni esplicitate dal Regolamento:
  1. trasferimento sulla base di una decisione di adeguatezza;
  2. trasferimento soggetto a garanzie.
Se non è applicabile nessuna delle condizioni illustrate il trasferimento o un complesso di trasferimenti di dati personali verso un Paese terzo o un'organizzazione internazionale sono ammessi soltanto se si verifica una delle seguenti condizioni:
  1. il consenso informato dell’interessato;
  2. il trasferimento è necessario all'esecuzione di un contratto ovvero all'esecuzione di misure precontrattuali adottate su istanza dell'interessato;
  3. il trasferimento sia necessario per importanti motivi di interesse pubblico o per accertare, esercitare o difendere un diritto in sede giudiziaria;
  4. il trasferimento sia necessario per tutelare gli interessi vitali dell'interessato o di altre persone, qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso;
  5. il trasferimento sia effettuato a partire da un registro pubblico.
 
IL PRINCIPIO DI ACCOUNTABILITY
Il Principio di Accountability si può tradurre in un obbligo di responsabilizzazione e rendicontazione in capo alle imprese.
Il Regolamento Europeo attribuisce al titolare del trattamento la responsabilità di adottare (e rispettare) complesse misure tecniche, organizzative e legali idonee a garantire adeguata ed effettiva protezione dei dati personali, anche attraverso lo studio di modelli organizzativi ad hoc.
Obbligo a cui si aggiunge l’onere di documentare, verificare (audit) e dimostrare che il trattamento dei dati è stato effettuato in conformità al regolamento europeo in materia di privacy.
 
LE FIGURE CHIAVE DELLA GESTIONE DELLA PRIVACY
  • Titolare del trattamento
  • Responsabile del trattamento
  • Data Protection Officer
 
Titolare Del Trattamento
Il Titolare del Trattamento è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
Per individuare chi è il titolare del trattamento si fa riferimento a criteri fattuali: chi realmente determina le finalità e i mezzi del trattamento è a tutti gli effetti il titolare, a prescindere da qualsiasi nomina "ufficiale".
Tale regola trova tuttavia un'eccezione: laddove le finalità e i mezzi del trattamento sono stabiliti dal diritto dell’UE o degli Stati membri, anche il titolare del trattamento (o i criteri specifici applicabili alla sua designazione) può essere individuato dallo stesso diritto dell'Unione o degli Stati membri.
 
Responsabile del Trattamento
Il Responsabile del Trattamento è definita come la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
Deve essere il titolare del trattamento che, attraverso un contratto scritto o altro atto giuridico a norma del diritto dell’UE o degli Stati membri, ricorre ad un responsabile del trattamento che presenti garanzie sufficienti a garantire un trattamento dei dati che soddisfi i requisiti del Regolamento e di conseguenza sia in grado di tutelare i diritti degli interessati.
 
Responsabile per la Protezione dei Dati (DPO - «Data Protection Officer»)
Il DPO è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati.
Viene designato sistematicamente dal titolare e dal responsabile del trattamento in tre occasioni:
  1. quando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell'esercizio delle loro funzioni);
  2. quando i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  3. quando il trattamento riguarda, su larga scala, dati sensibili o relativi a condanne penali e reati.
Il Regolamento specifica poi nel dettaglio quali sono i compiti minimi del DPO:
  • informare e fornire consulenza al titolare e al responsabile del trattamento in merito agli obblighi derivanti dal Regolamento n. 679/2016 o dalle altre disposizioni legislative interne o europee in materia di protezione dati;
  • sorvegliare l'osservanza del Regolamento da parte del titolare e del responsabile del trattamento in tutte le sue parti, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa al trattamento;
  • fornire su richiesta pareri in merito alla valutazione d'impatto e sorvegliarne lo svolgimento;
  • cooperare con l'autorità di controllo fungendo, tra le altre cose, da punto di contatto per questioni connesse al trattamento effettuando consultazioni di ogni tipo, con particolare riguardo e attenzione ad un'eventuale attività di consultazione preventiva.
 
Principio di «privacy by design»
Il Regolamento prescrive che:
il titolare del trattamento - tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento,
come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento –
debba applicare misure tecniche e organizzative adeguate (es: anonimizzazione) volte ad attuare, in modo efficace, i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie per tutelare i diritti degli interessati.

Tale adempimento va effettuato sia al momento di determinare i mezzi del trattamento (es: progettazione di device) sia all'atto del trattamento stesso.

 
Principio di «privacy by default»
Il Regolamento stabilisce che:
il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate a garantire che siano trattati, per impostazione predefinita (cioè by default), solo i dati personali necessari per ogni specifica finalità del trattamento.
Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità.
In particolare, dette misure devono garantire che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica (che, ad esempio, consapevolmente disponga il settaggio dell’apparato o del servizio scegliendo di condividere con i terzi i dati personali oggetto di trattamento nell’ambito della operatività dell’apparato o del servizio).
Il titolare può ottenere una certificazione ad hoc, prevista dal Regolamento in base ad una specifica procedura, per dimostrare la conformità ai principi di privacy by design e by default.
 
TIPOLOGIE DI DATI E TRATTAMENTO
Le tipologie di Dati si articolano come segue.
  • Dati personali sono dati che riguardano una persona fisica e non sono per forza identificativi. Possono anche essere anonimi.
  • Dati identificativi sono dati personali che permetto di identificare direttamente una persona (per esempio: nome e cognome o foto)
  • Dati sensibili sono dati personali particolarmente delicati il quale trattamento errato può condurre a discriminazioni. Si tratta dei dati che riguardano origini etniche, convinzioni religiose o filosofiche, opinioni politiche, appartenenza a sindacati, partiti, associazioni o altre organizzazioni, stato di salute e vita sessuale. Questi dati sono soggetti a un trattamento più severo, dal punto di vista legale, che prevede, tra le altre cose, l'autorizzazione preventiva al trattamento da parte del Garante della Privacy.
  • Dati giudiziari riguardano il casellario giudiziario e la qualità di imputato o indagato.
  • Dati ordinari sono tutti i dati personali esclusi i dati sensibili.
 
INFORMATIVA E CONSENSO AL TRATTAMENTO DEI DATI PERSONALI
Informativa
L’informativa deve essere resa in forma concisa, trasparente, intellegibile, facilmente accessibile e con un linguaggio semplice e chiaro;
le informazioni devono essere fornite per iscritto o con altri mezzi (anche in formato elettronico) e, se richiesto dall’interessato, potrà essere fornita anche oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato.
Consenso al trattamento dei dati personali
Il Regolamento fonda sul «consenso dell'interessato» la principale precondizione (salve le deroghe) di liceità del trattamento.
Il titolare del trattamento deve poter dimostrare che l'interessato ha prestato il consenso al trattamento dei propri dati personali.
Se il consenso dell'interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso deve essere presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro, pena l’invalidità del consenso prestato.
L'interessato ha poi il diritto di revocare il proprio consenso (e tale informazione è uno dei nuovi elementi obbligatori dell’informativa privacy) in qualsiasi momento (anche se la revoca non pregiudica la liceità del trattamento fino a quel momento effettuato), con modalità di esecuzione della revoca del consenso facili come la sua prestazione originaria.
 
VIOLAZIONE DEI DATI PERSONALI (DATA BREACH)
Il titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali (Data Breach) all’Autorità nazionale di protezione dei dati.
Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative.
Il titolare del trattamento potrà decidere di non informare gli interessati se riterrà che la violazione non comporti un rischio elevato per i loro diritti; oppure se dimostrerà di avere adottato misure di sicurezza a tutela dei dati violati; oppure, infine, nell’eventualità in cui informare gli interessati potrebbe comportare uno sforzo sproporzionato.
 
PRINCIPIO DELLO SPORTELLO UNICO (ONE STOP SHOP)
Le imprese stabilite in più Stati membri o che offrono prodotti e servizi in vari Paesi dell’UE, per risolvere possibili problematiche sull’applicazione e il rispetto del Regolamento potranno rivolgersi ad un solo interlocutore: all’Autorità di Protezione dei Dati del Paese dove si trova il loro stabilimento principale.

03 aprile 2018

numero-verde-mobile