Regolamento Europeo 2016/679 è il testo per la protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Tra le misure privacy da adottare nel rispetto del Regolamento Europeo 679, c’è quella di redigere e conservare opportune documentazioni quali i Registri delle attività di trattamento secondo l’art. 30 (nel caso di imprese o organizzazioni con meno di 250 dipendenti), in cui vengano riportare tutte le attività di trattamento dei dati svolte sotto la responsabilità del “titolare” al trattamento o del responsabile.

Viene richiesto anche di cooperare con l’autorità di controllo notificando qualsiasi violazione dei dati personali alla stessa e al diretto interessato entro 72 ore dal momento in cui se ne è venuti a conoscenza, all’autorità di controllo competente, e senza ingiustificato ritardo secondo l’art. 33.

Il Regolamento Europeo è entrato in vigore il 25 maggio 2016 e si applicherà in tutti gli Stati Membri a partire dal 25 maggio 2018, termine entro il quale le aziende dovranno adeguarsi alla nuova legge sulla privacy. Con applicazione in tutti gli Stati Membri (a partire dal 25 maggio 2018) del regolamento Privacy 679, i Titolari e Responsabili del trattamento dovranno seguire il “principio della accountability” (art. 5 co. 2) che comporterà l’onere di dimostrare l’adozione, senza convenzionalismi, di tutte le misure tecniche e organizzative adeguate per garantire che il trattamento sia effettuato conformemente al Regolamento (art. 24-25 e l’intero CAPO IV).

I regolamenti UE sono immediatamente esecutivi e non richiedendo la necessità di recepimento da parte degli Stati membri e garantiscono una maggiore armonizzazione a livello dell’intera UE.

L’applicazione da parte in tutti gli Stati Membri del Regolamento EU 2016/679 Privacy, permetterà che la medesima normativa sia contemporaneamente in vigore in tutti gli stati dell’Unione Europea.

La diffusione tecnologica, oltre a favorire i tradizionali scambi di beni e di servizi, ha permesso la condivisione globale di informazioni sensibili, sollevando numerose criticità soprattutto in materia di trattamento dei dati personali. Nell’era della digitalizzazione, sempre più individui rendono progressivamente pubbliche sulla rete mondiale le informazioni private che li riguardano e le autorità pubbliche e le imprese possono utilizzare questi dati personali resi pubblici nello svolgimento delle loro attività.

Esso concorrerà a ristabilire un clima di fiducia verso aziende e istituzioni, facilitando gli scambi, gli investimenti e l’economia digitale. Modificherà profondamente l’attuale modo di operare, obbligando a passare da un approccio “compilativo” ad un approccio basato sulla responsabilità e sulla verifica dell’efficacia. Fondamentali possono considerarsi l’introduzione del Risk Assessment (art. 35), del Privacy Impact Assessment (art. 35 e 36) e degli importanti concetti di privacy by design e privacy by default (art. 25).

Il Regolamento 679 Europeo Privacy o GDPR introdurrà nuove tutele a favore degli interessati, e inevitabilmente nuovi obblighi a carico di Titolari e Responsabili del trattamento di dati personali. Il Regolamento Privacy andrebbe vissuto dalle aziende non come una serie di “adempimenti”, ma come una serie di “strumenti” e di “tutele” a vantaggio di chi tratta i dati personali. Quindi non solo privacy, ma anche sicurezza informatica.

Per tutti i dettagli e le casistiche previste per le sanzioni, si rimanda direttamente al Regolamento Privacy art. 83. In ogni caso, per di mancato rispetto di queste norme, il General Data Protection Regulation – GDPR – consente alle autorità di protezione dei dati di emettere multe fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo di una società.

Si, ed è per questo che si rende necessario un quadro legislativo comune e omogeneo in materia di protezione dei dati personali e di libera circolazione dei dati che sia di portata mondiale

In sintesi:

1. l’inadeguatezza sempre  più evidente di quadro giuridico improntato a confini nazionali;
2. Internet, globalizzazione, diffusione e nuove modalità dei trattamenti di dati personali;
3. l’incertezza giuridica e la diffusa percezione nel pubblico che le operazioni online comportino notevoli rischi.

In sintesi qui di seguito elenchiamo:

1. L’armonizzazione della normativa degli Stati membri attraverso un corpus unico di norme in materia di protezione dei dati personali valido per tutta l’Unione;
2. La manifestazione del consenso “esplicita” dell’interessato al trattamento dei dati personali (art. 7);
3. Introduzione del diritto all’oblio e alla cancellazione dei dati online: chiunque potrà chiedere di cancellare i propri dati se non sussistono motivi legittimi per mantenerli (art. 17);
4. Semplificazione del processo relativo alla portabilità dei dati, agevolando l’accesso e il trasferimento degli stessi da un fornitore di servizi a un alto (art. 20);
5. Maggiore responsabilità e obbligo di documentazione per il titolare e il responsabile del trattamento dei dati in sostituzione dell’attuale obbligo di notificare tutti i trattamenti alle autorità di protezione dei dati, nei casi previsti dall’art. 30 del GDPR;
6. Obbligo per il titolare del trattamento di notificazione e comunicazione di tutte le violazioni dei dati personali (art. 33).

Occorre aumentare la “fiducia” dell’Utente che usa il web per i suoi acquisti per dare una spinta allo sviluppo dell’economia digitale. Nel mercato UE, l’esistenza di regole non uniformi e modalità di applicazione differenziate comportano incertezza e costi per imprese, ostacolano l’integrazione dei mercati intra UE e l’attività economica negli stati membri. Sono sempre più numerose le situazioni di trattamento dei dati di soggetti intra UE da parte di operatori extra UE. Questa realtà fa si che se le regole applicabili sono molto diverse, si produce una distorsione della concorrenza e carenze di protezione.

L’applicazione delle norme previste dal Regolamento anche ai “dati personali trattati all’estero” da imprese che sono attive sul mercato unico e offrono servizi ai cittadini dell’Unione è un elemento fondamentale della proposta, così come l’obbligo per gli Stati Membri di “istituire Autorità di controllo indipendente” per la protezione dei dati e la “creazione di un Comitato europeo” per la protezione dei dati indipendente e composto dal responsabile dell’autorità di controllo indipendente di ciascun Paese e dal garante europeo della protezione dei dati. Per maggiori informazioni in merito a questi principi, fare riferimento al CAPO V (artt. dal 44 al 50) e al CAPO VI (artt. dal 51 al 59).

Responsabile Protezione Dati personali – Data Protection Officer è una figura obbligatoria in specifici contesti, con compiti di consiglio, informazione e controllo in merito agli obblighi legali relativi alla Privacy. Il DPO è obbligatorio per:

• Pubbliche Amministrazioni (tranne autorità giudiziarie)
• Aziende che trattano dati sensibili su larga scala
• Aziende il cui trattamento comporta un controllo regolare e sistematico degli Interessati

Per poter svolgere le attività richieste, Il Data Protection Officer deve avere un’adeguata conoscenza della normativa privacy e delle prassi in materia di protezione dei dati, per poter fornire alle aziende la consulenza necessaria per elaborare, verificare e regolamentare un sistema organizzato di gestione dei dati personali (art. 37 comma 5). Deve inoltre predisporre un articolato insieme di misure di sicurezza finalizzate alla tutela dei dati che garantiscano l’osservanza del Regolamento Europeo e assicurino riservatezza e sicurezza (art. 39). In sintesi DPO deve essere:

• un professionista competente nella materia relativa alla gestione dei dati personali;
• Indipendente nello svolgimento delle sue funzioni;
• Privo di conflitti di interesse.

In base all’articolo 37, paragrafo 5, il RPD “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. Nel considerando 97 si prevede che il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento.

• Conoscenze specialistiche: il livello di conoscenza specialistica richiesto non trova una definizione tassativa; piuttosto, deve essere proporzionato alla sensibilità, complessità e quantità dei dati sottoposti a trattamento.
• Qualità professionali: l’articolo 37, paragrafo 5, non specifica le qualità professionali da prendere in considerazione nella nomina di un DPO; tuttavia, sono pertinenti al riguardo la conoscenza da parte del DPO della normativa e delle prassi nazionali ed europee in materia di protezione dei dati e un’approfondita conoscenza del GDPR. Proficua anche la promozione di una formazione adeguata e continua rivolta ai DPO da parte delle Autorità di controllo. E’ utile la conoscenza dello specifico settore di attività e della struttura organizzativa del titolare; inoltre, il DPO dovrebbe avere sufficiente familiarità con le operazioni di trattamento svolte nonché con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dal titolare.
• Capacità di assolvere i propri compiti: per capacità di assolvere i propri compiti si deve intendere sia quanto è legato alle qualità personali e alle conoscenze del DPO, sia quanto dipende dalla posizione del DPO all’interno dell’azienda o dell’organismo. Le qualità personali dovrebbero comprendere, per esempio, l’integrità ed elevati standard deontologici; il DPO dovrebbe perseguire in via primaria l’osservanza delle disposizioni del GDPR. Il DPO svolge un ruolo chiave nel promuovere la cultura della protezione dei dati all’interno dell’azienda o dell’organismo, e contribuisce a dare attuazione a elementi essenziali del regolamento quali i principi fondamentali del trattamento, i diritti degli interessati, la protezione dei dati sin dalla fase di progettazione e per impostazione predefinita, i registri delle attività di trattamento, la sicurezza dei trattamenti e la notifica e comunicazione delle violazioni di dati personali.
• un’adeguata conoscenza della normativa privacy e delle prassi in materia di protezione dei dati, per poter fornire alle aziende la consulenza necessaria per elaborare, verificare e regolamentare un sistema organizzato di gestione dei dati personali (art. 37 comma 5). Deve inoltre predisporre un articolato insieme di misure di sicurezza finalizzate alla tutela dei dati che garantiscano l’osservanza del Regolamento Europeo e assicurino riservatezza e sicurezza (art. 39).

Lo staff tecnico di MODI SRL di Spinea, Mestre Venezia, assume il ruolo di DPO (“Data Protection Officer”) quale figura competente sia in aree giuridiche che informatiche, con il compito di analizzare, valutare e disciplinare la gestione del trattamento dei dati personali e della salvaguardia degli stessi all’interno dell’azienda Cliente, secondo le direttive imposte dalle normative vigenti.

All’interno del Regolamento Europeo 2016/679, viene indicato che il “Data Protection Officer” (quale  figura autonoma), esegue le proprie funzioni in completa indipendenza per poi riferire sul suo operato direttamente ai vertici aziendali.

I vertici aziendali,  per la piena esecuzione dei  compiti portati avanti dal “Data Protection Officer”, devono fornire le risorse necessarie affinché egli possa articolare in autonomia  e senza ricevere alcuna istruzione o impostazione gerarchica, l’insieme di misure di sicurezza finalizzate alla tutela dei dati che garantiscano l’osservanza del Regolamento Europeo e assicurino riservatezza e sicurezza (art. 37 comma 6).

Il “consenso” è la libera indicazione della volontà del soggetto interessato di accettare esplicitamente una specifica operazione di trattamento relativa ai propri dati personali, di cui era stato informato in anticipo da colui che ha il potere di decidere su tale elaborazione (il Titolare del trattamento).

Alcuni tipi di trattamento possono essere eseguiti senza il consenso dell’Interessato, ai sensi della sezione 24 del Codice italiano in materia di protezione dei dati.

Il Regolamento UE 679/2016 tratta  negli articoli  7 e 8 il “consenso” quale onere della prova della sussistenza del consenso al trattamento prestato dall’interessato è in capo al titolare.

In qualsiasi momento l’interessato può revocare il proprio consenso, senza che questo pregiudichi la liceità del trattamento già effettuato precedentemente.

Il trattamento dei dati del minore è lecito solo se questo abbia almeno 16 anni (in alcuni stati anche 13), altrimenti è necessario il consenso prestato o autorizzato dal titolare della responsabilità genitoriale.

Il dato sensibile è il dato personale che, per sua natura, richiede particolare attenzione: i dati sensibili rivelano origine razziale o etnica, credenze religiose o altre convinzioni, opinioni politiche, tesseramento a partiti, sindacati o associazioni, salute e vita sessuale.

L’informativa è un avviso contenente le informazioni che il Titolare del trattamento è tenuto a fornire a tutti gli interessati, sia per via orale che per iscritto, in modo chiaro conciso, in merito a quando e come i dati vengono raccolti sia direttamente dall’Interessato che tramite terzi, e come gli stessi vengono utilizzati.

Qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti della persona fisica.

Il trattamento dei dati personali in modo tale che i dati non possano più essere attribuiti ad un interessato specifico senza l’utilizzo di in- formazioni aggiuntive, a condizione che tali in- formazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona identificata o identificabile.

Oggi come oggi, il conceto di privacy non  è solo il diritto di essere «lasciati in pace» o di proteggere la propria sfera privata, ma soprattutto il diritto di controllare l’uso e la circolazione di dati personali che costituiscono il bene primario della «società dell’informazione».

I principali soggetti della Privacy sono: l’interessato, il titolare del trattametno dei dati, il Reponsabile del trattamento, il DPO, il terzo e l’Autorità di Constrollo.

• Interessato: la persona fisica cui si riferiscono i dati personali.
• Titolare del Trattamento: la persona fisica, la società, l’associazione o un’altra entità che controlla il trattamento dei dati personali ed è autorizzata a prendere decisioni essenziali sulle finalità e modalità di tale trattamento, comprese le misure di sicurezza applicabili.
• Responsabile del Trattamento: la persona fisica, la società, l’associazione o l’organizzazione a cui il Titolare ha affidato l’attività specifica di gestione e controllo dei dati personali, in base all’esperienza e/o alle competenze pertinenti in materia.
• DPO (Data Protection Officer): il professionista con conoscenze specialistiche sulla legislazione e sulle pratiche in materia di protezione dei dati. Egli è designato dal Titolare / Responsabile in tre occasioni:
  • Il trattamento è effettuato da un’autorità pubblica;
  • Il trattamento è su larga scala e coinvolge dati sensibili;
  • Il trattamento richiede un controllo regolare e sistematico degli Interessati.
• Terzo: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento. E’ una persona autorizzata al trattamento dei dati sotto l’autorità diretta del titolare o del responsabile.
• Autorità di Controllo: l’autorità pubblica indipendente istituita da uno Stato membro www.garanteprivacy.it

I punti fondamentali del nuovo Regolamento 2016/679 sono i seguenti:

• ACCOUNTABILITY art. 5 co. 2: specifica la “responsabilizzazione” del Titolare/Responsabile, che deve mettere in atto misure tecniche e organizzative adeguate per garantire che il trattamento sia effettuato conformemente al Regolamento (art. 24-25 e l’intero CAPO IV. In tal senso risulta utile l’adesione a codici di condotta o meccanismi di certificazione.
• DATA PROTECTION IMPACT ASSESSMENT art. 35: ogni trattamento di dati personali che presenta rischi per i diritti e le libertà degli individui deve essere esaminato attentamente. La valutazione di impatto sui dati personali, oltre ad essere obbligatoria quando vengono trattati dati sensibili o giudiziari, è dovuta anche nei casi di trattamenti automatizzati e nei casi di profilazione.
• VALUTAZIONE DI IMPATTO PRIVACY art. 35 – 36: attività funzionale alla progettazione di sistemi di gestione privacy che siano conformi ai principi della privacy by design e privacy by default (art. 25). Viene introdotto il principio per cui la privacy va considerata e applicata fin dalla sua fase di progettazione
• DATA PROTECTION OFFICER Art. 37, 38, 39: obbligatorio per P.A. (eccetto autorità giudiziarie), per trattamenti su larga scala di dati sensibili, e per trattamenti che richiedono controllo sistematico e regolare degli interessati.
• DATA BREACH NOTIFICATION art. 33: il Regolamento introduce, in capo ai titolari del trattamento, un obbligo generalizzato di comunicazione delle violazioni dei dati personali.

Poiché il GDPR andrà a sostituire la normativa nazionale in materia di protezione dei dati personali, impattando anche sulle imprese con sede fuori dall’UE, è importante per tutti preoccuparsi fin da subito di raggiungere una sufficiente conformità con il dettato normativo europeo.

Il primo punto fondamentale sarà quello relativo al consenso, da ottenere nei confronti dell’interessato al trattamento, sia per i dati che devono essere ancora raccolti, sia per quelli già in possesso.

I dati già in possesso saranno oggetto di audit per verificare che rispettino il consenso.

Il secondo punto riguarda l’obbligo di notifica, entro 72 ore, di ogni violazione dei dati (data breach), sia al DPO che agli interessati.

Ogni organizzazione dovrà essere pronta ad eliminare i dati dell’interessato che ne faccia richiesta, sia perché i dati sono stati acquisiti illecitamente, sia perché lo permette la legge.

Si dovranno quindi implementare sistemi che rispondano prontamente alle richieste di «essere dimenticati».

La gestione del rischio dovrà costituire un processo integrato già dalla progettazione di una soluzione per assicurare la tutela dei dati personali (privacy by design), quando cioè la possibilità di eliminare eventuali minacce è più veloce, più efficace e meno onerosa.

In determinate circostanze previste dal Regolamento, dovrà essere nominata la figura, rappresentata dal DPO, di un responsabile della protezione dei dati, da individuarsi sia tra i dipendenti dell’azienda, sia servendosi di consulenti esterni, esperti in materia.

Sempre per specifici casi mandatori (seppur sia consigliato a tutti), ci si dovrà dotare di un registro delle attività di trattamento, distinto tra quello del Titolare e quello del o dei Responsabili.

Tale documento dovrà essere aggiornato con frequenza, affinché rappresenti realisticamente l’attività svolta in dell’azienda.

Il Regolamento UE 679/2016 è composto di 99 articoli suddivisi in 11 Capi.

• Capo I – Disposizioni generali
• Capo II – Principi
• Capo III – Diritti dell’interessato
• Capo IV – Titolare del trattamento e responsabile del trattamento
• Capo V – Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali
• Capo VI – Autorità̀ di controllo indipendenti
• Capo VII – Cooperazione e coerenza
• Capo VIII – Mezzi di ricorso, responsabilità̀ e sanzioni
• Capo IX – Disposizioni relative a specifiche situazioni di trattamento
• Capo X – Atti delegati e atti di esecuzione
• Capo XI – Disposizioni finali

Il Regolamento 679/16 si apre con alcune disposizioni generali, suddivise in 2 CAPI:

“Disposizioni” generali che comprendono gli articoli da 1 a 4 e sono dedicate a individuare:

• oggetto e finalità del Regolamento;
• ambito di applicazione per materia;
• ambito di applicazione per territorio;
• definizioni.

E “Principi” che comprendono gli articoli da 5 a 11 e disciplinano:

• principi generali;
• liceità;
• consenso;
• consenso dei minori;
• particolari categorie di dati;
• trattamenti relativi a condanne penali e reati.

Il titolare/beneficiario del diritto alla protezione dei dati è la persona fisica.

Il regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, compresi il nome e la forma della persona giuridica e i suoi dati di contatto

(considerando n. 14);

Il regolamento non si applica ai trattamenti di dati personali solo quando si è in presenza di trattamento per finalità esclusivamente personali o domestiche (art,2, co. 2, lett. c ); considerando n. 18 e 27)

La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla tutela non armonizzata delle persone fisiche con riguardo al trattamento dei dati personali.

Il trattamento può essere interamente, parzialmente o non automatizzato.

Per il trattamento dei dati effettuato da istituzioni, organi, uffici e agenzie dell’Unione, si applica il Regolamento 45/2001.

La protezione dei diritti della persona è obiettivo da garantire soprattutto quando il dato personale passa “di mano in mano”.

Gli stessi “considerando” del Regolamento ritengono opportuno che le persone fisiche debbano avere il controllo dei dati personali.

La circolazione delle informazioni è elemento necessario dello sviluppo e del progresso economico.

Il Regolamento riprende, grazie all’intervento del Garante italiano, alcune definizioni (art. 4) già presenti nel D.lgs. 196/03, come quella di «titolare», «responsabile» e «interessato», ma introduce anche nuovi termini che vanno a sostituire o integrare il vocabolario normativo in materia.

Alcuni esempi:

• Incaricato (termine eliminato)
• Rappresentante
• Terzo
• Dati genetici, biometrici e relativi alla salute
• etc…

Secondo i “Principi generali” (art. 5, 6, 7) il trattamento del dato deve essere lecito, corretto e trasparente e le finalità devono essere determinate, esplicite, legittime. Il dato deve essere adeguato, pertinente, limitato esatto, aggiornato e conservato per il tempo necessario per il quale è stato raccolto.

Le condizioni di liceità del consenso prevedono la presenza del consenso e l’obbligo di trattamento (insieme di operazioni riguardanti i dati personali come ad esempio la raccolta, modifica, uso, cancellazione e distruzione)

I dati vengono trattati per adempiere ad un obbligo legale, per la salvaguardia degli interessi vitali dell’interessato o di altra persona fisica, per l’esecuzione di un compito di interesse pubblico o connesso a pubblici poteri di cui è investito il titolare del trattamento, per il perseguimento del legittimo interesse de titolare del trattamento e di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore. Assolvere obblighi ed esercitare diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza e protezione sociale. Il trattamento si basa sul diritto dell’Unione o dello stato membro cui è soggetto il Titolare.

Secondo il Regolamento UE 679/16 alcune categorie di dati sono soggetti a regole stringenti?

Si per esempio i trattamenti particolari e relativi a condanne penali (art. 9, 10).  In particolare, per i dati personali relativi a condanne penali e reati o connesse misure di sicurezza, può avvenire soltanto sotto il controllo dell’autorità pubblica o dietro autorizzazione del diritto dell’Unione o degli Stati Membri.

Alcune categorie particolari di dati (sesso, origine razziale/etnica, convinzioni religiose e appartenenza politica, etc.) sono soggette a regole stringenti, in mancanza delle quali è vietato ogni trattamento:

• Consenso esplicito;
• Tutela di un interesse vitale;
• I dati trattati sono resi pubblici dall’interessato;
• Motivi di interesse pubblico;
• Etc.

Con il termine by Design si intende protezione dei dati fin dalla progettazione. L’obiettivo è ridurre al minimo il trattamento dei dati personali, mediante misure tecniche e organizzative (es. pseudonimizzazione dei dati personali), in fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali.

Il Contitolare del Trattamento è una persona fisica o giuridica, che affianca il Titolare e a cui competono diverse responsabilità decise tramite accordo interno (art.26)

L’accordo tra le parti, redatto in forma libera, deve riflettere in modo puntuale i ruoli reciproci (art.26.2), il riparto degli obblighi previsti dal Regolamento (art. 26.1), il rapporto reciproco nel confronto degli interessati (art. 26.2), come ad esempio in materia di riscontro e di fornitura dell’informativa (art. 26.1) e sebbene non direttamente accessibile nella sua totalità deve essere conosciuto dall’interessato il contenuto essenziale ma risulta inopponibile all’interessato che può rivolgersi a chi vuole.ù

Il Contitolare del Trattamento è una persona fisica o giuridica, che affianca il Titolare e a cui competono diverse responsabilità decise tramite accordo interno (art.26)

L’accordo tra le parti, redatto in forma libera, deve riflettere in modo puntuale i ruoli reciproci (art.26.2), il riparto degli obblighi previsti dal Regolamento (art. 26.1), il rapporto reciproco nel confronto degli interessati (art. 26.2), come ad esempio in materia di riscontro e di fornitura dell’informativa (art. 26.1) e sebbene non direttamente accessibile nella sua totalità deve essere conosciuto dall’interessato il contenuto essenziale ma risulta inopponibile all’interessato che può rivolgersi a chi vuole.

Il Responsabile del Trattamento – Data Processor è una funzione di sostegno operativo per il Titolare.

E’ fondamentale  che sia una figura seria e  affidabile e che presenti  tutte le garanzie per mettere in atto misure tecniche e organizzative adeguate in modo che il trattamento soddisfi il GDPR.

Tratta i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale.

• Garantisce che le persone autorizzate al trattamento dei dati personali (INCARICATI ex 196/2003) si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza (LETTERA DI INCARICO ex 196/2003);
• Tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;
• Adotta tutte le misure richieste ai sensi dell’articolo 32 e assiste il titolare nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
• su scelta del titolare del trattamento, cancella o gli restituisce tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancella le copie esistenti
• mette a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato. (AUDIT PRIVACY PERIODICI)

Non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche. Se il secondo Responsabile omette di adempiere agli obblighi in materia di protezione dei dati, è comunque il primo Responsabile che ne risponde al Titolare. Se un Responsabile determina le finalità ed i mezzi del trattamento, è considerato titolare del trattamento in questione.

A differenza che nel Codice Privacy, il nuovo Regolamento UE non utilizza espressamente il termine «incaricato», ma fa confluire in «terzo» chiunque sia sotto l’autorità diretta del Titolare o del Responsabile. (art. 10, n. 10).

Il Regolamento europeo dà un ampio spazio ai diritti dell’interessato rispetto al passato, ed un intero capo del regolamento europeo è dedicato a tale argomento.

Diritti di natura conoscitiva: Diritto all’informativa Diritto di accesso Diritto alla comunicazione di una violazione dei dati Diritti di controllo: Consenso al trattamento Diritto di limitazione del trattamento Revoca del consenso al trattamento Diritto di opposizione al trattamento Diritto alla portabilità dei dati Diritto di rettifica ed integrazione Diritto alla cancellazione e all’oblio Decisioni basate unicamente su trattamento automatizzato

In particolare ha assunto rilievo il cosiddetto DIRITTO ALL’OBLIO (art. 17)

• diritto di veder cancellati i propri dati personali presso il titolare che li tratta
• diritto di veder cancellati i rinvii a questi dati, che potrebbero apparire sui motori di ricerca più diffusi

Il diritto ad «essere dimenticati» deve concordarsi con il diritto di informazione e di libera espressione (si pensi ad un fatto di cronaca in cui è coinvolto l’interessato), e in generale con l’interesse pubblico e con eventuali obblighi legali.

Pertanto l’interessato non sempre potrà richiedere la cancellazione immediata dei dati che lo riguardano (riportati ad esempio da un sito web) fintanto che tali dati avranno una rilevanza pubblica, stante ovviamente la correttezza degli stessi.

L’interessato ha diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano se sussiste uno dei seguenti motivi:

• I dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti
• L’interessato revoca il consenso
• L’interessato si oppone al trattamento
• I dati personali sono stati trattati illecitamente
• I dati personali devono essere cancellati per adempiere ad un obbligo legale

Il diritto alla cancellazione non si applica se il trattamento è necessario:

• all’esercizio del diritto alla libertà di espressione e di informazione
• Per l’adempimento all’obbligo legale che richieda il trattamento previsto dal diritto dell’unione o dello stato membro cui è soggetto il titolare del trattamento, o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri
• Per motivi di interesse pubblico nel settore della sanità pubblica
• Ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici
• Per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria

L’interessato ha il diritto di ottenere la limitazione del trattamento quando ricorre una delle seguenti ipotesi:

• Contesta l’esattezza dei dati personali.
• Il trattamento è illecito e l’interessato si oppone alla cancellazione e chiede, invece, che ne sia limitato l’utilizzo.
• Benchè il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato in sede giudiziaria.
• l’interessato si è opposto al trattamento, in attesa della verifica in merito alla eventuale verifica della prevalenza dei motivi legittimi del titolare del trattamento.

Se il trattamento è limitato, tali dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell’interessato o per l’accertamento di un diritto in sede giudiziale, o per motivi di interesse pubblico.

L’obiettivo del Regolamento 679/2016 è quello di rafforzare il controllo sui propri dati personali quando questi sono trattati con mezzi automatizzati:

• ricevendo tutti i dati personali che lo riguardano in un formato strutturato, di uso comune e leggibile da dispositivo automatico e interoperabile.
• trasmettendoli, se necessario, ad un altro fornitore di servizi o titolare del trattamento.
• facendoli trasmettere direttamente da un titolare all’altro, se tecnicamente possibile.

Il diritto dell’Unione Europea o dei singoli Stati membri può imporre limitazioni al diritto alla portabilità dei dati, se conformi alla Carta e alla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali.

Si applica solo dietro consenso o se la stessa è necessaria per l’esecuzione di un contratto

NON si applica nei confronti dei titolari che trattano dati nell’esercizio delle loro funzioni pubbliche (es. obbligo legale)

NON deve obbligare il titolare ad adottare o mantenere sistemi di trattamento compatibili

L’informativa deve contenere la possibilità per l’interessato di richiedere la portabilità dei suoi dati.

I cookie sono delle stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale o browser, dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Questi possono essere di prima e terza parte.

L’editore del sito è chiamato a dare informativa sui cookie da lui installati.

Nell’ambito dei siti internet non basta inserire la privacy policy in un’unica pagina web indicante ogni informazione sui dati trattati ma andranno create tante informative quanti sono i tipi di cookie utilizzati.

In presenza di un sito internet contenente cookie analitici di terze parti dove sono adottati strumenti che riducono il potere identificativo dei cookie e la terza parte non incrocia le informazioni raccolte con altre di cui già si dispone è sufficiente la sola informativa dei cookie, nel caso in cui non vengano adottati strumenti che riducono il potere identificativo dei cookies o la terza parte incrocia le informazioni raccolte con altre di cui già si dispone, sarà necessario predisporre l’informativa, inserire un banner con informativa breve e notificare al Garante Privacy l’uso di questi cookie.

In presenza di “profilazione” con cookie analitici di terza parte è necessaria l’informativa e il banner.

La tenuta di un registro del consenso degli utenti per l’accettazione  dei cookie nel proprio dispositivo è obbligatorio nel momento in cui è presente l’obbligo di inserimento del banner ed è necessario tenerlo in modo tale che, in caso di richiesta da parte di un visitatore, ci sia la possibilità di prenderne visione e che sia possibile cancellare i dati del visitatore.

Nel caso in cui nel sito siano presenti solo cookie tecnici, analitici di prima parte e di terza parte (nel momento in cui vengono anonimizzati i dati e non c’è un incrocio degli stessi da parte della terza parte) non sussiste l’obbligo di tenuta del registro del consenso.

La notifica al Garante Privacy va inviata nel caso in cui: • vengono utilizzati cookie analitici di terze parti e non sono stati adottati strumenti che riducono il potere identificativo dei cookie e la terza parte non incrocia le informazioni raccolte con altre di cui dispone • sono presenti cookie di profilazione di prima parte.

Anche il Regolamento 679 si occupa di videosorveglianza stabilendo che il titolare del trattamento è tenuto a procedere con un preventivo data protection impact assesement (DPIA) ex art. 35 Regolamento UE 2016/679 nelle ipotesi di sorveglianza sistematica su larga scala di zona accessibile al pubblico.

Chi fa uso della videosorveglianza, deve effettuare, nel rispetto del principio di proporzionalità, la scelta e le modalità della ripresa e la dislocazione delle telecamere affinché le stesse registrino i dati pertinenti e non eccedenti allo scopo della ripresa stessa.

Ad esempio l’angolo di visuale della ripresa deve essere limitato ai soli spazi di esclusiva pertinenza, escludendo ogni registrazione audio-video di aree comuni, o ancora i soggetti interessati dalle riprese devono essere informati con apposita cartellonistica (visibile anche in orario notturno) e avvisati che stanno accedendo ad una zona video sorvegliata.

La “videosorveglianza“ che le persone fisiche fanno per scopi esclusivamente personali (videocitofono, sistema di ripresa di sicurezza ecc) se non viene condivisa/diffusa sistematicamente con terzi e non vengono rese pubbliche le riprese, non si applica la normativa Privacy.

E’ opportuno ricordare che con il Jobs Act e il D.lgs. 151/2015 si elimina il divieto di utilizzo di strumenti audiovisivi e di controllo a distanza applicati agli strumenti utilizzati dal lavoratore per eseguire le sue mansioni, e agli strumenti di registrazione degli accessi e delle presenze. Non serve nessun previo accordo con i sindacati. Viene inoltre codificato il controllo difensivo, prima solamente contemplato dalla Giurisprudenza. I dati raccolti dunque possono essere utilizzati per ogni finalità connessa al rapporto di lavoro (anche disciplinare), l’importante è che il Datore di Lavoro abbia dato al lavoratore una precisa informativa privacy con l’obbligo di osservanza.

In un’intervista ufficiale di Antonello Soro, pubblicata sul sito ufficiale del Garante Privacy il 20 Aprile 2018, è stato evidenziato come il General Data Protection Regulation, ormai in vigore, preveda una semplificazione degli obblighi del titolari in ragione delle caratteristiche del trattamento effettuato. Inoltre, in tale sede, è stato confermato che il decreto legislativo di recepimento dell’ordinamento interno del Gdpr, nella versione approvata dal Consiglio dei ministri, preveda un’ulteriore semplificazione per le micro, piccole e medie imprese, rimandando al Garante la previsione di ulteriori semplificazioni. Il decreto di recepimento sarà pubblicato sulla Gazzetta Ufficiale nei prossimi mesi.

La capacità di protezione dati è sinonimo di buona impresa, di competitività e buona reputazione. Un’azienda che non è in grado di proteggere il proprio patrimonio informativo tendenzialmente tenderà a essere emarginata dal mercato perché da una parte sarà considerata vulnerabile ad attacchi informatici e furti di identità, dall’altra avendo indebolito le garanzie offerte su questo terreno ai clienti, risulterà meno competitiva.

Il documento che può essere preso come riferimento per interpretare il GDPR in merito alla questione è la linea guida “il GDPR e l’avvocato” (cliccare qui per visionare il documento), emesso dal CNF (Consiglio Nazionale Forense), in cui vengono distinti i casi in cui l’avvocato è da considerarsi “titolare” o “responsabile” del trattamento dei dati.

Nel paragrafo titolato “Quando l’avvocato è titolare?” si evidenzia (pag.14) che “L’avvocato sarà titolare del trattamento di tutte le informazioni che vengono allo stesso fornite dagli assistiti in virtù o in correlazione del mandato ricevuto.”.

Nel paragrafo titolato “Quando l’avvocato è responsabile del trattamento?” si evidenzia (pag. 22) che “L’avvocato può anche essere responsabile del trattamento dei dati personali nel momento in cui – ad esempio – gli venga richiesta una consulenza da un soggetto che è titolare del trattamento.”

Come si evince, possono quindi sussistere entrambi i casi, per cui è giusto considerare l’avvocato come un possibile “responsabile del trattamento”.

Nel decreto sono state indicate le seguenti disposizioni per l’adeguamento al regolamento (UE) 2016/679:

• Capo I (art. 1) – Modifiche al titolo e alle premesse del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196;
• Capo II (art. 2) – Modifiche alla parte I del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196
• Capo III (artt. 3-12) – Modifiche alla parte II del codice in materia di protezione dei dati personali di cui decreto legislativo 30 giugno 2003, n. 196
• Capo IV (artt. 13-16) – Modifiche alla parte III e agli allegati del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196
• Capo V (art. 17) – Disposizioni processuali
• Capo VI (artt. 18-27) – Disposizioni transitorie, finali e finanziarie

Il testo del Decreto pubblicato in Gazzetta ufficiale è entrato ufficialmente in vigore a partire dal 19 settembre 2018.