GDPR – PRIVACY
(a cura del Dott. Marco Martinoia)
Premessa
Il prossimo 25 maggio viene sancita l’obbligatorietà del Regolamento comunitario (UE) 2016/679 che regolamenta la protezione delle persone fisiche con riguardo al trattamento dei dati personali (qualsiasi informazione riguardante una persona fisica identificata o identificabile), nonché alla libera circolazione degli stessi, denominato GDPR (General Data Protection Regulation).
Nonostante la diretta applicabilità e vincolatività del Regolamento del 27 aprile 2016, ai Paesi UE, sono stati concessi due anni di tempo per l’eventuale opera di adattamento degli ordinamenti interni.[1]
In Italia, il Parlamento, con la legge 25 ottobre 2017, n. 163, ha delegato il Governo ad armonizzare il Codice per la protezione dei dati personali con il GDPR, lasciando 6 mesi di tempo per effettuare tali modifiche.
In altri termini, con il GDPR l’Unione europea ha voluto fornire una cornice giuridica alla disciplina della privacy per tutti i Paesi membri[2]: risposta resasi inevitabile dall’enorme sviluppo dell’economia digitale in questa nuova era tecnologica.
1. Le novità.
In primo luogo, risulta di fondamentale importanza evidenziare che, come espresso dalla Commissione europea al Parlamento ed al Consiglio (Bruxelles, 24.01.2018): “Il regolamento non ha modificato in modo sostanziale i concetti e i principi fondamentali della legislazione in materia di protezione dei dati introdotta nel 1995. La grande maggioranza dei titolari del trattamento e dei responsabili del trattamento che rispettano già le attuali disposizioni dell’UE non dovrà quindi introdurre importanti modifiche nelle proprie operazioni di trattamento dei dati per conformarsi al regolamento”.[3]
Il Regolamento pone l’accento sulla responsabilizzazione dei c.d. “titolari del trattamento”, ossia privati, aziende e pubbliche amministrazioni che gestiscono “massivamente” dati personali (es. informazioni sui propri dipendenti e clienti)[4] e che, pertanto, devono dimostrare la conformità del trattamento (es. rilevazione presenze, videosorveglianza, cookie per i siti web) alla nuova disciplina.
In primo luogo, il GDPR ha regolamentato due importanti principi generali di accountability:
- Privacy by default = ogni soggetto/azienda (titolare del trattamento) deve necessariamente dotarsi (di default, ossia, prima di procedere al trattamento vero e proprio) di misure tecniche ed organizzative idonee a proteggere i dati personali ed evitare il rischio di una loro violazione;
- Privacy by design = ogni soggetto/azienda (titolare del trattamento) deve realizzare una valutazione preventiva d’impatto e di gestione del rischio privacy legato al trattamento dei dati personali con cui viene in contatto[5] (a mero titolo esemplificativo: descrizione del trattamento, valutazione della necessità e proporzionalità del trattamento, analisi dei rischi specifici per i diritti e le libertà, stima delle conseguenze, misure previste per affrontare i rischi, documentazione monitoraggio regolare e sistematico).
È, inoltre, importante ricordare che il rischio non si riferisce al titolare ma al soggetto interessato (utente).[6]
Il GDPR, con i suoi 99 articoli, oltre a prevedere nuovi adempimenti per i titolari del trattamento, rafforza la tutela della riservatezza degli interessati (soggetti cui si riferiscono i dati trattati):
- introducendo regole più chiare sull’informativa, sul consenso informato e sull’esercizio dei diritti degli interessati (es. diritto di essere informati sulle violazioni dei propri dati personali – data breaches notification);
- garantendo che il consenso del soggetto interessato al trattamento dei dati personali sia sempre preventivo ed inequivocabile (anche se espresso con mezzi elettronici) ed assicurando agli interessati la possibilità di revocare in ogni momento il consenso a determinati trattamenti;[7]
- definendo nello specifico i limiti al trattamento automatizzato dei dati ed al loro trasferimento al di fuori dell’Ue;
- novellando la disciplina su tematiche di estrema importanza per l’interessato come il diritto d’accesso facilitato (gratuito), la portabilità dei dati personali (per trasferirli da un titolare del trattamento ad un altro), il diritto di opposizione, di rettifica, di cancellazione ed il diritto all’oblio (art. 17).[8]
2. I principali obblighi per i titolari del trattamento
Oltre al rispetto dei su richiamati principi generali (privacy by default e privacy by design), i più significativi obblighi introdotti per i titolari del trattamento sono:
La richiesta di consenso in forma chiara (articolo 7).
Rispetto alle lunghissime informative ancora utilizzate tutt’oggi, le informazioni dirette all’interessato circa le modalità di trattamento dei suoi dati devono essere fornite dal titolare “in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro”.[9]
Il requisito essenziale della forma scritta lascia spazio ad anche altre forme di manifestazioni della volontà maggiormente compatibili con il progresso tecnologico.[10]
L’istituzione di un registro delle attività (articolo 30).
Tra le novità previste per i titolari, emerge l’obbligo di tenuta del registro delle attività di trattamento in cui devono essere specificate:
- I riferimenti del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati (DPO);
- le finalità dell’elaborazione dei dati;
- i destinatari degli stessi (compresi Paesi terzi od organizzazioni internazionali);
- la scadenza per la loro cancellazione (termine ultimo per il trattamento).[11]
I registri devono essere tenuti in forma scritta o in formato elettronico e, se richiesti, devono essere messi a disposizione dell’Autorità di controllo.
Il paragrafo 5 dell’art. 30 prevede che gli obblighi in esame non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati o i dati personali relativi a condanne penali e a reati. [12]
È stato recentemente istituito il “Gruppo Art. 29”, organismo consultivo e indipendente, composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno Stato membro, dal GEPD (Garante europeo della protezione dei dati), nonché da un rappresentante della Commissione al fine di dirimere i contrasti in ordine all’interpretazione dell’art. 30.
Il Gruppo sostiene che la tenuta di tale registro non comporti oneri particolarmente gravosi a carico delle piccole/medie imprese ma diventa estremamente utile per il titolare/responsabile nelle analisi delle attività di trattamento dei dati (privacy by design) essenziali per dimostrare la concreta osservanza agli altri adempimenti previsti dal GDPR.[13]
La notifica delle violazioni entro 72 ore (articolo 33)
In caso di data breach (letteralmente violazione dei dati) il Regolamento in commento introduce l’obbligo per il titolare di comunicazione al Garante ed agli interessati “entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche»[14] offrendo indicazioni su come intende limitare i danni.
In ogni caso, tutti i Titolari di trattamento devono documentare le violazioni di dati personali subite, anche se non notificate all’autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze ed i provvedimenti adottati (essendo tenuti a fornire tale documentazione se richiesto dal Garante).
La nomina di un DPO (Data Protection Officer – artt. 37 -39).
Il GDPR prevede, inoltre, la creazione della figura del responsabile della protezione dei dati (già in uso in alcuni Paesi) che può considerarsi uno strumento di Accontability come le valutazioni di impatto (privacy by design).
Il DPO deve essere in possesso di specifici requisiti come competenza (della normativa e delle prassi in materia di dati personali nonché delle norme e delle procedure amministrative che caratterizzano il settore), autonomia di risorse, assenza di conflitti di interesse ed in piena indipendenza.
Avendo riguardo alla specifica struttura organizzativa, alla dimensione e alle attività del singolo titolare o responsabile del trattamento, il DPO si occuperà di:
- informare e fornire consulenza al titolare o al responsabile del trattamento necessaria per progettare, organizzare e mantenere efficiente il sistema di gestione dei dati personali;
- sorvegliare l’attuazione e l’applicazione del Regolamento ed in generale della normativa vigente in materia di privacy;
- sensibilizzare e formare il personale;
- fornire, se richiesto, pareri circa l’impatto della protezione dei dati e sorvegliarne lo svolgimento;
- fungere da contatto diretto per qualsiasi problema degli interessati rispetto all’esercizio dei loro diritti e verso l’Autorità (e proprio per questo, il suo nominativo va comunicato al Garante).[15]
Non è necessario che il soggetto sia in possesso di specifiche attestazioni formali o iscritto in appositi albi. Con questa designazione il titolare/responsabile del trattamento non è liberato dalle sue responsabilità in materia di protezione dei dati.
Il ruolo di DPO può essere ricoperto anche da un soggetto esterno (anche una persona giuridica) alla struttura interessata, che opererà in base a un contratto di servizi nel quale verranno indicati i compiti attribuiti e le risorse assegnate allo stesso. [16]
Il Garante per la protezione dei dati personali ha, da poco, specificato quali sono i soggetti privati (aziende e professionisti) obbligati alla nomina di un DPO.[17]
L’organismo consultivo “Gruppo Art. 29”, su richiamato, sostiene che, col tempo, verranno via via individuati alcuni standard utili a specificare chi rientra o meno nelle categorie relative al trattamento di dati per “larga scala” e ritiene che, nel frattempo, l’atteggiamento più prudente sia quello di nominare un DPO nei casi “dubbi”.[18]
3. Sanzioni
All’indipendente Autorità di controllo (Garante per la protezione dei dati personali) sono conferiti ampi poteri di indagine, correttivi, autorizzativi e consultivi (art. 58) oltre al potere di infliggere sanzioni amministrative pecuniarie (art. 83) che verranno prossimamente disciplinate nel dettaglio dal Legislatore.
In caso di violazione della disciplina sul trattamento dei dati personali, infatti, il Regolamento prevede delle gravi sanzioni:
– fino a un massimo di 10 milioni di euro o, per le imprese, il 2% del fatturato (se superiore) – per l’inosservanza di principi come la privacy by design o la carenza di misure adatte a garantire un buon standard di sicurezza.
- fino a un massimo di 20 milioni o il 4% del fatturato – per la trasgressione dei principi fondamentali, come la negazione del diritto all’oblio (richiesta di cancellazione dei propri dati) o l’opacità nella richiesta di consenso dei dati.[19]
È probabile, anche se non ancora ufficiale, che il Garante per la protezione dei dati personali dovrebbe consentire un periodo di “tolleranza” di sei mesi alle aziende che, comunque, dimostrino di aver avviato un piano di gestione del rischio privacy in osservanza del GDPR.
Fermo restando che chiunque (persona fisica) subisca un danno causato da una violazione del Regolamento in esame ha il diritto di ottenere il risarcimento del danno dal Titolare del trattamento.
Conclusioni
Le imprese e le PA devono considerare l’attuazione del GDPR non come un costo ma come un investimento fondamentale per sviluppare il proprio futuro nell’attuale mercato globalizzato e digitalizzato.
Proteggere i dati, infatti, non significa solo tutelare i propri utenti ma, soprattutto, assicurare la qualità del trattamento in un’ottica di continua crescita informatico-digitale della propria struttura aziendale e/o amministrativa.
___________________
[1] Così, N. Menegolli, Obliterazione digitale. Il diritto di essere dimenticati tra UE e USA, Tesi di Laurea.
[2] Cfr. F. Piraino, Il regolamento generale sulla protezione dei dati personali e i diritti dell’interessato in Le nuove leggi civili commentate 2/2017.
[3] Si veda, A. Lisi, Slide al Webinar, GDPR Countdown: le 10 cose indispensabili da sapere per provare ad adeguarsi, Euroconference.
[4] In tal senso, A. Magnani, Privacy, che cos’è il Gdpr e perché ci riguarda, Ilsole24ore, 02.05.2018.
[5] Sul punto, C. Samperisi, Responsabile protezione dati: chi è e chi deve nominarlo?, in Business.laleggepertutti.it.
[6] Così A. Lisi, ivi.
[7] Sul punto, C. Samperisi, ivi.
[8] Cfr., Privacy: il Nuovo Regolamento Europeo sulla Protezione dei Dati Personali, StudioCerbone.com.
[9] Si veda, A. Magnani, ivi.
[10] Così, A. Nenzioni, Consenso al trattamento dati nel passaggio al GDPR: gli adempimenti prima del 25 maggio 2018, in Quotidiano giuridico del 14.02.2018.
[11] In tal senso, A. Magnani, ivi.
[12] Cfr., Privacy, come tenere il registro delle attività secondo il Gdpr, in LeggiOggi.it, 26.04.2018.
[13] Così, Privacy: il Nuovo Regolamento Europeo sulla Protezione dei Dati Personali, StudioCerbone.com.
[14] Sul punto, A. Magnani, ivi.
[15] In tal senso, N. Menegolli, ivi.
[16] Si veda, Garante per la protezione dei dati personali, Nuove FAQ sul responsabile della protezione dei dati in ambito privato.
[17] Sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento che rientrino nei casi previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679. Si tratta di soggetti le cui principali attività (in primis, le attività c.d. di “core business”) consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati. Il diritto dell’Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati (art. 37, par. 4).
Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.
Nei casi diversi da quelli previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679, la designazione del responsabile del trattamento non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti).
In ogni caso, resta comunque raccomandata, anche alla luce del principio di “accountability” che permea il Regolamento, la designazione di tale figura, i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati. – Cfr. Garante per la protezione dei dati personali, ivi.
[18] Così, D. Lesce e V. De Lucia, Quando è obbligatoria la nomina di un data protection officer? I chiarimenti dell’”article 29 worgink party” sul regolamento europeo, in Diritto24, Ilsole24ore.it.
[19] Così, A. Magnani, ivi