1. La nuova disciplina
Dal 25 maggio 2018 troveranno applicazione le disposizioni del Regolamento (EU) n. 679/2016 (GDPR – General Data Protection Regulation) relativo alla protezione delle persone fisiche con riguardo al trattamento dei Dati personali.
Il Regolamento non necessita di un atto legislativo interno per la sua diretta applicazione. Il GDPR è pertanto direttamente applicabile in Italia e, a decorrere dal 25 maggio 2018, sarà invocabile dinanzi all’Autorità garante per la protezione dei dati personali (il “Garante”).
Il legislatore italiano, ancorché il GDPR sia direttamente applicabile dal prossimo maggio 2018, ha comunque previsto un intervento di armonizzazione al fine di abrogare o modificare le norme interne con esso incompatibili contenute nel Codice della Privacy (D.Lgs. 196/2003).
Società straniere: il GDPR si applica al Trattamento dei Dati personali di Interessati che si trovano nell’Unione, effettuato da un Titolare del trattamento o da un Responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano l’offerta di beni o la prestazione di servizi nell’Unione oppure il monitoraggio del comportamento degli Interessati nell’Unione (art. 3.2). Anche per tali società sussiste l’obbligo di nominare un rappresentante che agisca per conto del Titolare o del Responsabile del Trattamento (art. 27).
2. Le parole della privacy
Regolamento o GDPR – La disciplina europea sulla protezione delle persone fisiche con riguardo al Trattamento e alla libera circolazione dei Dati personali. Il GDPR risponde all’esigenza di maggiore certezza giuridica, armonizzazione e semplicità nel Trattamento di Dati personali.
Dato personale – Qualsiasi informazione riguardante una persona fisica identificata o identificabile, direttamente o indirettamente, attraverso alcune informazioni anche mediante un numero di identificazione e altri dati relativi a: ubicazione, caratteristiche fisiche, fisiologiche, genetiche, psichiche, economiche, culturali o sociali.
Consenso – manifestazione di volontà libera, specifica e informata dell’Interessato con la quale quest’ultimo accetta espressamente che i suoi Dati personali siano fatti oggetto di Trattamento.
Interessato – Persona fisica cui si riferisce il Dato personale.
Trattamento – Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a Dati personali o insiemi di Dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione del Dato personale.
Titolare del trattamento – La persona fisica o giuridica, pubblica amministrazione o altro ente od associazione cui competono, anche unitamente ad altro Titolare, le decisioni relative alle finalità, modalità e mezzi del Trattamento dei Dati personali, compresa la sicurezza.
Responsabile del trattamento (Data Protection Officer – DPO) – La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta Dati personali per conto del Titolare del trattamento. Potrebbe essere un professionista appartenente all’organico della società o dell’ente, quale esperto di privacy al fine di garantire la corretta applicazione del GDPR.
Rappresentante – La persona fisica o giuridica stabilita nell’Unione che, designata dal Titolare del trattamento o dal Responsabile del trattamento, li rappresenta per quanto riguarda gli obblighi previsti dal GDPR.
Autorità di controllo – L’autorità pubblica indipendente istituita da uno Stato membro, incaricata di sorvegliare l’applicazione del GDPR ed irrogare le sanzioni amministrative, anche quelle di natura pecuniaria.
3. Domande frequenti e risposte – Q&A
- Quali sono le principali novità introdotte dal GDPR?
- La valutazione d’impatto sulla protezione dei dati e la registrazione delle attività: il Titolare del trattamento è tenuto ad effettuare una valutazione di impatto del Trattamento dei Dati personali e a tenere un registro dei Trattamenti sempre disponibile su richiesta. Il Titolare del trattamento deve predisporre adeguate misure tecnico-organizzative per garantire la conformità al GDPR del Trattamento.
- Quali sono i diritti dell’Interessato (art. 17 e 20)?
- Diritto alla portabilità dei dati, in formato standard, al fine di consentirne un’eventuale trasferimento su altre piattaforme. Diritto all’oblio, ossia alla cancellazione dei Dati personali. Diritto di accesso ai propri dati, compreso il periodo di loro archiviazione e di eventuale loro destinazione terzi.
- Quando un Trattamento del Dato personale è lecito?
- Il Trattamento è lecito quando ricorre almeno una delle condizioni indicate all’art. 6 GDPR:
- a) l’Interessato ha espresso il consenso al Trattamento dei propri Dati personali; b) il Trattamento è necessario all’esecuzione di un contratto; c) il Trattamento è necessario per adempiere un obbligo legale al quale è soggetto il Titolare del trattamento; d) il Trattamento è necessario per la salvaguardia degli interessi dell’Interessato; e) il Trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri in capo al Titolare del trattamento; f) il Trattamento è necessario per il perseguimento del legittimo interesse del Titolare del trattamento.
- Quali sono gli obblighi del Titolare del trattamento (art. 12)?
- Il Titolare del trattamento è tenuto ad adempiere a precisi obblighi quali, ad esempio, fornire all’Interessato la information policy in forma concisa, trasparente, facilmente accessibile, con un linguaggio chiaro e semplice.
- Quando deve essere coinvolto il Responsabile del trattamento (DPO)?
- Il Responsabile del trattamento (DPO) deve essere prontamente coinvolto in ogni questione che interferisca con la protezione dei dati personali; è indipendente e deve ricevere supporto adeguato in termini di risorse e accessibilità. Un gruppo societario può nominare anche un solo Responsabile del trattamento (DPO) purché facilmente raggiungibile.
- Cosa significa protezione dei Dati personali sin dalla progettazione (by design) e per impostazione predefinita (by default)?
- Protezione dei Dati personali fin dalla progettazione «By Design»: il Titolare del trattamento ha l’obbligo di predisporre una struttura organizzativa, le misure tecniche e le procedure appropriate in maniera tale da conformarsi ai requisiti sulla protezione dei Dati personali.
Protezione dei Dati personali per impostazione predefinita «By Default»: Utilizzo dei soli Dati personali necessari ad uno scopo specifico e archiviati per il tempo necessario alla soddisfazione dello scopo.
- Il Titolare del trattamento e il Responsabile del trattamento (DPO) devono adottare specifiche misure di sicurezza dei Dati personali?
- Il GDPR non richiede l’adozione di specifiche misure di sicurezza ma impone ai Titolari del trattamento ed ai Responsabili del trattamento (DPO) un obbligo generale di adozione di misure tecnico-organizzative adeguate al rischio associato.
- Cosa accade se si verifica una violazione dei Dati personali (art. 33 e 34)?
- I Titolari del trattamento sono obbligati a notificare la violazione all’Autorità e sono tenuti a documentarla. Devono essere adottate adeguate misure di data breach.
- Le Autorità di controllo possono applicare sanzioni per la violazione degli obblighi previsti dal GDPR (art. 83 e 84)?
- Il GDPR contiene un complesso sistema di sanzioni anche pecuniarie commisurate al fatturato globale annuo delle imprese. Le sanzioni sono applicate dalle Autorità di controllo (il Garante). Il GDPR consente la possibilità per ciascuno Stato membro di impartire sanzioni ulteriori rispetto a quelle in esso previste.
4. Alcune curiosità e consigli pratici
A seguito della Brexit, già nel giugno 2017 il Governo britannico si è espresso per recepire nell’ordinamento interno il GDPR. Questo comporta che, una volta ultimato il processo di abbandono dell’Unione, dovranno essere poste in essere misure di recepimento del GDPR.
Diritto all’oblio: Il GDPR ha inteso rafforzare la tutela dell’Interessato con particolare riguardo al diritto di chiedere la cancellazione dei propri Dati quando la loro conservazione non è più legittima, né necessaria né giustificata (art. 17).
Consigli pratici:
- Informare gli Interessati su cosa consiste il Trattamento prima di avere il loro Consenso.
- Conformarsi ai principi di privacy stabiliti dall’art. 5, par. 1 del GDPR e quindi aggiornare gli esistenti programmi di compliance privacy, se inadeguati al GDPR.
- Aggiornare le privacy policy interne e i piani di risposta alla violazione dei Dati personali. Pianificare il linguaggio da usare nelle informative, che dovranno essere chiare e concise.
- Valutare di mettere a disposizione dell’Interessato un link alla propria privacy policy.
- I Titolari del trattamento devono assicurare che il Trattamento dei Dati personali e la loro conservazione siano limitati a quanto strettamente necessario.
- Il Rappresentante potrebbe rispondere (anche ai fini sanzionatori) delle questioni inerenti al Trattamento dei Dati personali effettuato dal Titolare o dal Responsabile. Pertanto, il Titolare od il Responsabile del trattamento potrebbero essere chiamati ad indennizzare il Rappresentante.
Per maggiori informazioni scrivere a: anna.masutti@lslex.com