REGOLAMENTO UE 679 / 2016

PRIVACY

 

Premessa

Dal 25/05/2018 è entrato in vigore il regolamento UE in materia di privacy riguardante la tutela delle persone fisiche con riguardo al trattamento dei dati personali e  la  libera  circolazione  di  tali  dati.  Da  tale  data  il  vecchio  D.lgs.  196  del 30/06/2003 non sarà più applicabile, lasciando spazio alla nuova normativa.

Come  avveniva  in  precedenza,  obbiettivo  del  regolamento  è  quello  di  tutelare l’interessato attraverso misure organizzative interne e tecnologiche per evitare che i dati trattati siano violati, persi, alterati, distrutti o utilizzati illecitamente.

Dato personale

Per “dato personale” si intende qualunque informazione relativa ad una persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, compreso un numero di identificazione personale.

Ad esempio, sono dati personali un numero telefonico, un indirizzo e-mail, un indirizzo PEC, ma anche l’immagine fotografica di una persona, il suo codice fiscale e persino un indirizzo IP (riferimento internet per la navigazione) oppure una targa automobilistica.

Categorie particolari di dati

Vengono considerate “categorie particolari di dati” quelli attualmente previsti dal Codice della privacy come dati “sensibili”, quindi i dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, oltre ai dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. In tale categoria sono inclusi i nuovi riferimenti ai dati genetici e dati biometrici intesi a identificare in modo univoco una persona fisica.

Trattamento

Per trattamento si intende qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti le seguenti operazioni sui dati, anche se non registrati in una banca di dati:

▪    raccolta;

▪    registrazione;

▪    organizzazione;

▪    conservazione;

▪    consultazione;

▪    elaborazione;

▪    modificazione;

▪    selezione;

▪    estrazione;

▪    raffronto;

▪    utilizzo;

▪    interconnessione;

▪    blocco;

▪    comunicazione e diffusione;

▪    cancellazione e distruzione.

Liceità del trattamento

Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

▪     l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

▪     il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

▪     il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

▪     il  trattamento  è  necessario  per  la  salvaguardia  degli  interessi  vitali dell’interessato o di un’altra persona fisica;

▪     il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

▪     il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

Divieto di trattamento per categorie particolari di dati

Vi è un divieto generale al trattamento delle categorie particolari di dati, divieto derogabile in presenza di una delle seguenti condizioni:

▪     consenso esplicito dell’interessato;

▪     trattamento come condizione necessaria per l’adempimento di obblighi e l’esercizio di diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale;

▪     trattamento  come  condizione  necessaria  per  tutelare  un  interesse  vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;

▪     trattamento effettuato da una fondazione, associazione o altro organismo senza

scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che:

o  il trattamento avvenga nell’ambito delle legittime attività e con adeguate garanzie da parte dell’ente;

o  il trattamento riguardi solo i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo;

o  non vengano comunicati all’esterno i dati personali, senza il consenso dell’interessato;

▪   trattamento di dati personali resi manifestamente pubblici dall’interessato;

▪    trattamento come condizione necessaria per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;

▪    trattamento come condizione necessaria per motivi di interesse pubblico rilevante, proporzionato alla finalità perseguita;

▪    trattamento come condizione necessaria per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali;

▪    trattamento come condizione necessaria per motivi di interesse pubblico nel settore della sanità pubblica;

▪    trattamento  come  condizione  necessaria  a  fini  di  archiviazione  nel  pubblico interesse, di ricerca scientifica o storica o a fini statistici; in tale caso occorre che il trattamento sia proporzionato alla finalità perseguita, conforme all’essenza del diritto alla protezione dei dati e preveda misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

Con riguardo al trattamento dei dati genetici, dati biometrici o dati relativi alla salute, gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni

Soggetti coinvolti

▪     Interessato – la persona fisica cui si riferiscono i dati personali.

▪     Titolare del trattamento – è il soggetto che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

▪     Responsabile del trattamento – è il soggetto che tratta dati personali per conto del titolare del trattamento.

▪     Responsabile della protezione dei dati (RPD) – o Data Protection Officer (DPO) – è la figura di garanzia professionale introdotta dal Regolamento designata in funzione delle qualità professionali con conoscenza specifica della normativa e in

materia di protezione dei dati.

Accountability

 Tra le principali novità viene introdotto il principio della c.d. “responsabilizzazione” (accountability) di titolari (e responsabili) del trattamento, che sono tenuti a mettere in atto misure tecniche e organizzative adeguate per garantire e dimostrare l’applicazione del regolamento.

L’accountability è caratterizzata da tre elementi:

▪    Trasparenza – intesa come garanzia della completa accessibilità alle informazioni.

▪    Responsività – intesa come la capacità di rendere conto di scelte, comportamenti e azioni.

▪    Compliance – intesa come capacità di far rispettare le norme.

Protezione by design e by default

Per attuare correttamente l’accountability è fondamentale ricorrere ad altri due importanti principi:

Protezione by design –  al Titolare si chiede di attuare adeguate misure tecniche e organizzative sin dell’atto della progettazione (quindi, prima di procedere al trattamento dei dati), o più semplicemente si chiede una “valutazione dei rischi e delle azioni da intraprendere” come prima attività.

Protezione by default – con il quale si chiede che i dati siano trattati, per impostazione predefinita, esclusivamente per le finalità previste e per il periodo strettamente necessario.

Sicurezza informatica

Per chi usa apparecchiature elettroniche ed è connesso in rete è possibile assicurare il rispetto della privacy senza garantire la sicurezza informatica?

Ovviamente no.

Le misure tecniche e organizzative dovranno essere idonee a garantire un livello di sicurezza adeguato al rischio, tenendo conto della tecnologia esistente e delle apparecchiature utilizzate. Anche chi utilizza delle apparecchiature elettroniche minime (cellulare, tablet, ecc.) dovrà evitare che i dati memorizzati siano trafugati o comunque accessibili a soggetti non autorizzati.

Informativa e consenso

Il  rispetto  della  privacy  passa  quindi  attraverso  due  fondamentali  momenti:

l’informativa ed il consenso, due facce della stessa medaglia.

Informativa 

Prima di iniziare qualsiasi trattamento dei dati è obbligatorio fornire all’interessato l’informativa che consiste in un documento che riepiloga le finalità del trattamento e quali diritti l’interessato può esercitare.

L’informativa dev’essere data per iscritto o con “altri mezzi” (anche elettronici ad esempio nel caso di servizi on line) e ben evidenziata se rilasciata all’interno di un documento che contiene altre informazioni. Per maggiore chiarezza si consiglia un documento separato, con un contenuto conciso, trasparente, intelligibile per l’interessato e facilmente accessibile, utilizzando un linguaggio chiaro e semplice.

Al suo interno vanno inserite le seguenti informazioni:

▪    le finalità e le modalità del trattamento cui sono destinati i dati (qualora le finalità cambino, occorre informarne l’interessato prima di procedere al trattamento ulteriore);

▪   la natura obbligatoria o facoltativa del conferimento dei dati;

▪   le conseguenze di un eventuale rifiuto a rendere disponibili i propri dati

▪    i soggetti o la categoria di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione;

▪    i diritti di accesso ai dati personali da parte dell’interessato;

▪    il titolare del trattamento e, se designato, il responsabile del trattamento.

Consenso

 Anche il consenso, tranne in casi particolari, non richiede necessariamente la forma scritta. L’importante è che il consenso risponda a determinati requisiti:

▪   specifico (cioè intelligibile);

▪   informato;

▪   inequivocabile;

▪   esplicito (categorie particolari di dati);

▪   libero;

▪   verificabile;

▪   revocabile.

Se il consenso espresso con la vecchia normativa è conforme al nuovo regolamento non è obbligatorio acquisirne uno nuovo.

Minori: il titolare del trattamento deve adoperarsi in ogni modo ragionevole per verificare che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore in maniera corretta.

Diritti degli interessati

Nell’ambito dei diritti in capo all’interessato sono previsti:

▪     il diritto a ricevere l’informativa;

▪     diritto di accesso;

▪     diritto di cancellazione (diritto all’oblio in forma rafforzata);

▪     diritto di opposizione;

▪     diritto di rettifica;

▪     diritto alla limitazione al trattamento dei dati;

▪     diritto alla portabilità dei dati.

Il diritto alla cancellazione non si applica:

▪     qualora il trattamento sia necessario per l’esercizio della libertà di espressione e di informazione;

▪     per l’adempimento di un obbligo legale;

▪     per l’esecuzione di un compito svolto nel pubblico interesse;

▪     interessi storici, statistici e di ricerca scientifica;

▪     per l’esercizio o la difesa di un diritto in sede giudiziaria.

Processo di adeguamento alla nuova normativa

In  maniera  schematica  il  processo  necessario  per  adeguarsi  alle  nuove disposizioni è il seguente:

▪     raccolta e analisi delle informazioni presenti;

▪    creazione di un registro delle attività di trattamento svolte sotto la responsabilità del titolare del trattamento;

▪    individuare,  sensibilizzare  e  formare  tutte  le  persone  “attive”  del  processo, comprese le singole responsabilità;

▪    verificare la necessità di nominare un DPO e procedere con la nomina;

▪    definire le proprie politiche di sicurezza sulla scorta della valutazione dei rischi;

▪    implementare le procedure per assicurare i diritti degli interessati;

▪    analizzare e fissare le procedure da seguire in caso di data breach (perdita dei dati, violazione, ecc.).

Secondo il regolamento ogni azienda o professionista deve necessariamente:

▪    effettuare un controllo interno;

▪    verificare il proprio livello di esposizione ai rischi;

▪    svolgere una serie di interventi per mitigare i rischi;

▪    innalzare il livello di tutela;

▪    documentare le scelte prese secondo un processo di accountability che caratterizza l’intero regolamento.

Sanzioni

Il regolamento prevede due distinte categorie di sanzioni amministrative e pecuniarie, a seconda della natura della violazione.

In particolare:

▪    sanzioni amministrative fino a 10 mln di euro (nei casi più gravi) o fino al 2% del fatturato dell’esercizio precedente – per le violazioni relative agli obblighi:

  • del Titolare / Responsabile del trattamento;
  • dell’Organismo di certificazione;
  • dell’Organismo di controllo;

▪    nei casi più gravi sanzioni fino a 20 mln di euro o fino al 4% del fatturato dell’esercizio precedente – per le violazioni relative:

  • ai principi base del Trattamento, comprese le condizioni di consenso;
  • ai diritti degli Interessati;
  • ai trasferimenti dei dati personali a un destinatario di uno Stato terzo o un’organizzazione internazionale;
  • a qualsiasi obbligo ai sensi della legislazione nazionale adottata a norma del Capo IX;
  • all’inosservanza di un ordine, di una limitazione provvisoria / definitiva di trattamento o di un ordine di sospensione dei flussi di dati all’Autorità di controllo o il negato accesso.