In vigore il nuovo Regolamento UE sulla Privacy
Dopo la pubblicazione del 4 maggio 2016 sulla Gazzetta Ufficiale dell’Unione Europea, il 25 maggio del 2016, è entrato in vigore il nuovo Regolamento n. 679/2016 in materia di protezione dei dati personali ( Privacy ).
Nonostante l’entrata in vigore, però, è stato previsto che tutti i paesi dell’Unione Europea avranno due anni di tempo per darne applicazione interna adeguandosi alle nuove norme.
Trattandosi di regolamento, questo sarà immediatamente applicabile senza alcuna necessità, per i singoli Stati, di introdurre una norma interna di recepimento.
Per quanto riguarda il nostro Paese, il nuovo Regolamento va a sostituire il Codice Privacy del 2004. Il cambiamento non sarà totale dato che il Garante Privacy è investito del ruolo di verificare quali parti della precedente normativa siano in grado di permanere in vigore.
In merito al campo di applicazione, il Regolamento riferisce al trattamento dei dati personali delle persone fisiche ma non solo. Infatti, l’attenzione è stata incentrata anche sull’applicazione delle nuove disposizioni a soggetti, quali enti o aziende, sia con sede nell’UE (qualora il titolare dell’azienda sia stabilito nella Unione Europea), sia fuori UE (qualora il trattamento dei dati abbia ad oggetto informazioni personali di soggetti che si trovino all’interno dell’Unione Europea per ciò che attiene l’offerta di beni o servizi a loro interessati oltre che a fini di monitoraggio dei loro spostamenti all’interno dell’UE).
Figure soggettive privacy
Le figure soggettive privacy rimangono, nella sostanza, inalterate. Ciò che rappresenta una novità è l’introduzione del ruolo di Data Protection Officer (Responsabile della protezione dei dati).
Sussiste un obbligo di nomina del Responsabile della protezione dei dati in determinati casi:
- quando il trattamento venga svolto da un’autorità (con esclusione di quelle giurisdizionali) o da un organismo pubblico;
- quando si riferisca a trattamenti che necessitano il monitoraggio regolare e sistematico degli interessati ad ampio raggio;
- quando il trattamento riguardi, ad ampio raggio, informazioni e dati sensibili, ma anche quelli sanitari e personali in generale (come dati sulla vita o sull’orientamento sessuale, biometrici o sulla fedina penale).
Il ruolo del Data Protection Officer può essere svolto da un soggetto precisamente designato che possa essere tanto un dipendente del titolare del trattamento ma anche un consulente esterno appositamente nominato con idoneo contratto per l’attività da compiere.
E’ importante che il Responsabile della protezione dei dati debba essere individuato sulla base delle sue peculiari qualità professionali e specializzazione in materia di privacy.
Una volta nominato il Data Protection Officer, ha un ruolo decisamente importante, soprattutto autonomo, visto che deve essere coinvolto in ogni questione relativa alla protezione dei dati personali. Inoltre, i suoi riferimenti devono essere comunicati al Garante Privacy e hanno visibilità pubblica.
Obbligo di redazione e detenzione del Registro generale delle attività di trattamento effettuate
Ulteriore novità introdotta con il nuovo regolamento, è quella che inerente all’obbligo di redazione e detenzione del Registro generale delle attività di trattamento svolte.
L’imposizione è diretta alle imprese e organizzazioni aventi più di 250 dipendenti. Consiste nell’obbligo, indirizzato sia al titolare che al responsabile del trattamento, di redigere il Registro delle attività di trattamento e di esibizione dello stesso su richiesta del Garante Privacy.
L’obbligo, in se, consiste nell’attività di conservazione dei documenti di tutti i trattamenti dei dati realizzati di cui si è titolari o responsabili. I dati da conservare riguardano:
- l’indicazione delle informazioni relative al titolare del trattamento;
- lo scopo del trattamento dei dati;
- una indicazione della tipologia di soggetti interessati e tipologia di dati personali;
- l’indicazione dei soggetti cui perverranno le informazioni raccolte;
- quando sia fattibile, i trasferimenti di informazioni personali verso un paese terzo o d organizzazione internazionale con evidenza delle garanzie necessarie;
- se possibile, l’indicazione dei termini entro i quali si prevede l’eliminazione dei dati;
- se possibile, l’indicazione delle misure di sicurezza tecniche e organizzative.
L’obbligo è previsto anche per le imprese aventi meno di 250 dipendenti qualora il trattamento:
1) presenti un rischio per i diritti e libertà del diretto interessato;
2) non sia occasionale ed includa dati personali sensibili, sanitari, sulla vita, sulla storia giudiziaria passata, sull’orientamento sessuale, su dati biometrici o genetici.
La valutazione preventiva d’impatto sulla protezione dei dati (P.I.A.)
Altra introduzione di rilievo è rappresentata principio della privacy impact assessment (P.I.A.). Vi si fa riferimento soprattutto nei casi di utilizzo di nuove tecnologie o, comunque, in tutti quei casi in cui vi sia un rischio elevato per i diritti e libertà delle singole persone.
In questi casi, il titolare del trattamento deve, prima di procedere e confrontandosi, qualora vi sia, con il Data Protection Officer, effettuare una valutazione preventiva dell’impatto che può avere il trattamento sulla protezione dei dati personali.
La valutazione deve contenere una descrizione dei trattamenti che si prevede saranno svolti oltre che delle loro finalità, dell’interesse legittimo per il quale il titolare li effettua, nonché una valutazione della necessità e proporzionalità del rischio per i diritti e libertà dei soggetti interessati con previsione delle misure e garanzie da adottare per farvi fronte.
Nel caso in cui dalla valutazione preventiva si evinca un rilevante rischio conseguente al trattamento e si è in assenza di misure volte a contrastarlo, il titolare interessato è tenuto a chiedere consulto al Garante prima di dare inizio al trattamento stesso.
Privacy by design e Privacy by default
Di nuova introduzione sono anche gli obblighi relativi al principio della privacy by design e della privacy by default.
Nel primo caso, l’interessato al trattamento deve prendere in considerazione, oltre alle normali attenzioni del caso, di attuare misure tecniche ed organizzative adeguate per proteggere i dati oggetto del trattamento e, qualora fosse necessario, provvedere ad integrare ulteriormente le tutele a garanzia dei diritti del soggetto.
Il principio del privacy by default riferisce a misure tecniche ed organizzative adeguate che devono essere applicate al fine di garantire che vengano trattati solo ed esclusivamente i dati personali necessari al singolo scopo del trattamento.
L’informativa Privacy rafforzata
Si definisce come “rafforzata” la nuova informativa prevista in sostituzione dell’attuale art. 13 del Codice Privacy poiché debbono esser incluse molteplici informazioni in aggiunta rispetto alla precedente normativa.
Questo perché gli interessati possano ricevere in modo conciso, trasparente, intellegibile e di facile comprensione tutte le nozioni relative al trattamento.
La forma in cui devono essere trasmesse le informazione è quella scritta. Su richiesta del diretto interessato, possono essere fornite in via orale; in questo caso, però, l’identità dell’interessato deve essere comprovata.
Le informazioni che si vanno ad aggiungere a quanto già previsto dal vecchio codice sono:
- i dati di contatto, qualora ne sia prevista la presenza, del Data Protection Officer;
- la struttura giuridica del trattamento da eseguire che si aggiunga all’indicazione dello scopo del trattamento medesimo;
- l’indicazione puntuale dei legittimi interessi a cui mira il titolare del trattamento o dei terzi (qualora l’obiettivo sia il perseguimento di un legittimo interesse);
- l’ambito di trasferimento dei dati ad un’organizzazione internazionale o all’estero fuori UE;
- l’indicazione del quantitativo di tempo durante il quale i dati verranno conservati e, qualora non sia conosciuto, l’indicazione delle modalità per determinarlo;
- precisazione della possibilità di esercitare il diritto alla portabilità dei dati;
- precisazione della possibilità di revocare il consenso al trattamento in ogni momento;
- indicazione del diritto di proporre reclamo al Garante Privacy;
- in caso sia presente un processo decisionale automatizzato ne va dichiarata l’esistenza con indicazione delle possibili conseguenze che dal trattamento possono derivare;
- precisazione della fonte dalla quale hanno origine i dati oggetto di trattamento con l’obbligo, qualora i dati non siano reperiti dal diretto interessato, di indicare la possibilità che i dati giungano da fonti il raggiungibili dal pubblico;
- precisazione delle categorie di dati assoggettati al trattamento. L’obbligo non sussiste qualora i dati siano reperiti presso l’interessato.
Il consenso dell’interessato al trattamento dei dati personali
Il trattamento dei dati personali deve sempre conseguire al consenso prestato dal diretto interessato.
La centralità della prestazione del consenso, fa si che questo debba essere sempre posto in risalto, soprattutto nei casi in cui non sia la sola ed unica questione sottoposta all’attenzione del soggetto interessato.
Nel caso in cui il consenso non sia posto in evidenza o che non sia di facile percezione, comprensione e chiarezza, ne consegue la pena dell’invalidità.
Come detto poc’anzi, il consenso può essere revocato liberamente dall’interessato in ogni momento. Le modalità di revoca debbono essere agili e semplici come nel caso in cui il consenso venga espresso.
In ambito di fornitura a minorenni di servizi social o di informazione-media, è previsto un consenso preventivo.
L’acquisizione del consenso ed il trattamento dei dati personali del minorenne risultano leciti solo una volta superato il sedicesimo anno di età (in alcuni paese dell’UE è previsto un limite più basso che, però, non deve scendere al di sotto del tredicesimo anno di età).
Il titolare del trattamento dei dati ha l’obbligo (nei limiti del ragionevole e con i mezzi tecnologici a disposizione) di effettuare una verifica, nei casi in cui l’età del minorenne sia inferiore a sedici anni, della presenza del consenso e che questo sia stato manifestato o autorizzato da chi ne esercita la potestà genitoriale.
La portabilità dei dati
Con il nuovo regolamento vi è l’introduzione del diritto alla portabilità dei dati personali. Con ciò si intende la facoltà dell’interessato di trasferire i dati ad un altro titolare del trattamento senza che ciò possa essere impedito dal titolare originario.
Il regolamento, inoltre, precisa che ciò sia possibile qualora trattasi di un’operazione che sia tecnicamente fattibile.
Misure di sicurezza
Come visto finora, uno dei cardini della disciplina sul trattamento dei dati personali è dato dalla sua sicurezza.
Il regolamento, infatti, parla di adeguata sicurezza dei dati, in riferimento, anche, alla protezione degli stessi che deve essere prestata con misure tecniche ed organizzative altrettanto adeguate.
Ciò al fine di scongiurare trattamenti non autorizzati o illeciti ed, anche, proteggere dalla perdita, dalla distruzione o da danni accidentali in pieno rispetto del c.d. principio della “integrità e riservatezza”.
Fra le misure di sicurezza ritenute adeguate vi sono:
- la pseudonimizzazione dei dati personali;
- la cifratura dei dati personali;
- la costante sicurezza in tema di riservatezza, integrità, disponibilità e resilienza dei sistemi e servizi di trattamento;
- qualora vi sia un danno fisico o un incidente tecnico, deve esservi la capacità di tempestivo ripristino dell’accesso e della disponibilità dei dati;
- presenza di una procedura apposita effettuare test, verifiche e valutazioni circa l’efficacia delle misure di sicurezza applicate.
Il Data Breach
L’obbligo di notificare l’avvenuta violazione dei dati personali viene, con il nuovo regolamento, estesa a tutti i titolari del trattamento (prima riservato solamente ai fornitori di servizi di comunicazione elettronica accessibili al pubblico).
Laddove si registri la violazione dei dati personali, il titolare del trattamento deve curare la notifica della violazione al Garante in breve tempo, se possibile entro 72 ore da quando ne ha avuto cognizione, o comunque non deve rilevare alcun ingiustificato ritardo.
Superate le 72 ore, oltre alla notifica, il titolare dovrà curare la redazione delle motivazioni che ne hanno determinato il ritardo.
All’interno della notifica deve essere riportata:
- l’origine della violazione con l’indicazione di quali dati o categorie di dati siano state colpite;
- la comunicazione del nominativo e dei riferimenti del responsabile della protezione dei dati dal quale reperire più informazioni possibili;
- rappresentare le possibili conseguenze che la violazione può comportare;
- rappresentazione delle misure applicate o applicabili da parte del titolare del trattamento al fine di rimediare alla violazione o ridurne le conseguenze negative.
Nel caso in cui la violazione sia tale da poter colpire anche diritti e libertà delle persone fisiche, deve esserne posto a conoscenza anche l’interessato in maniera che questi possa comprendere in maniera semplice e chiara.
Trasferimento dei dati extra UE
La normativa non registra particolari novità in merito. Per il trasferimento dei dati personali verso un’organizzazione internazionale o un paese terzo, necessita che il titolare ed il responsabile del trattamento seguano le seguenti condizioni:
- il trasferimento deve essere effettuato a seguito i una decisione di adeguatezza. Con ciò si riferisce al fatto che la Commissione UE debba valutare che nel paese (od organizzazione internazionale) destinatario sussistano un adeguato grado di protezione. Se così fosse, non vi sono altre particolari autorizzazioni da richiedere.
- il trasferimento deve avere garanzie adeguate. In questo caso è il titolare o il responsabile del trattamento il soggetto che agisce. Egli può trasferire i dati verso un paese estero (od organizzazione internazionale) solo se sono state fornite garanzie adeguate (quali, ad esempio, specifichi previsioni contrattuali, previsione di un sistema di certificazione, esistenza di regole vincolanti d’impresa, ecc.).
Qualora non fossero applicabili le precedenti condizioni descritte, dovrà essere presente almeno una di queste condizioni:
- consenso informato dell’interessato;
- il trasferimento si mostra necessario al fine di dare escussione ad un contratto o a misure precontrattuali da adottare su richiesta dell’interessato;
- il trasferimento dei dati si rivela essere necessario per motivi di interesse pubblico o per la difesa o esercizio di un diritto per via giudiziaria;
- il trasferimento dei dati si palesa come fondamentale ai fini della salvaguardia di interessi vitali del diretto interessato o altre persone e l’interessato stesso si trovi nell’impossibilità fisica o giuridica di provvedere alla prestazione del consenso;
- il trasferimento dei dati parta da un registro pubblico.
Il diritto all’oblio
Il nuovo Regolamento tratta esplicitamente il tema del diritto alla cancellazione dei dati personali. Il diritto “all’oblio”, viene esercitato dall’interessato nel momento in cui richieda al titolare del trattamento che vengano eliminati e che non siano più soggetti a trattamento, i dati personali a se riconducibili che non siano necessari per lo scopo per il quale siano stati raccolti a far data dal momento in cui venga revocato il consenso prestato.
Medesima sorte è prevista per i casi in cui l’interessato si sia opposto al trattamento o quando il trattamento stesso non sia in linea con il Regolamento n. 2016/679.
Permane la liceità della conservazione dei dati personali qualora si ha a che fare con situazione legate al rispetto del diritto alla libertà di espressione ed informazione al fine di potere perseguire un obbligo legale oppure laddove permanga un interesse pubblico in campo sanitario, necessità di mantenimento dei dati per esigenze di archiviazione di pubblico interesse, ricerca per fini scientifici, storici o statistici e, naturalmente, qualora vi siano interessi di difesa o esercizio di un diritto in giudizio.
In caso di esercizio del diritto all’oblio, il titolare del trattamento che ha reso pubblici i dati soggetti ad eliminazione, deve provvedere a contattare gli altri titolari del trattamento che hanno in gestione i medesimi i dati personali allo scopo di porre a loro conoscenza della necessità di cancellazione di qualsiasi collegamento ai dati in parola o che ne costituiscano una copia o riproduzione.
I trattamenti di profilazione
Rappresenta una novità introdotta dal nuovo Regolamento. Quest’ultimo si riferisce a “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi ad una certa persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.”
Dal nuovo testo entrato in vigore, si evince un generale divieto alla profilazione fatta eccezione per particolari quali, ad esempio, il consenso informato del diretto interessato.
La materia della profilazione è uno degli ambiti direttamente interessati dall’obbligo di valutazione preventiva di impatto sulla protezione dei dati.
Le sanzioni
Sul piano sanzionatorio, permane la responsabilità che dà origine al risarcimento per il cosiddetto “danno da trattamento”.
E’ l’art. 82 che prevede più nello specifico la disciplina prescrivendo che chiunque subisca nocumento a seguito di violazione del Regolamento n. 2016/679, ha diritto ad un risarcimento del danno da parte del titolare o dal responsabile del trattamento.
Il Regolamento, inoltre, determina quelli che sono i sistemi di suddivisione della responsabilità risarcitoria tra il titolare e il responsabile del trattamento, tra i contitolari e le possibilità di esonero da responsabilità.
In tema di sanzioni amministrative pecuniarie irrogate dal Garante, il successivo art. 83 del Regolamento 2016/679 si occupa di stabilire le condizioni per la determinazione delle sanzioni e fissa importi specifici distinguendo tra:
- sanzioni amministrative pecuniarie fino a € 10.000 (o, per le aziende, fino al 2 % del fatturato mondiale totale annuo dell’anno antecedente), per la violazione di specifici obblighi imposti dal nuovo Regolamento;
- sanzioni amministrative pecuniarie fino a € 20.000 (o, per le aziende, fino al 4 % del fatturato mondiale totale annuo dell’anno antecedente), per la violazione di più rigidi obblighi imposti dal nuovo Regolamento o per il mancato rispetto degli ordini dettati dal Garante.
In ambito penale, vige la competenza del singolo stato data l’impossibilità di una previsione del diritto dell’Unione Europea.
Perciò, entro il 25 maggio del 2018, i singoli Stati membri dovranno stabilire la disciplina da applicare in materia di sanzioni, differenti da quelle amministrative pecuniarie, da irrogare in caso di violazione del nuovo Regolamento.
Oltre a ciò, dovranno essere identificate tutte le misure da adottare per garantire il rispetto della normativa e per dissuadere coloro che vogliono violarla.