Regolamento generale sulla protezione dei dati

regolamento dell'Unione europea
(Reindirizzamento da Regolamento (UE) n. 2016/679)

Il regolamento generale sulla protezione dei dati in sigla RGPD[1] (o GDPR in inglese General Data Protection Regulation)[2], ufficialmente regolamento (UE) n. 2016/679, è un regolamento dell'Unione europea in materia di trattamento dei dati personali e di privacy, adottato il 1 gennaio 2016, pubblicato sulla Gazzetta ufficiale dell'Unione europea il 4 gennaio 2016 ed entrato in vigore il 24 maggio dello stesso anno ed operativo a partire dal 25 maggio 2018.

Regolamento generale sulla protezione dei dati
Titolo estesoRegolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)
StatoUnione europea (bandiera) Unione europea
Tipo leggeRegolamento dell'Unione europea
Promulgazione25 maggio 2018
Testo
EUR Lex

Con questo regolamento, la Commissione europea si propone come obiettivo quello di rafforzare la protezione dei dati personali di cittadini dell'Unione europea (UE) e dei residenti nell'UE, sia all'interno che all'esterno dei confini dell'UE, restituendo ai cittadini il controllo dei propri dati personali, semplificando il contesto normativo che riguarda gli affari internazionali, unificando e rendendo omogenea la normativa privacy dentro l'UE.[3][4]

Il testo affronta anche il tema dell'esportazione di dati personali al di fuori dell'UE e obbliga tutti i titolari del trattamento dei dati (anche con sede legale fuori dall'UE) che trattano dati di residenti nell'UE ad osservare e adempiere agli obblighi previsti. Dalla sua entrata in vigore, il GDPR ha sostituito i contenuti della direttiva sulla protezione dei dati (Direttiva 95/46/CE)[5] e, in Italia, ha abrogato[6] gli articoli del codice per la protezione dei dati personali (d.lgs. n. 196/2003) con esso incompatibili.[7]

Obiettivi

modifica

"Il regime di protezione dei dati proposto per l'UE estende gli obiettivi della legge europea sulla protezione dei dati a tutte le imprese estere che trattano dati di residenti europei a prescindere dal luogo nel quale le trattano e dalla loro sede legale. Permette di armonizzare le diverse normative sulla protezione dei dati in tutta l'UE, facilitando così l'osservanza delle norme da parte delle imprese non europee; tuttavia, questo è stato ottenuto a costo di un regime che prevede una severa disciplina di protezione dei dati, con rigide sanzioni che possono raggiungere il 4% del volume globale di affari."[8] A seguito di negoziazioni nel dialogo a tre tra Parlamento Europeo, Commissione europea e Consiglio dei Ministri, si è raggiunto un consenso generale sulla formulazione del GDPR e sulle sanzioni finanziarie per la mancata osservanza.[9]

Pubblicato per la prima volta sulla Harvard Law Review nel dicembre del 1890, The Right to Privacy rappresenta la pietra angolare su cui poggia il GDPR, considerato al giorno d’oggi come il diritto fondamentale su cui si fonda la libertà individuale.

Furono Samuel Warren e Louis Brandies, i due giovani avvocati americani autori del saggio, a definire per la prima volta la privacy come “the right to be let alone”: ovvero, il diritto a essere lasciati soli, a godere del proprio privato.

In Italia non esiste nella Costituzione un articolo che riconosca il diritto alla privacy ma con la sentenza del 38/73 la Corte Costituzionale ha riconosciuto diverse norme tutelano il diritto alla riservatezza. La tutela della riservatezza possiamo dunque considerarla come discendente per via interpretativa della Costituzione, in particolare dagli articoli 2,3,14,15.

Con l'arrivo del digitale si percepisce l'importanza in Europa di norme che tutelino i dati personali, in particolare la legge 675/96, Codice Privacy successivamente sostituita dalla legge 196/2003 tuttora in vigore.

La rivoluzione arriva con il regolamento GDPR 2016/679.

Contenuto

modifica

La proposta per il regolamento generale sulla protezione dei dati presentava alcuni passaggi che non sono stati confermati nella versione definitiva[10][11]. Considerava, invece, favorevolmente l'introduzione della privacy by design (i requisti privacy devono essere compresi nella progettazione del sistema), la privacy by default (le misure privacy devono essere attuate per impostazione predefinita) e quella del principio del carattere personale dell'indirizzo IP.[12][13][14] Ambo i principi sono stati poi recepiti nel regolamento.

Come premessa all'esposizione degli articoli di legge il regolamento contiene un lungo elenco di considerando, anch'essi numerati in sequenza, e citati con "C" seguito dal numero del considerando[15].

Il regolamento focalizza (GDPR art. 24) il concetto di accountability traducibile in "responsabilizzazione (proattiva)" o, meglio, "(responsabilità di dover) dar conto" da parte del titolare (e dei suoi responsabili/sub-responsabili) all'interessato.

Al cuore del GDPR sta la tutela delle persone fisiche e ciò è riconosciuto come diritto fondamentale. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche in particolare il diritto alla protezione dei dati personali.

Il regolamento si applica al trattamento dei dati personali, ed al trattamento non automatizzato dei dati conservati in un "archivio", definito (artt. 2 e 4) in modo simile all'espressione "banca di dati", presente nel codice della privacy italiano (l'Italia si è adeguata alla normativa europea tramite il decreto legislativo n. 101 del 10 agosto 2018). Inoltre, a differenza dell'attuale direttiva, il regolamento si applica anche a imprese ed enti, organizzazioni in generale, con sede legale fuori dall'UE che trattano dati personali di residenti nell'Unione Europea. Ciò anche a prescindere dal luogo o dai luoghi ove sono collocati i sistemi di archiviazione (storage) e di elaborazione (server). Il regolamento non riguarda la gestione di dati personali per attività di sicurezza nazionale o di ordine pubblico ("le autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali"[16]). Secondo la Commissione Europea "i dati personali sono qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale o pubblica. Può riguardare qualunque dato personale: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer."[17]

Questa normativa non è specifica per tipologia di supporto, ciò significa che le informazioni e i relativi dati possono essere: orali/verbali, cartacee/materiali, digitali/immateriali e loro combinazioni.

Il regolamento disciplina il trattamento dei soli dati personali unicamente delle persone fisiche (ivi compresi quelli di persone fisiche trattati in ambito professionale o associativo o situazioni similari ovvero nei rapporti tra imprese, enti e associazioni), e pertanto sono esclusi dall'applicazione del codice i dati di identificazione e simili di soggetti aventi personalità giuridica: società di capitali, aziende ed enti pubblici, associazioni e fondazioni[18], o comunque organizzazioni in genere anche senza personalità giuridica come definita in Italia (imprese non in forma societaria, società di persone, studi professionali e altre situazioni simili). Questo non vale per le ditte individuali, perché in tal caso identità personale e professionale coincidono. In pratica, il campo di applicazione riguarda i dati personali di persone fisiche trattati in qualsiasi attività (professionale, economica, di interesse pubblico, associativa, ecc.) a esclusione della vita domestica/non professionale (eccezion fatta per la pubblicazione on line di dati personali di persone fisiche, anche se nell'ambito personale o domestico, in quanto si tratta di divulgazione indistinta)[19].

I dati personali forniti o comunicati possono essere relativi a persone fisiche terze (rispetto all'interessato) oppure trattati da soggetti terzi (rispetto al titolare). Il GDPR definisce terzo "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile". Per il trattamento di dati relativi a terzi o forniti a terzi (comunicazione a destinatari) occorre che l'informativa lo precisi e siano definite le responsabilità nonché attestata la conformità del trattamento da parte dei titolari coinvolti. Anche un particolare trattamento quale è la "diffusione" deve essere previsto o escluso nell'informativa.

In base al principio di stabilimento le sue norme si applicano ai trattamenti di dati personali posti in essere da titolari e responsabili stabiliti nell'Unione Europea, senza alcun rilievo per il luogo in cui si effettua il trattamento stesso o per il luogo in cui si trova il data subject[20].

Il regolamento, invece, non si applica nei seguenti casi:

  • trattamenti effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;
  • trattamenti effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, del Trattato dell’UE (politica estera e sicurezza);
  • trattamenti effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse (vedi direttiva 2016/680);
  • trattamenti effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico (vedi esenzione per uso personale).

Vengono ampliate e caratterizzate le definizioni sui dati presenti nella corrente direttiva e aggiunte di nuove. Quindi, oltre al dato personale, troviamo dati genetici, biometrici e relativi alla salute, comunque tutte informazioni che consentono l'identificazione univoca di una persona fisica.

  • Dato personale (art. 4 paragrafo 1): informazioni relative a persona fisica identificata o identificabile. La novità risiede proprio nel criterio di identificazione, la persona può essere identificata direttamente o indirettamente, con particolare riferimento a un identificativo come il nome e cognome o l'immagine del volto, un numero di matricola, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; in un quesito[21] la Commissione Europea risponde che "anche varie informazioni che, raccolte insieme, possono portare all'identificazione di una determinata persona costituiscono dati personali": si tratta del concetto di profilo (di comportamento, di abitudini, di storia) che diventa dato personale pur non contenendo, di per sé, uno specifico dato identificativo di un determinato soggetto; in particolare, parlando di dato personale, occorre distinguere tra identificatori diretti (ad esempio: codice fiscale per non parlare di impronta digitale o scansione genetica) e identificatori indiretti (ad esempio: indirizzo IP, geolocalizzazione, data nascita e/o luogo di nascita); tra gli identificatori indiretti che però possono portare alla profilazione precisa e quindi all'identificazione di un soggetto fisico ci sono i metadati; la definizione di dato personale è relativa cioè dipende dal contesto; dunque un dato cessa di essere personale nel momento in cui diventa informazione aggregata: in un gruppo di 10 persone la data di nascita di un soggetto è molto probabile che sia un identificatore diretto mentre in un gruppo di 1 milione di persone quasi sicuramente non lo è. Questi dati personali vengono spesso denominati dati comuni per distinguerli dalle altre tipologie (vedi sotto);
  • Dati personali particolari (o sensibili secondo il codice privacy italiano, quasi del tutto abrogato) (art. 9 paragrafo 1): si considerano i dati personali come l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, dati relativi alla vita sessuale o all'orientamento sessuale della persona, nonché:
    • Dati genetici: ereditati o acquisiti, ottenuti tramite analisi di DNA ed RNA da un campione biologico della persona fisica in questione;
    • Dati biometrici: come l’immagine facciale, grazie ai quali è possibile identificare una ed una sola persona fisica;
    • Dati sulla salute: sia fisica che mentale, passata, presente o futura, ma anche informazioni su servizi di assistenza sanitaria, laddove presenti, indipendentemente dalla fonte, quale, ad esempio, un medico.
  • Dati personali relativi a condanne penali o reati (art.10): il trattamento dei dati personali relativi a reati o condanne deve avvenire sotto il controllo dell'autorità pubblica o se è autorizzato dal diritto dell'Unione o degli stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati.

I dati personali devono inoltre essere:

  • trattati in modo lecito, corretto e trasparente nei confronti dell'interessato senza rischiare di essere fraintendibile;
  • raccolti per un determinato fine e in maniera esplicita. Non possono dunque essere usati per scopi diversi da quello iniziale, ad eccezione di ricerca scientifica, storica o fini statistici;
  • adeguati, pertinenti e minimizzati al necessario;
  • esatti aggiornati costantemente e rettificati o cancellati se inesatti;
  • conservati limitatamente al tempo necessario al conseguimento delle finalità per le quali sono trattati e non più, ad eccezione di archiviazione nel pubblico interesse, di ricerca scientifica, storica o fini statistici;
  • trattati in maniera adeguata garantendo sicurezza e protezione da trattamenti non autorizzati o illeciti, da perdita, distruzione o danno accidentale attraverso misure tecniche e organizzative adeguate.

Nota bene.

  1. Non qualsiasi informazione (presa singolarmente) relativa ad una persona fisica è "dato personale di tipo identificativo ", sebbene a volte sia superficialmente creduto. Solo informazioni che potrebbero rilevare l'identità o le proprietà (profilo, comportamento, storia, localizzazione, ecc.) di una persona sono dati personali; in pratica, dipendentemente dal contesto, in un caso un solo elemento potrebbe essere un dato personale (ad esempio il codice fiscale o l'indirizzo IP), in altri occorre l'unione (aggregata o meno) di due o più dati per costituire un dato personale (ad esempio le informazioni relative alle abitudini di una persona): in questo caso, per la definizione di dato personale, queste informazioni potrebbero rivelare l'identità della persona senza contenere esplicitamente alcun dato diretto di identificazione (nome e cognome, fotografia del volto, impronte digitali, ecc.). Ad esempio: di tre scolari si ha l'informazione che ad uno "piace giocare da solo". È un dato personale ma non di tipo identificativo, né indiretto-se non accompagnato da altre variabili ("lo scolaro è biondo")-né tantomeno diretto.
  • Ne consegue che l'insieme dei dati personali è composto da diverse categorie di variabili. Due di queste categorie sono quella degli identificatori diretti e quella degli identificatori indiretti. Un identificatore diretto rileva univocamente un individuo; un identificatore indiretto potrebbe rilevare un individuo a seconda del perimetro/contesto ma probabilmente si limita a circoscrivere un gruppo di individui. Esempio del primo: codice fiscale. Esempio del secondo: data di morte.
  1. Le informazioni di identificazione personale (o PII - Personally Identifiable Information, secondo la dottrina internazionale) sono una sotto categoria dei dati personali: sono gli elementi che identificano una persona (nome e cognome associati a data di nascita[22], informazione generica o biometrica, codice fiscale, matricola professionale o equivalente, numero telefono, indirizzo email, indirizzo domicilio/residenza, numero carta di credito/debito, ID di dispositivo mobile e simili). L'indirizzo IP (o il dato di geolocalizzazione) è certamente un'informazione di identificazione personale relativo ad un dispositivo. Diventa anche un dato personale qualora si possa dimostrare la correlazione certa con un individuo (anche con il concorso di altri dati a supporto), altrimenti rimane un identificatore indiretto[23]. L'IP statico ha maggiori connotazioni di informazione di identificazione personale di rispetto all'IP dinamico; la targa di un veicolo è un'informazione di identificazione personale (anche quando il proprietario non coincide con il conducente e/o il proprietario è un'organizzazione dato che la targa è riconducibile-tramite un pubblico registro ed eventualmente una visura camerale - ad una persona fisica anche fosse il rappresentante legale).
  2. Un dato (o una collezione di dati) personale di tipo identificativo diretto (come sopra spiegato esistono anche i dati identificativi indiretti) non equivale a che sia anche univoco (come lo è, ad esempio, il codice fiscale). Univoco è un dato personale identificativo diretto ed esclusivo di un individuo. Va da sé che è la categoria a maggior rischio in termini di impatto sulla certezza di individuazione una persona fisica.
  3. Come sopra riportato, il GDPR e in generale la privacy si applicano solo ai dati personali di persone fisiche: i dati personali delle organizzazioni non sono protette dal regolamento.
  4. Le norme della privacy non sono attuate solo da imprese, enti della PA, lavoratori autonomi: il vastissimo e articolato mondo delle associazioni, fondazioni, comitati, organizzazioni ed enti vari che facciano parte o meno del terzo settore devono conformarsi al GDPR e alla regolamentazione relativa.
  5. Spesso si confonde "privacy" con "segretezza" (o "confidenzialità") che sono due concetti nettamente distinti e inquadrati da dottrine e leggi diverse; invocare norme privacy per la protezione di informazioni segrete o dati riservati di tipo aziendale e professionale è totalmente infondato;
  6. l'art. 2, c2, lett. c chiarisce che dal perimetro applicativo sono esclusi i trattamenti all'infuori di attività professionali ovvero quelli eseguiti dalle persone fisiche quando vivono la loro vita privata/domestica. Occorre però prestare attenzione a: diffusione (= mettere a disposizione i dati in maniera massiva e indistinta), ad esempio caricare/condividere dati di altri sul web; utilizzo di telecamere casalinghe (pure esclusive ovvero quelle non condominiali) quando inquadrano aree pubbliche di passaggio (vi sono norme nazionali a riguardo); altre situazioni analoghe. Sebbene non possa essere invocata la privacy, alcuni potrebbero comunque chiedere danni per l'uso dei propri dati personali anche se eseguito in ambito privato. Nel dubbio è quindi sempre meglio astenersi o richiedere l'autorizzazione.

Tracciatura informatica

modifica

I non addetti al settore faticano a comprendere che talune categorie di dati siano dati personali. Il fatto è che queste categorie o direttamente o, più spesso, indirettamente potrebbero consentire di identificare un individuo specie se accompagnate da informazioni che possano ricostruire il relativo profilo comportamentale. Ad ogni modo, come minimo, rintracciano elenchi di persone. Come spiegato sopra, tra i dati di tracciatura informatica che sono dati personali si ha:

  • indirizzo IP (è sufficiente un comunissimo telefonino) e, di conseguenza, la geolocalizzazione;
  • visite sito web o utilizzo app;
  • ID univoci di cookie.

Insieme unico di regole e sportello unico

modifica

A tutti gli stati membri UE si applicherà un insieme unico di regole. Ciascuno stato membro istituirà un'autorità sovrintendente indipendente per dare udienza ai reclami, effettuare indagini, sanzionare le infrazioni amministrative, ecc. Le autorità sovrintendenti in ciascuno stato membro collaboreranno con le altre, fornendo assistenza reciproca e organizzando operazioni congiunte. Qualora una ditta abbia più stabilimenti nell'UE, avrà un'unica autorità sovrintendente come propria "autorità principale", sulla base dell'ubicazione del proprio "stabilimento principale" (ossia il posto dove hanno luogo le principali attività di gestione). L'autorità principale agirà quale "sportello unico" per supervisionare tutte le attività di gestione dati di quella ditta nell'UE[24][25] (Articoli 46 - 55 del GDPR). Il Comitato europeo della protezione dati (EDPB, European Data Protection Board) coordinerà le autorità sovrintendenti. L'EDPB andrà a sostituire il gruppo di lavoro dell'Articolo 29.

Vi sono eccezioni nel caso di dati elaborati in un contesto di impiego e di dati elaborati a scopo di sicurezza nazionale, che potrebbero ancora essere soggetti ai regolamenti delle singole nazioni (Articoli 2(2)(a) e 82 del GDPR).

Figure competenti

modifica

Si distinguono diverse figure competenti a cui, ai sensi dell'art. 4 del 'Codice della Privacy', è consentito trattare i dati personali:

  1. Titolare del trattamento: è la persona fisica, la persona giuridica, la Pubblica Amministrazione o qualsiasi altro ente a cui è consentito, singolarmente o insieme ad altri soggetti, determinare le finalità e le modalità del trattamento dei dati personali. (art. 4 comma f) Qualora un soggetto si trovi ad agire come titolare del trattamento congiuntamente ad altri soggetti anch'essi titolari, è definito contitolare.
  2. Responsabile del trattamento:[26] è la persona fisica, la persona giuridica, la Pubblica Amministrazione e qualsiasi altro ente preposto dal titolare al trattamento di dati personali. (art. 4 comma g) Ha il compito di mettere in atto misure tecniche e organizzative adeguate a soddisfare i requisiti richiesti dal GDPR e a garantire la tutela dei diritti dell'interessato.
  3. Sub-responsabile del trattamento: quando esistente, è il soggetto nominato responsabile dal responsabile (il prefisso "sub" si riferisce al titolare). Molto frequente nei casi di catene complesse in forza di un perimetro vasto e articolato.
  4. Destinatario del trattamento: è la persona fisica, la persona giuridica, la Pubblica Amministrazione o qualsiasi altro ente che riceve i dati personali dal titolare, necessari per eseguire i trattamenti per conto del titolare stesso o per conseguire proprie specifiche finalità.
  5. Terzi: sono tutti coloro che non sono identificati come titolari, responsabili o destinatari del trattamento.
  6. Incaricato: è la persona fisica autorizzata dal titolare o dal responsabile a compiere operazioni di gestione e trattamento dei dati. (art. 4 comma h)
  7. Interessato: è la persona fisica a cui si riferiscono i dati personali. (art. 4 comma i) Può esercitare i propri diritti, attribuiti dalla normativa, rivolgendosi direttamente al titolare del trattamento.
  8. Rappresentante: è la persona fisica designata come responsabile del trattamento in Europa. Questa figura si manifesta solo nel momento in cui i responsabili del trattamento non appartengano all'Unione Europea. È l'interlocutore tra le autorità di controllo e gli interessati, per le questioni che riguardano il trattamento dei dati.
  9. Designato: è il soggetto, persona fisica, al quale si affidano tutte le funzioni di controllo ad alto livello del trattamento dei dati personali.
  10. Amministratore di sistema e custode delle chiavi: sono due figure, non più presenti nel nuovo ordinamento, il cui compito è sovraintendere alle risorse del sistema informativo dell'organizzazione e consentirne l'utilizzazione.

Responsabilità

modifica

Il principio di responsabilità legato al trattamento dei dati personali resta ancorato (come nel Codice per la protezione dei dati personali) ad un concetto di responsabilità per esercizio di attività pericolosa con una valutazione ex ante in concreto ed una sostanziale inversione dell'onere della prova. Per non rispondere del danno commesso derivante dal trattamento dei dati personali occorre sostanzialmente provare di aver fatto tutto il possibile per evitarlo. Il Regolamento aggancia e sviluppa questo tipo di responsabilità verso il concetto di Responsabilizzazione (art. 5 co. 2). Occorre osservare i principi applicabili al trattamento dei dati personali di cui all'articolo 5 adempiendo alle relative obbligazioni ed essere in grado di comprovarlo. In particolare, secondo l'articolo 5, il trattamento dei dati deve essere lecito (5.a), con finalità determinate (come archiviazione, ricerca scientifica, statistica, 5.b), limitato all'uso ("minimizzazione dei dati", 5.c) ed esatto, aggiornato (5.d).

Similmente al precedente Codice 196/03 (seppur con termini o definizioni più sfumati) il regolamento UE prevede la possibilità per il titolare di condividere le responsabilità o le funzioni di trattamento tra[27]:

  • autorizzato (nel GDPR si legge "persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile"), che nella previgente legge italiana corrispondeva all'incaricato;
  • responsabile (solo esterno)[28] ed eventualmente sub-responsabile (ovvero un soggetto nominato responsabile da parte del responsabile);
  • contitolare;
  • (altro) titolare autonomo (soggetto che stabilisce autonomamente le finalità, in un determinato flusso dati, rispetto ad altro titolare che partecipa allo stesso flusso).

La scelta tra i casi di responsabile, contitolare o titolare autonomo talvolta non è agevole (alcune situazioni sono oggettivamente complesse, al di là delle semplici definizioni di legge e vi sono linee interpretative diverse tra gli esperti) e determinano situazioni di disaccordo tra organizzazioni.

La definizione di responsabilità tra due o più titolari (contitolari) o tra titolare e responsabile/sub-responsabile è importante per tutelare i dati personali di terzi (cioè persone fisiche terze rispetto al rapporto tra i due soggetti, tipicamente organizzazioni) che si scambiano dati (o qualsiasi altra operazione di trattamento) di persone fisiche (cioè gli interessati). Mentre l'individuazione del caso di contitolari è solitamente agevole, il confine tra responsabile e titolare autonomo è spesso complicata, specie nei casi di attività regolamentate per legge (non è raro che un soggetto, nei confronti di un titolare, sia contemporaneamente responsabile per taluni flussi dati e titolare autonomo per altri). Altra situazione complessa avviene, in ambito commerciale, quando il cliente-titolare è piccolo (dal punto di vista organizzativo ed economico) rispetto al fornitore-responsabile.

Accordo per il trattamento dei dati
L'art. 28 del regolamento prescrive che tra titolare e responsabile (e tra responsabile e sub-responsabile) sia costruito (attraverso un contratto scritto o atto giuridicamente equivalente) l'accordo sulle reciproche responsabilità (DPA-Data Processing Agreement), in italiano "Accordo per il Trattamento dei Dati". Questo documento (che può essere preparato autonomamente sia dal titolare che dal responsabile) descrive le condizioni e le modalità di trattamento dei dati personali eseguiti dalla catena titolare-responsabile-eventuale sub responsabile. Il DPA, essendo una sorta di capitolato, deve comunque riferirsi al contratto principale tra le parti ovvero la base giuridica che comporta il trattamento di dati personali eseguito dalla catena.

Anche affermazioni unilaterali di posizionarsi come titolare autonomo o con-titolare dovrebbero essere sempre oggetto di negoziazione, poiché, in caso di evento negativo, il giudice potrebbe rivedere la posizione sulla scorta dei fatti e del contesto.

Obblighi

modifica

I requisiti per le informative agli interessati rimangono e in parte sono ampliati. Essi devono includere il tempo di mantenimento dei dati personali e occorre fornire i contatti di chi controlla i dati e del funzionario preposto alla protezione dei dati. Di primaria importanza rimane il principio di responsabilità (Art.24) (countability). Tale principio tratta della responsabilità del titolare del trattamento:

  1. Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.
  1. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l'attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.
  1. L'adesione ai codici di condotta di cui all'articolo 40 o a un meccanismo di certificazione di cui all'articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.

l'articolo sopra citato suggerisce di adottare misure adeguate in relazione allo specifico caso. Per fare un esempio calzante è possibile considerare una grande azienda come Google, come tale deve essere estremamente più accurata nell'organizzare misure e prevedere modalità di controllo nel trattamento dei dati personali, sicuramente più dei provvedimenti di cui necessita un freelance. Esiste quindi un principio di responsabilità, ma anche di ragionevolezza nell'adottare misure adeguate in relazione alle circostanze, o quantomeno essere in grado di esibire una relativa documentazione che indichi i provvedimenti presi.

L'articolo 22, riguardante il processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione, (Art. 22), introduce il diritto dei cittadini di non essere sottoposti a decisioni basate solamente sul trattamento automatizzato dei dati personale, se tale decisione:

  • produca effetti giuridici;
  • influisca significativamente sulla persona.

Ciò non si applica però, nel caso in cui tale decisione:

  • sia basata sull'approvazione esplicita dell'interessato;
  • sia autorizzata dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento;
  • sia necessaria nella conclusione o l'esecuzione di un contratto tra un titolare del trattamento e l'interessato.

Inoltre l'articolo prevede che, in qualsiasi caso, anche se il titolare del trattamento abbia messo in atto le opportune misure volte alla tutela dei diritti dell'interessato, l'interessato possiede sempre il diritto di contestare tali decisioni o richiedere l'intervento umano nel processo decisionale (la supervisione umana della conclusione raggiunta dall'algoritmo deve essere rilevante e opportunamente dimostrata e documentata).

L'articolo è stato introdotto per far fronte al problema riguardante le decisioni automatizzate per cui non è possibile verificare la logica in base alla quale viene presa tale decisione, spesso infatti l'uso di tali sistemi per poter prendere decisioni non seguono una logica stringente e quindi non danno la possibilità di verificare il motivo o la causa di tale decisione. Il diritto a conoscere le logiche sopracitate è previsto anche negli articoli Art.13 - 14 - 15.

Gli articoli dal 15 al 20 non si applicano se il titolare non può identificare l'interessato proprio perché non esiste un obbligo del genere.

I principi di Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (Art. 25) richiedono che la protezione dei dati faccia parte del progetto di sviluppo dei processi aziendali per prodotti e servizi. Le impostazioni di privacy sono configurate su un livello alto in modo predefinito. Quindi i dati devono essere protetti rispettando le norme sulla Privacy dal momento in cui viene deciso di voler effettuare un certo trattamento di dati e si stanno decidendo i mezzi con cui farlo. La verifica e il rispetto di tale principio va fatto nel momento in cui si progetta e si attua il trattamento : quando si disegna bisogna verificare il trattamento e quando lo si applica bisogna verificare la conformità al disegno (Principio di Privacy by design).

Allo stesso tempo è necessario tutelare i dati personali a meno che non ci sia un intervento attivo da parte dell'utente (Principio di Privacy by default). È possibile esprimere un esempio adatto per specificare tale concetto : spesso usando i social network come WhatsApp, è possibile condividere i dati come nome e cognome presenti nell'agenda personale acconsentendo direttamente alla richiesta dell'applicazione. Se però non viene eseguita tale operazione, risulta particolarmente difficoltoso l'utilizzo dell'applicazione stessa; inoltre è semplice notare come non è possibile rintracciare persone che non fanno uso di tale social e che, quindi, non hanno condiviso i loro dati, ecco perché non viene visualizzato il nome dell'utente all'interno dell'app. Tale esempio manifesta entrambi i principi sopra citati mostrando come il design stesso dell'applicazione debba rispettare la normativa della privacy fin dall'inizio, contemporaneamente seguendo il principio della Privacy di default (riguardante il dato personale stesso dell'utente).

Le valutazioni dell'impatto della protezione dei dati (Arti. 35) devono essere effettuate nei casi in cui si verifichino rischi specifici per i diritti e le libertà dei soggetti dei dati. La valutazione e la riduzione del rischio sono richieste insieme ad un'approvazione preventiva da parte delle autorità per la protezione dei dati (DPA, Data Protection Authority) per rischi elevati. I Responsabili per la protezione dei dati (Art. 37), quindi, sono scelti per la conoscenza specialistica della normativa in materia di dati personali e sono tenuti a verificare l'osservanza delle norme del Regolamento da parte dei titolari e nel caso di valutazioni di impatto, se richiesto dal titolare, sono tenuti a consultarsi con esso.

Altro obbligo per il responsabile (Art. 29) è provvedere all'addestramento di "... chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento..." (in pratica gli incaricati). Ovviamente, il titolare deve dimostrare di aver provveduto alla formazione la quale dovrà essere calibrata (secondo l'analisi di rischio) in funzione delle responsabilità delle varie figure appartenenti all'organizzazione.

Nel caso in cui imprese con addetti effettuano un trattamento, e questo non è occasionale, si applica l’obbligo di tenere un registro delle attività di trattamento (Art. 30). Il registro è un documento, in forma scritta o in formato elettronico, nel quale sono contenute informazioni riguardo ai trattamenti svolti dal titolare (Art. 30 comma 1), o dal responsabile (Art. 30 comma 2). Inoltre, se richiesto dalle autorità di controllo, il registro deve essere messo a disposizione.

Un ulteriore obbligo previsto a carico del titolare del trattamento riguarda il trasferimento all’estero dei dati, consentito solo se ricorrono certe condizioni: Il trasferimento nello specifico paese verso il quale vengono trasferiti i dati, deve essere ritenuto adeguato dalla commissione (come, per esempio Canada e Svizzera). Art. 45 del GDPR ([1])”

Se il paese non è tra quelli riconosciuti adeguati dalla commissione, si può far ricorso a garanzie adeguate che rendono lecito il trasferimento verso quel paese. Il modo più semplice è quello di utilizzare clausole adottate dalla commissione europea (art.46 comma c e d). Esistono però anche clausole tipo adottate da un’autorità di controllo e successivamente approvate dalla commissione. Se le clausole tipo non sono presenti, possono essere scritte ad hoc, chiedendo però l’autorizzazione all’autorità di controllo competente. Esiste un ulteriore modo, ovvero le norme vincolanti d’impresa (art.47), secondo le quali i garanti possono stabilire delle clausole per consentire il trasferimento all’interno di gruppi di imprese. Se il trasferimento non si vuole sottoporre a garanzie adeguate ci sono dei casi che possono consentire il trasferimento verso paesi esteri, delle eccezioni:

  • Gli interessati abbiano dato il loro consenso esplicito;
  • Il trasferimento ha a che fare con la conclusione di un contratto che ha stipulato l’interessato (art.49);
  • Il trasferimento è necessario per importanti motivi di interesse pubblico;
  • Il trasferimento è necessario per tutelare la vita di una persona;

Contitolarità

modifica

l' Art. 26 Stabilisce alcuni obblighi particolari per i contitolari del trattamento, cioè quando ci sono più titolari. In sostanza i contitolari devono fare un accordo che disciplina il modo in cui fanno specifiche operazioni riguardo il trattamento dei dati e in particolare :

  • il comma 1 stabilisce a chi si deve rivolgere l'interessato tra tutti i titolari presenti e come. I due contitolari devono fare un controllo, per esempio possono stabilire che gli interessati si rivolgano ad uno qualunque di loro e, non appena quest'ultimo riceva la richiesta di esercizio del diritto, la comunichi agli altri dando inizio ad una collaborazione collettiva per dar corso alla richiesta. Nel caso di contitolarità, quindi due o più contitolari del trattamento questi soggetti devono fare un accordo interno.
  • il comma 2 stabilisce che "il contenuto essenziale dell'accordo è messo a disposizione dell'interessato" : l'interessato ha il diritto di conoscere il contenuto essenziale di questo accordo, cioè a chi si deve rivolgere e come deve esercitare i propri diritti.

I classici casi di presenza di con-titolari sono: holding e controllata, studio (cioè una sede con servizi comuni) condiviso tra più liberi professionisti (studio medico, tecnico, legale, fiscale, etc), un'impresa e la sua rappresentante/filiale/concessionaria/succursale/agenzia sul territorio, altri simili.

Consenso

modifica

Un valido consenso deve essere esplicitamente dato per la raccolta dei dati e per i propositi per i quali sono usati (Art. 7; definito in Articolo 4). Pertanto se la richiesta viene inserita nell'ambito di altre dichiarazioni essa va distinta e formulata con linguaggio semplice e chiaro (Art. 7). Condizione di validità del consenso è che le finalità per cui viene richiesto siano esplicite, legittime, adeguate e pertinenti (Art. 5). Nel caso in cui il consenso al trattamento dei propri dati personali sia stato espresso da minori esso è valido solo se il minore ha almeno 16 anni, riducibili al più fino a 13 anni qualora lo stato membro abbia legiferato esplicitamente al riguardo. Qualora il minore abbia un'età inferiore alla soglia predetta, il consenso al trattamento deve essere dato da un genitore o da chi eserciti la potestà, e deve essere verificabile (Art. 8). I controllori dei dati devono essere in grado di provare il consenso ("opt-in") e il consenso può essere ritirato[29] o modificato con l’introduzione di limitazioni nel trattamento (Art. 18).

Articolo 6 - Liceità del trattamento[30]

modifica

Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

  1. l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
  2. il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;
  3. il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
  4. il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;
  5. il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  6. il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.

Articolo 7 - Condizioni per il consenso[31]

modifica
  1. qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali;
  2. se il consenso dell'interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante;
  3. l'interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l'interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato;
  4. nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l'eventualità, tra le altre, che l'esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all'esecuzione di tale contratto.

Nota bene
Il regolamento non prescrive la forma né dell'informativa né del consenso che, quindi, possono anche essere orali (come succede per i contratti conclusi verbalmente, ad esempio con gli operatori telefonici, oppure quando si prenota telefonicamente un esame medico). Oppure possono essere in forma materializzata (cartello, etichetta, etc.) che è una modalità documentata specifica. Dovendo però essere verificabile, sta al titolare dimostrare (con la modalità ritenuta più opportuna) di aver proceduto correttamente. Per i dati particolari, invece, il consenso deve essere esplicito il che indica una modalità espressiva manifesta, un'azione positiva (dichiarazione scritta, dichiarazione verbale acquisita da un assistente vocale, procedura telematica con doppio passaggio di verifica, firma digitale, invio di firma autografa scansionata, compilazione modulo digitale, digitazione tasto richiesto, sessione registrata di teleconferenza, ecc.[32]). Ovviamente, i grandi operatori utilizzano quasi esclusivamente modalità digitalizzate per attuare le disposizioni privacy.

I dati personali devo inoltre essere:

  • trattati in modo lecito, corretto e trasparente nei confronti dell'interessato senza rischiare di essere fraintendibile;
  • raccolti per un determinato fine e in maniera esplicita. Non possono dunque essere usati per scopi diversi da quello iniziale, ad eccezione di ricerca scientifica, storica o fini statistici;
  • adeguati e minimizzati al necessario;
  • aggiornati costantemente e rettificati se inesatti;
  • conservati limitatamente al tempo necessario e non più, ad eccezione di ricerca scientifica, storica o fini statistici;
  • trattati in maniera adeguata garantendo sicurezza e protezione attraverso misure tecniche e organizzative adeguate.

Informativa

modifica

Il regolamento Europeo prevede che il titolare debba fornire agli interessati, prima del trattamento, le informazioni sulle finalità e le modalità dei trattamenti operati dal titolare del trattamento. L'informativa ai sensi dell'Art.13 e dell'Art.14 del regolamento disciplina due diversi casi: dati raccolti presso l'interessato (Art.13) e dati raccolti presso altri soggetti (Art.14). I due articoli si differenziano per il periodo entro cui le informazioni vengono fornite, le categorie dei dati e la fonte da cui hanno origine i dati.

Il regolamento prescrive che l'informativa sia "concisa, trasparente, comprensibile": ciò comporta che i singoli trattamenti delle diverse categorie di dati devono essere descritti specificatamente, non genericamente. Maggiore è la criticità di un dato personale (si pensi al codice fiscale o alla foto o al numero e scadenza della carta d'identità o la targa di un mezzo di proprietà, etc) maggiore deve essere l'accuratezza delle informazioni fornite.


Articolo 13 - Dati raccolti presso l'interessato

modifica

Il punto 1 dispone che, nel caso di dati raccolti presso l'interessato, il titolare del trattamento fornisce all'interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:

  • l'identità e i dati di contatto del titolare del trattamento e, se società estera, anche del rappresentante;
  • i dati di contatto del responsabile della protezione dei dati (indirizzo e-mail, indirizzo fisico);
  • le finalità del trattamento cui sono destinati i dati personali, nonché la base giuridica del trattamento;
  • qualora il trattamento si basa sull'Art.6 paragrafo 1 lettera f, i legittimi interessati perseguiti dal titolare del trattamento o da terzi;
  • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  • ove applicabile, l'intenzione del titolare di trasferire dati personali a un paese terzo o a un'organizzazione Internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della commissione.

Il punto 2 dispone che in aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare fornisce le seguenti ulteriori informazioni:

  • il periodo di conservazione oppure i criteri utilizzati per determinare tale periodo;
  • l'esistenza del diritto dell'interessato di chiedere l'accesso ai dati personali, la rettifica, la cancellazione, la limitazione del trattamento;
  • se la base giuridica del trattamento è il consenso, lo si può revocare;
  • diritto di proporre reclamo al garante della privacy;
  • se la comunicazione dei dati è un obbligo legale o contrattuale o un requisito per la conclusione di un contratto, e se l'interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
  • l'esistenza di un processo decisionale automatizzato, compresa la profilazione.

Articolo 14 - Dati raccolti presso altri soggetti

modifica
  1. Nel caso in cui i dati non siano raccolti direttamente presso l'interessato, il comma 3 dispone che le informazioni vanno fornite entro un termine ragionevole dall'ottenimento dei dati personali, ma al più tardi entro un mese;
  2. Nel caso in cui i dati personali siano destinati alla comunicazione con l'interessato, al più gradi al momento della prima comunicazione all'interessato;
  3. Nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali.

Diritto di accesso dell'interessato

modifica

L'Art.15 GDPR riguarda il diritto ad avere conferme dell'esistenza di dati, il diritto a conoscere tutte le informazioni che riguardano i dati e il diritto ad avere copia dei dati. L'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle seguenti informazioni: le finalità del trattamento; le categorie di dati personali; i destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi Terzi; il periodo di conservazione dei dati previsto o i criteri utilizzati per determinare tale periodo; il diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali; il diritto di proporre reclamo ad un'autorità di controllo. In particolare :

Il punto 1 dispone che l'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle seguenti informazioni:

  • le finalità del trattamento;
  • le categorie di dati personali in questione;
  • i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
  • quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  • l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
  • il diritto di proporre reclamo a un'autorità di controllo;
  • qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine;
  • l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4,(GDPR art.22) e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.

Il punto 2 dispone che qualora i dati personali siano trasferiti a un paese terzo o a un'organizzazione internazionale, l'interessato ha il diritto di essere informato dell'esistenza di garanzie adeguate ai sensi dell'articolo 46 (GDPR art.46)relative al trasferimento.

Il punto 3 dispone che il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall'interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l'interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell'interessato, le informazioni sono fornite in un formato elettronico di uso comune.

Il punto 4 dispone il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui.

Sicurezza dei dati

modifica

L'articolo 32 riguarda la sicurezza dei dati raccolti. In particolare quest'ultima è garantita dal titolare del trattamento e dal responsabile del trattamento chiamati a mettere in atto misure tecniche e organizzative idonee per garantire un livello di sicurezza adeguato al rischio. A tal fine il titolare e il responsabile del trattamento garantiscono che chiunque acceda ai dati raccolti lo faccia nel rispetto dei poteri da loro conferiti e dopo essere stato appositamente istruito, salvo che lo richieda il diritto dell'Unione o degli Stati membri (GDPR art 32). A garanzia dell’interessato il Regolamento UE 2016/679 regolamenta anche il caso di trasferimento dei dati personali verso un paese terzo o un'organizzazione internazionale (Articolo 44 e ss) e prevede che l’interessato venga prontamente informato in presenza di una violazione che metta a rischio i suoi diritti e le sue libertà (GDPR art 33).[33]

Responsabile per la protezione dei dati ("DPO", Data Protection Officer)

modifica

Qualora l'elaborazione sia effettuata da un'autorità pubblica, fatto salvo per le corti o le autorità giudiziarie indipendenti agenti nella loro competenza giudiziaria, o qualora, nel settore privato, l'elaborazione sia effettuata da un controllore le cui attività principali consistono di operazioni di elaborazione che richiedono un monitoraggio regolare e sistematico dei soggetti dei dati, una persona esperta di legislazione e pratiche relative alla protezione dei dati deve assistere colui che li controlla o li gestisce al fine di verificare l'osservanza interna al regolamento.

Il Responsabile per la Protezione dei Dati (Data Protection Officer, talora indicato anche con l'acronimo italiano RPD, per "responsabile protezione dati") è una figura che deve possedere una buona padronanza dei processi informatici, della sicurezza dei dati (inclusa la gestione dei cyber-attacchi) e di altre questioni di coerenza aziendale riguardanti il mantenimento e l'elaborazione di dati personali e sensibili. Ricorda molto l'ODV (Organismo Di Vigilanza) della legge n. 231 del 2001 sulla responsabilità penale delle persone giuridiche e il responsabile anticorruzioni per la sua autonomia, indipendenza e assenza di conflitti di interesse.

L'insieme di competenze richieste si estende al di là della comprensione dell'osservanza di leggi e regolamenti sulla protezione dei dati. Il monitoraggio dei Data Protection Officer è onere del regolatore e non del Consiglio di amministrazione dell'organizzazione. La nomina di un Responsabile per la Protezione dei Dati all'interno di una grande organizzazione pone in gioco una moltitudine di questioni legate alla governance e a fattori umani. Inoltre, chi detiene l'incarico dovrà creare un proprio team di supporto e sarà anche responsabile del proprio sviluppo professionale continuativo, dal momento che, come "mini-regolatore" ad ogni effetto, dovrà essere indipendente.

Misure tecniche di sicurezza suggerite

modifica

Le misure per garantire la sicurezza dei dati personali sono presentate nell'art. 32 il quale cita:

1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali (che in generale sono realizzabili anche con il data masking);

b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

3. L'adesione a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri.

Riassumendo il responsabile e il titolare del trattamento hanno l'onere di dimostrare la conformità dei sistemi al regolamento europeo. Possono aderire a codici di condotta, oppure della certificazione di conformità. La certificazione non riduce la responsabilità del titolare del trattamento o del responsabile, né i poteri e compiti delle authority (art. 42, par. 4), ed ha durata massima di cinque anni (art. 43, par.4).

Codici di condotta e certificazione

modifica

Il Regolamento generale sulla protezione dei dati consente alle associazioni o ad altri organismi di categoria di elaborare un codice di condotta cui i loro membri possono aderire su base volontaria. Questi codici di condotta devono essere preventivamente approvati dall'Autorità Garante per la Protezione dei Dati Personali e devono essere registrati e resi pubblicamente accessibili. Nel caso in cui il trattamento dei dati interessi più di uno Stato membro, il codice deve essere sottoposto all'approvazione di un comitato di coordinamento delle autorità dei Paesi coinvolti.

L'Autorità Garante per la Protezione dei Dati Personali accredita e revoca gli organismi che possono verificare la conformità dei sistemi di trattamento dei dati personali ai codici di condotta. La valutazione tiene conto del grado di competenza, del grado di indipendenza e dell'assenza di conflitti di interessi degli organismi. Inoltre, l'Autorità Garante per la Protezione dei Dati Personali e un organismo nazionale di accreditamento hanno il compito di accreditare o revocare gli organismi di certificazione che verificano la conformità del trattamento dei dati personali al GDPR. I requisiti per gli organismi di certificazione sono gli stessi previsti per gli organismi che eseguono la valutazione di conformità dei codici di condotta al regolamento europeo.

Ad esempio, un'associazione di commercianti al dettaglio può elaborare un codice di condotta per la gestione dei dati personali dei propri clienti, che include regole riguardanti la raccolta, l'elaborazione e la conservazione dei dati personali. Questo codice deve essere sottoposto all'approvazione dell'Autorità Garante per la Protezione dei Dati Personali e una volta approvato, gli associati possono aderirvi su base volontaria.

In generale, i codici di condotta e le certificazioni rappresentano un'ulteriore garanzia per i cittadini riguardo la protezione dei loro dati personali, poiché dimostrano che le organizzazioni che aderiscono a tali codici o che hanno ottenuto una certificazione hanno implementato delle misure specifiche per garantire la conformità con il GDPR.

Sanzioni

modifica

Ai sensi dell’articolo 58 del GDPR ogni autorità di controllo ha i seguenti poteri correttivi:

  • rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento in ordine alle presunte violazioni delle disposizioni del regolamento;
  • rivolgere ammonimenti quando i trattamenti abbiano violato le relative disposizioni;
  • ingiungere al titolare o al responsabile del trattamento di soddisfare le richieste dell’interessato ad esercitare i propri diritti
  • ingiungere al titolare o al responsabile del trattamento di rendere conformi i trattamenti alle disposizioni del regolamento;
  • ordinare la rettifica, la cancellazione dei dati personali o la limitazione del trattamento.

In aggiunta, o in luogo, alle suddette misure, ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte ai sensi dell’articolo 83 siano in ogni singolo caso effettive, proporzionate e dissuasive.

Nel decidere se infliggere una sanzione amministrativa pecuniaria e di fissarne l’ammontare, è necessario tener conto di alcuni elementi, tra i quali i seguenti:

  • la natura, la gravità e la durata della violazione;
  • il carattere doloso o colposo della violazione;
  • il grado di responsabilità del titolare del trattamento o del responsabile del trattamento;
  • le categorie dei dati personali interessate alla violazione;
  • eventuali altri fattori aggravanti o attenuanti.

La violazione delle disposizioni è soggetta alle seguenti sanzioni:

  • la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 di euro, o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore (articolo 83, paragrafo 4):
    • gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;
    • gli obblighi dell'organismo di certificazione a norma degli articoli 42 e 43;
    • gli obblighi dell'organismo di controllo a norma dell'articolo 41, paragrafo 4;
  • la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 di euro, o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore (articolo 83, paragrafo 5 e 6):
    • i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
    • i diritti degli interessati a norma degli articoli da 12 a 22;
    • i trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale a norma degli articoli da 44 a 49;
    • qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
    • l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione dell'articolo 58, paragrafo 1.

Ai sensi dell’articolo 84 gli Stati membri dell’Unione europea stabiliscono le norme relative alle altre sanzioni per le violazioni del regolamento e adottano tutti i provvedimenti necessari per assicurarne l’applicazione; tali sanzioni devono essere effettive, proporzionate e dissuasive.

Trattamento di categorie particolari (sensibili) di dati personali

modifica

È vietato trattare i dati personali particolari precedentemente elencati, eccetto in specifiche condizioni (art. 9):

  • l'interessato ha prestato il proprio consenso esplicito
  • il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale
  • il trattamento è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica
  • l trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali
  • il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato
  • il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria
  • il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri
  • il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale
  • il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica
  • il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici sulla base del diritto dell'Unione o nazionale

Dati sanitari, genetici, biometrici

modifica

Nel regolamento GDPR i dati idonei a rivelare lo stato di salute o la vita sessuale rientrano nelle "categorie particolari di dati personali" (art. 9).

Il codice della privacy italiano, fra i compiti di "rilevante interesse pubblico" del Servizio sanitario nazionale, identifica (art. 85) le attività di:

  • programmazione, gestione, controllo e valutazione dell'assistenza sanitaria,
  • vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all'immissione in commercio e all'importazione di medicinali e di altri prodotti rilevanti di rilevanza sanitaria.

Se necessario ai sensi del codice o di altra disposizione di legge, il consenso dell'interessato al trattamento dei dati personali può essere manifestato anche a voce in un'unica dichiarazione (art. 81). Per finalità di ricerca medica, biomedica ed epidemiologica previsti dalla legge e approvati dall'autorità Garante non è necessario il consenso dell'interessato, che ha diritto a far aggiungere correzioni e rettifiche se ciò non produce effetti significativi sul risultato della ricerca (art. 110). I dati possono essere resi noti all'interessato solo per il tramite di un medico designato dall'interessato o dal titolare (art. 84).

Violazione dei dati ("Data Breach") art. 33 e art. 34

modifica

La violazione dei dati personali, nota anche come Data Breach, è una violazione di sicurezza che può verificarsi accidentalmente o in modo illecito e che può comportare la distribuzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati. Questo tipo di evento può essere causato da una vasta gamma di fattori, come ad esempio attacchi informatici dolosi, incidenti accidentali come una calamità naturale o la semplice perdita di una chiavetta USB.

Il titolare del trattamento dei dati ha l'obbligo legale di rendere noti i Data Breach all'autorità nazionale e di comunicarli entro 72 ore dal momento in cui ne viene a conoscenza.

Inoltre, il titolare del trattamento deve anche fornire un resoconto dettagliato del Data Breach, che deve includere almeno le informazioni descritte nell'Art. 33 del GDPR, come la descrizione della natura del Data Breach, ove possibile, delle categorie e del numero approssimativo di interessati e di registrazioni dei dati personali coinvolte, il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto per ottenere ulteriori informazioni, la descrizione delle probabili conseguenze del Data Breach e la descrizione delle misure adottate o proposte per porre rimedio al Data Breach e per attenuarne gli eventuali effetti negativi.

L'Articolo 34, invece, stabilisce che i titolari del trattamento debbano notificare tempestivamente all'interessato qualsiasi violazione dei dati personali che abbia delle conseguenze gravi per i suoi diritti e libertà.

La notifica delle violazioni dei dati è importante perché consente alle autorità di controllo di valutare la gravità della violazione e di adottare eventuali misure di protezione dei diritti degli interessati, e consente anche agli interessati di adottare le opportune misure per proteggere i propri dati personali.

Inoltre, è importante sottolineare che la violazione dei dati personali può avere conseguenze negative non solo per gli interessati, ma anche per il titolare del trattamento, tra cui sanzioni amministrative, danni alla reputazione e perdite finanziarie. Pertanto, è fondamentale che i titolari del trattamento prendano le necessarie misure di sicurezza per prevenire e gestire eventuali Data Breach. Questo può includere la formazione del personale, la creazione di procedure di gestione degli incidenti e l'adozione di tecnologie avanzate per la protezione dei dati.

Valutazione dell'impatto sulla protezione dei dati

La valutazione d’impatto sulla protezione dei dati (DPIA, acronimo di “Data Protection Impact Assessment”) è un processo che il titolare del trattamento deve effettuare (preventivamente) quando un tipo di trattamento, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche (art. 35 GDPR).

In pratica, la DPIA è la valutazione (identificazione, analisi, ponderazione) del rischio integrata dalle misure di contenimento relative.

In particolare la DPIA va eseguita nei seguenti casi:

  1. Trattamenti valutativi e di scoring, incluse la profilazione ed attività predittive.
  2. Decisioni automatizzate con effetti giuridici o similmente significativi.
  3. Monitoraggio sistematico: trattamenti utilizzati per osservare, monitorare o controllare gli interessati, compresa la raccolta di dati attraverso reti o “la sorveglianza sistematica di un’area accessibile al pubblico” (articolo 35, paragrafo 3, lettera c) ).
  4. Trattamento di Dati Sensibili o strettamente personali.
  5. Trattamenti di dati su larga scala
  6. I dati relativi ad interessati vulnerabili quali, per esempio, i minori
  7. L’uso innovativo o l’applicazione di soluzioni tecnologiche o organizzative

La valutazione consiste nell'analisi più accurata condotta in via anticipata, ovvero prima di procedere al trattamento dei dati, del trattamento in questione e dei possibili rischi connessi ad esso.

Diritto alla cancellazione, limitazione e rettifica

modifica

Articolo 16- Diritto di rettifica

L'interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l'interessato ha il diritto di ottenere l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

Articolo 17- Diritto alla cancellazione

1. L'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:

a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;

b) l'interessato revoca il consenso su cui si basa il trattamento;

c) l'interessato si oppone al trattamento ai sensi dell'articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell'articolo 21, paragrafo 2;

d) i dati personali sono stati trattati illecitamente;

e) i dati personali devono essere cancellati per adempiere un obbligo giuridico previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento;

f) i dati personali sono stati raccolti relativamente all'offerta di servizi della società dell'informazione di cui all'articolo 8, paragrafo 1.

2. Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell'interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.

3. I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario:

a) per l'esercizio del diritto alla libertà di espressione e di informazione;

b) per l'adempimento di un obbligo giuridico che richieda il trattamento previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri di cui è investito il titolare del trattamento; (1)

c) per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell'articolo 9, paragrafo 2, lettere h) e i), e dell'articolo 9, paragrafo 3;

d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all'articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; o

e) per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.

Articolo 18-Diritto di limitazione di trattamento

1. L'interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:

a) l'interessato contesta l'esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l'esattezza di tali dati personali;

b) il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l'utilizzo;

c) benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all'interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria;

d) l'interessato si è opposto al trattamento ai sensi dell'articolo 21, paragrafo 1, in attesa della verifica in merito all'eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell'interessato.

2. Se il trattamento è limitato a norma del paragrafo 1, tali dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell'interessato o per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un'altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell'Unione o di uno Stato membro.

3. L'interessato che ha ottenuto la limitazione del trattamento a norma del paragrafo 1 è informato dal titolare del trattamento prima che detta limitazione sia revocata.

Articolo 19-Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento

Il titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate a norma dell'articolo 16, dell'articolo 17, paragrafo 1, e dell'articolo 18, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il titolare del trattamento comunica all'interessato tali destinatari qualora l'interessato lo richieda.

Portabilità dei dati

modifica

Il diritto alla portabilità è sancito dall'articolo 20: "L'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti".

Una persona deve essere in grado quindi di trasferire i propri dati personali da un sistema di elaborazione elettronico ad un altro senza impedimenti. Inoltre, i dati devono essere forniti dal controllore in un formato leggibile da un elaboratore di dati e in nessun modo di tipo cartaceo. Non ci sono indicazioni sul formato ma un documento come un PDF non è sufficiente non essendo elaborabile. Quando una persona decide di esercitare il diritto alla portabilità, il titolare interpellato deve adempiere a quanto richiesto in tempi ragionevoli in base al contesto e alla specifica situazione (in generale entro un mese dalla richiesta). Gli esperti legali vedono nella versione finale di questa misura la creazione di un "nuovo diritto" che "si estende oltre l'ambito della portabilità dei dati tra due controllori, così come stipulato dall'Articolo 18".[34]

L'obiettivo di questo diritto è di agevolare il passaggio e lo scambio di dati evitando fenomeni di lock-in tecnologici e promuovendo la libera circolazione dei dati stimolando la concorrenza tra i titolari del trattamento. Questi dati devono rispettare delle condizioni affinché il diritto possa essere esercitato: devono essere "dati personali" e non anonimi. Questi dati devono essere stati forniti consapevolmente e in modo attivo dall'interessato. Il diritto si estende anche ai dati generati dalle attività dell'interessato come i dati di localizzazione, storia delle ricerche, ecc.). Non sono compresi invece i dati generati dal titolare sulla base dei dati raccolti o ottenuti da terze parti. Può capitare che, come nel caso dei gestori di telefonia, i dati personali dell'interessato siano collegati a dati di terzi (come i numeri dei contatti telefonici), in questo caso l'interessato ha il diritto di riceverli, ma se dovesse trasferirli ad altro fornitore, quest'ultimo avrebbe l'obbligo di non processare tali dati di terzi.

Trasferimento di dati all'estero

modifica

Mentre la circolazione dei dati all’interno dell’SEE è libera, i trasferimenti al di fuori di esso non sono generalmente autorizzati, a meno che non intervengano specifiche garanzie: il paese destinatario deve garantire, infatti, un adeguato livello di sicurezza (GDPR Art. 45) definito dalla Commissione Europea. Le decisioni di adeguatezza sono strumenti vincolanti per i paesi dell'Unione, e in base ad esse è ammesso il trasferimento di dati verso il paese indicato. Le decisioni di adeguatezza possono essere modificate, sospese o revocate, se risulta che il paese terzo non soddisfi più i criteri necessari. L'EDPD ha il compito di fornire un parere in materia alla commissione.

In mancanza di una decisione di adeguatezza, è ammesso il trasferimento o un complesso di trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale soltanto se si verifica una delle seguenti condizioni (GDPR Art. 49): consenso dell’interessato, trasferimento necessario all’esecuzione, conclusione di un contratto, importanti motivi di interesse pubblico, accertamento, esercitazione o difesa di un diritto in sede giudiziaria, tutela di interessi vitali dell’interessato.

Norme vincolanti d'impresa

modifica

Le norme vincolanti d'impresa sono da considerarsi all'interno delle garanzie che possono permettere il trasferimento di dati all'esterno dell'SEE. Il meccanismo di funzionamento e le condizioni necessarie per il trasferimento dei dati in forza di queste norme viene espresso in maniera approfondita nell'articolo 47 del GDPR.

Queste norme sono state create per rendere più semplice la gestione amministrativa di società che fanno capo ad uno stesso gruppo con sedi dislocate in diversi Paesi, in particolare paesi esterni allo spazio economico europeo. Viene così data la possibilità, alle società facenti parte di uno stesso gruppo, di trasferire dati personali senza l'obbligo di rispettare tutti gli adempimenti altrimenti richiesti(Art.45,Art.49). Le norme vincolanti d’impresa vengono concretizzate attraverso un documento in cui sono inclusi principi, clausole, garanzie e regole di condotta che è necessario rispettare nel caso di trasferimenti di dati personali all'interno di una o più società dello stesso gruppo aziendale.

All'interno del primo paragrafo dell'art. 47 del GDPR viene esplicitato il ruolo dell'autorità competente, ovvero quello di approvare o no le Binding Corporate Rules, con la condizione che siano conformi al principio di coerenza dell'art.63. Per quanto concerne i diritti dei soggetti interessati al trattamento dei dati, le norme vincolanti d’impresa garantiscono all’interessato:

  • Di non venire sottoposto a decisioni basate esclusivamente su di un trattamento automatizzato (paragrafo 2 lett.e dell'art.47 GDPR).
  • Il diritto di fare un reclamo presso l’autorità di controllo competente e di venire tutelato presso le autorità giurisdizionali competenti degli Stati Europei (paragrafo 2 lett.i dell'art.47 GDPR).
  • Il diritto di ricevere una riparazione ed un risarcimento nel caso di una violazione delle Binding Corporate Rules (paragrafo 2 lett.e dell'art.47 GDPR).

In merito alla responsabilità del titolare e/o del responsabile del trattamento dei dati, le norme in questione definiscono al paragrafo 2 lett.f dell'art.47 GDPR che:

  • Il titolare o il responsabile del trattamento si faccia carico di qualunque violazione delle norme vincolanti d'impresa commesse da un membro interessato non stabilito in uno dei Paesi dell'Unione Europea.
  • La mancata responsabilità, totale o parziale, del titolare e/o del responsabile è presente solo se quest'ultimo è capace di dimostrare che l'evento dannoso non è stato causato dal soggetto in questione.

Il gruppo di imprese che svolge il trattamento deve garantire una verifica di conformità alle norme vincolanti d'impresa; per fare ciò deve svolgere delle verifiche sui metodi utilizzati per la protezione dei dati e deve assicurare dei provvedimenti correttivi in caso il trattamento non sia conforme alle norme. Inoltre i risultati ottenuti dalle verifiche effettuate dovrebbero essere comunicati agli interessati del trattamento dei dati ed all'organo amministrativo dell'impresa; e dovrebbero essere forniti all'autorità di controllo competente se quest'ultima li richiedesse.

Per quanto riguarda la Commissione, essa in merito al trattamento dei dati ha la possibilità di specificare il formato e le procedure con cui titolari del trattamento, responsabili del trattamento e autorità di controllo possano scambiarsi informazioni in maniera adeguata circa le norme vincolanti d'impresa.

Cronologia

modifica

La sequenza temporale che ha condotto all'adozione del Regolamento GDPR è la seguente:

  • 21 ottobre 2013: il Comitato del Parlamento Europeo su Libertà Civili, Giustizia e Affari Interni (LIBE) dà il proprio voto di orientamento.
  • 15 dicembre 2015: le trattative tra il Parlamento Europeo, il Consiglio e la Commissione risultano in una proposta congiunta.
  • 17 dicembre 2015: il LIBE dà il proprio voto positivo al risultato delle trattative nel dialogo a tre.
  • 8 aprile 2016: adozione da parte del Consiglio dell'Unione Europea.[35]
  • 14 aprile 2016: adozione da parte del Parlamento Europeo.[36]
  • 4 maggio 2016: il regolamento entra in vigore, 20 giorni dopo la sua pubblicazione sulla rivista ufficiale dell'UE.[37]
  • 25 maggio 2018: le disposizioni del GDPR sono direttamente applicabili in tutti gli stati membri.[37]

Dispute e tensioni

modifica

La proposta di un nuovo regolamento ha dato vita a molte discussioni e controversie. Sono stati proposti migliaia di emendamenti.[38] Si supponeva che l'insieme unico di regole e la rimozione di requisiti amministrativi risultassero in un risparmio economico, ma i critici hanno sollevato queste obiezioni:

  • La richiesta di avere un funzionario per la protezione dei dati è nuova per molte nazioni europee ed è stata criticata da alcune per il carico amministrativo.
  • Nel testo si parla di imprese (indipendentemente dalla forma giuridica, ivi comprese le ditte individuali) o di enti pubblici ma non (esplicitamente) di associazioni non a carattere economico; tuttavia la giurisprudenza è orientata a considerare anche queste come soggetti che devono implementare il regolamento.
  • Il GDPR è stato sviluppato con un'attenzione particolare per i social network e i provider di servizi cloud, ma non ha preso in sufficiente considerazione i requisiti per il trattamento dei dati dei lavoratori.
  • La portabilità dei dati non è vista come un aspetto fondamentale per la protezione dei dati, ma più come un requisito funzionale per i social network e i provider di servizi cloud.
  • Sfide linguistiche e di personale per le autorità di protezione dei dati:
    • Le imprese extraeuropee potrebbero preferire le DPA britanniche o irlandesi in virtù della lingua inglese. Questo implicherà l'uso di ampie risorse in quei paesi.
    • I cittadini europei non avranno più una singola DPA da contattare per i propri problemi, ma dovranno rivolgersi alla DPA scelta dall'azienda coinvolta. Ci si possono aspettare problemi di comunicazione a causa delle lingue straniere.
  • Il nuovo regolamento è in conflitto con altre leggi, regolamentazioni e prassi non europee (ad esempio la sorveglianza da parte dei governi). Le imprese in tali paesi non andrebbero più considerate accettabili per la gestione dei dati personali nell'UE.
  • Le problematiche maggiori potrebbero riguardare la messa in pratica del GDPR:
    • L'implementazione del GDPR europeo richiederà un sostanziale cambiamento nelle pratiche commerciali per quelle imprese che non avevano implementato un livello confrontabile di privacy prima che il regolamento entrasse in vigore (soprattutto le imprese extraeuropee che trattano dati personali europei).
    • Vi è già a tutt'oggi una carenza di esperti sulla privacy e i nuovi requisiti potrebbero peggiorare la situazione. Pertanto, la formazione nella protezione dei dati sarà un fattore cruciale per il successo del GDPR.
    • La Commissione Europea e le DPA devono fornire risorse e poteri sufficienti per mettere in atto l'implementazione ed è necessario raggiungere un accordo su un livello uniforme di protezione dei dati da parte di tutte le DPA europee, poiché una interpretazione diversa del regolamento può comunque portare a livelli di privacy differenti.
  • Il GDPR rappresenta una contromisura alle preoccupazioni sulla privacy, ma allo stesso tempo può incentivare l'uso, la raccolta e il commercio dei dati comportamentali degli utenti[39]. Il GDPR quindi non impedisce le pratiche non etiche delle aziende che sfruttano lo status di res nullius dei dati degli utenti e utilizzano i dati degli utenti negli algoritmi predittivi per manipolare il comportamento, le preferenze di voto e le scelte di consumo degli individui[40].

Altre norme correlate

modifica

Il GDPR è integrato da altre norme UE che ne ampliano o limitano la portata. In pratica norme specifiche correlate allo schema base. Di seguito alcuni esempi.

  • Direttiva UE 2016/680. In aggiunta al GDPR, è applicata una disciplina speciale e in parte derogatrice per i trattamenti dei dati da parte dell'Autorità Giudiziaria e di tutte le forze di polizia; in ragione della caratteristica dell'istituto della direttiva europea tali trattamenti dei dati (Autorità Giudiziaria e forze di polizia) continueranno ad essere differenti da Stato a Stato ed oggetto di una legislazione separata nazionale.[41]
  • Direttiva UE 2016/681. La norma regolamenta l'uso delle informazioni relative al codice di prenotazione (PNR) rilasciato dalle compagnie aeree[42].
  • Direttiva 2002/58/CE. Conosciuta anche come direttiva ePrivacy[43]. Questa norma disciplina il trattamento dei dati personali e la tutela della vita privata nel settore delle comunicazioni elettroniche. La norma è in fase di revisione e dovrebbe diventare un regolamento (regolamento UE ePrivacy[44]).
  • Regolamento UE 2554/2022 “Digital Operational Resilience Act” (DORA) che prescrive criteri e strumenti a difesa della resilienza del settore finanziario.

Impatto

modifica

L'impatto del GDPR è tuttavia abbastanza limitato nei primi anni dell'adozione per poi iniziare a migliorare la tutela della privacy dei soggetti. Uno studio[45] pubblicato nel novembre 2019 dimostra che il numero dei reclami inviati all'APD (Autorità Protezione Dati) nel 2018 era di appena 3 per 10.000 abitanti. I casi di 24 Paesi sono stati analizzati e le statistiche rivelano grandi differenze: da 0,17 reclami per 10.000 abitanti a 8,6 in Irlanda. In alcuni stati (Grecia, Islanda) il numero dei reclami è persino diminuito nel 2018, evocando dubbi a proposito dell'impatto del regolamento.

Tra le aziende ed enti oggetti di provvedimento da parte del garante nei primi mesi del 2021 si ricordano l'INPS[46], TikTok[47] e diversi enti sanitari[48][49][50].

  1. ^ La sigla RGPD è quella adottata dal Garante per la Protezione dei Dati Personali (https://www.garanteprivacy.it/regolamentoue/formazione/) e dai Portali UE (https://europa.eu/youreurope/business/dealing-with-customers/data-protection/data-protection-gdpr/index_it.htm).
  2. ^ GDPR o RGPD?, su Italofonia.info, 22 maggio 2018. URL consultato il 2 aprile 2020.
  3. ^ Elio Errichiello, Cos'è il GDPR? | Regolamento generale sulla protezione dei dati - Data Protection Law | Privacy e protezione dati personali, in Data Protection Law | Privacy e protezione dati personali. URL consultato il 2 aprile 2020.
  4. ^ Consiglio dell'Unione europea, Testo di compromesso. (PDF), su Data.Consilium.Europa.eu, 11 giugno 2015. URL consultato il 2 aprile 2020.
    «"Diversi orientamenti generali parziali hanno consentito una convergenza di vedute in sede di Consiglio sulla proposta concernente un regolamento generale sulla protezione dei dati nella sua integralità."»
  5. ^ Protezione dei dati di carattere personale - EUR-Lex, su EUR.Lex.Europa.eu. URL consultato il 2 aprile 2020.
  6. ^ Questo è avvenuto successivamente al 25 maggio 2018 ovvero a settembre 2018 con l'entrata in vigore del d. lgs. 101/2018 che ha recepito formalmente il GDPR nella legislazione italiana, novellando il codice 196/2003.
  7. ^ Cosa devo fare in caso di data breach?, su privacylab.it, 2 settembre 2020.
  8. ^ Le sanzioni privacy nel nuovo regolamento europeo, in PRIVACY NEWS Studio Legale SIB. URL consultato il 15 ottobre 2016 (archiviato dall'url originale il 18 ottobre 2016).
  9. ^ Article 83 (5) of The Council's first reading after the trilogue sets maximum fines to be the highest of 4% of global turnover and 20 million Euro.
  10. ^ "Inofficial consolidated version GDPR" Archiviato il 31 dicembre 2013 in Internet Archive..
  11. ^ Proposal for the EU General Data Protection Regulation
  12. ^ Euractiv Archiviato il 9 giugno 2012 in Internet Archive.
  13. ^ Corriere delle comunicazioni
  14. ^ https://protezionedatipersonali.it/privacy-by-design-e-by-default
  15. ^ Sui testi relativi al GDPR il riferimento ad un considerando è abbreviato "cons".
  16. ^ DECRETO LEGISLATIVO 18 maggio 2018, n. 51, su gazzettaufficiale.it. URL consultato il 6 gennaio 2020.
  17. ^ European Commission’s press release announcing the proposed comprehensive reform of data protection rules. 25 January 2012.
  18. ^ Cons. 14.
  19. ^ https://protezionedatipersonali.it/trattamento-dei-dati
  20. ^ Il nuovo Regolamento 2016/679 GDPR - Data Protection Law | Privacy e protezione dati personali, in Data Protection Law | Privacy e protezione dati personali. URL consultato il 9 maggio 2018.
  21. ^ https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_it
  22. ^ Però, non sono (insieme) identificatori diretti perché potrebbero esserci più omonimi nati nello stesso giorno.
  23. ^ Tuttavia il Garante Privacy italiano ha implicitamente stabilito, tramite il provvedimento del giugno 2022 su Google Analytics (GA3), che l'IP (usato per navigare sul web) è sempre un dato personale.
  24. ^ The Proposed EU General Data Protection Regulation.
  25. ^ "GDPR proposal"
  26. ^ Si noti che per la definizione del regolamento UE, a differenza della previgente L. 196 italiana, il responsabile è un soggetto solo esterno.
  27. ^ https://www.garanteprivacy.it/Regolamentoue/titolare-responsabile-incaricato-del-trattamento
  28. ^ A differenza della previgente legge italiana.
  29. ^ "How the Proposed EU Data Protection Regulation Is Creating a Ripple Effect Worldwide".
  30. ^ Articolo 6 EU RGPD - "Liceità del trattamento", su privacy-regulation.eu. URL consultato l'11 dicembre 2020 (archiviato il 18 dicembre 2019).
  31. ^ Gazzetta ufficiale dell'Unione Europea, su privacy-regulation.eu.
  32. ^ https://www.cyberlaws.it/2018/dati-sensibili-gdpr-nuovo-codice-privacy/
  33. ^ EUR-Lex - 32016R0679 - EN - EUR-Lex, su eur-lex.europa.eu. URL consultato il 15 gennaio 2017.
  34. ^ The Final European Union General Data Protection Regulation, by Cedric Burton, Laura De Boel, Christopher Kuner, Anna Pateraki, Sarah Cadiot and Sára G. Hoffman, Section II, 4, su bna.com, Bloomberg BNA, 12 febbraio 2016. URL consultato il 1º maggio 2016 (archiviato dall'url originale il 19 aprile 2016).
  35. ^ Data protection reform: Council adopts position at first reading
  36. ^ Data protection reform - Parliament approves new rules fit for the digital era
  37. ^ a b EU Official Journal issue L 119
  38. ^ Overview of amendments Archiviato il 17 luglio 2013 in Internet Archive..
  39. ^ Jane Andrew e Max Baker, The General Data Protection Regulation in the Age of Surveillance Capitalism, in Journal of Business Ethics, 2019, DOI:10.1007/s10551-019-04239-z.
  40. ^ Shoshanna Zuboff, The age of surveillance capitalism: the fight for the future at the new frontier of power., New York: Profile Books., 2019.
  41. ^ Commissione Europea - Fact Sheet. Domande e risposte sulla riforma della Data protection (in inglese), su europa.eu, European Commission, 21 dicembre 2015.
  42. ^ https://www.agendadigitale.eu/sicurezza/guglielmo-troiano-direttiva-680-e-681/
  43. ^ https://protezionedatipersonali.it/direttive-europee
  44. ^ https://protezionedatipersonali.it/regolamento-eprivacy
  45. ^ (EN) European GDPR statistics: evolution of the number of complaints per country, su IntoTheMinds, 29 novembre 2019. URL consultato il 24 dicembre 2019.
  46. ^ Caso bonus Covid: il Garante privacy sanziona l’Inps per 300mila euro. Ok ai controlli, ma con modalità a prova di privacy, su garanteprivacy.it:443. URL consultato il 14 marzo 2021.
  47. ^ Provvedimento dell, su garanteprivacy.it:443. URL consultato il 14 marzo 2021.
  48. ^ Ordinanza ingiunzione nei confronti di Azienda USL della Romagna - 27 gennaio 2021 [9544504], su garanteprivacy.it:443. URL consultato il 14 marzo 2021.
  49. ^ Ordinanza ingiunzione nei confronti di Azienda Ospedaliero Universitaria di Parma - 27 gennaio 2021 [9544092], su garanteprivacy.it:443. URL consultato il 14 marzo 2021.
  50. ^ Ordinanza ingiunzione nei confronti di Azienda Ospedaliero Universitaria Senese - 27 gennaio 2021 [9544457], su garanteprivacy.it:443. URL consultato il 14 marzo 2021.

Voci correlate

modifica

Altri progetti

modifica

Collegamenti esterni

modifica
Controllo di autoritàVIAF (EN24146824948007631105 · LCCN (ENno2017007011 · GND (DE1105568555 · J9U (ENHE987009828370505171