12 Mag Regolamento privacy: tabella riepilogativa dei punti di interesse per studi e aziende
Il Regolamento UE 2016/679 e l’apparato sanzionatorio
Il Regolamento UE 2016/679, più comunemente noto come GDPR, sarà pienamente operativo dal prossimo 25 maggio 2018, e si applicherà al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi2. Da notare che, in questo contesto, si parla di persone fisiche, per cui sono esclusi dall’applicazione del GDPR i dati sulle persone giuridiche.
Posto ciò, si evidenzia che sempre più spesso si assiste, con l’avvicinarsi dell’ora “X”, a soggetti che invitano ad adeguarsi alle nuove norme usando come spauracchio le sanzioni amministrative, che, a dire il vero, sono effettivamente molto alte, ma, l’articolo 83, GDPR – che per l’appunto prevede le sanzioni amministrative – va visto sotto un altro importante aspetto.
Infatti, la norma prevede che, al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa, in ogni singolo caso si terranno in debito conto i seguenti elementi:
1 Le considerazioni
2 Articolo 2, paragrafo 1, Regolamento UE 2016/679.
3 Ai sensi dell’articolo 83, GDPR, le sanzioni amministrative sono di 2 tipologie:
– fino a 10.000.000 euro, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore;
– fino a 20.000.000 euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
− la natura, la gravità e la durata della violazione, tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
− il carattere doloso o colposo della violazione;
− le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
− il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto;
− eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
− il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
− le categorie di dati personali interessate dalla violazione;
− la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
− qualora siano stati precedentemente disposti provvedimenti nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
− l’adesione ai codici di condotta approvati o ai meccanismi di certificazione approvati;
− eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.
Inoltre: il potere di applicare le sanzioni potrà essere esercitato in aggiunta agli altri poteri correttivi di cui all’articolo 58, paragrafo 2, Regolamento, che ammette anche solo avvertimenti e ammonimenti.
Quindi, pur alla luce dell’innegabile importanza dell’apparato sanzionatorio, si vuole porre l’attenzione sulla necessità per aziende e studi di essere GDPR compliant senza aver paura di sbagliare e di vedersi cadere la mannaia sul capo perché, soprattutto in questo momento in cui ci sono ancora molti punti da chiarire, se non ci sarà dolo o colpa e se il titolare del trattamento o il responsabile del trattamento avranno fatto il loro dovere, il Garante dovrà considerare anche il loro grado di responsabilità, tenendo conto delle misure tecniche e organizzative messe in atto e, in caso di errori o imprecisioni, potrà anche solo ammonirli e/o avvertirli.
Occorre, quindi, approcciarsi all’adeguamento al GDPR con serenità, senza però sconfinare nella leggerezza e sufficienza, diffidando da coloro che affermano a gran voce che basta “qualche carta da sistemare qua e là”, “aggiungere qualche dicitura all’informativa” d il gioco è fatto, promettendo miracoli immediati. Essere GDPR compliant significa iniziare un percorso di adeguamento serio e approfondito che non si può fermare a un intervento veloce ed effettuato una tantum.
Posto quanto sopra, si cercherà di sintetizzare in un riepuilogo dei punti principali a cui occorre porre attenzione per adeguarsi al nuovo Regolamento privacy.
Accountability/Responsabilizzazione
Il nuovo Regolamento si basa sulla responsabilizzazione del titolare del trattamento, per cui questi, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, deve mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR.
Da notare che è necessario che dette misure siano riesaminate e aggiornate qualora necessario.
Conseguentemente, l’onere della prova di essere GDPR compliant ricade sul titolare del trattamento.
Misure tecniche e organizzative adeguate.
Dalle misure minime di sicurezza a protezione dei dati del nostro Codice privacy (D.Lgs. 196/2003) si è passati alle misure “adeguate”, che dovranno essere valutate caso per caso dal titolare, seguendo gli orientamenti delle autorità nazionali e dal Comitato europeo per la protezione dei dati.
Chiaramente, le misure minime di sicurezza rappresentano per tutti la base da cui partire per migliorare la protezione dei propri dati.
Le categorie dei dati
Innanzitutto, i titolari del trattamento dovranno valutare le categorie di dati trattati facendo particolarmente attenzione ai dati sensibili, giudiziari, genetici e biometrici. Principi del trattamento
Sarà, inoltre, necessario tenere in considerazione i principi applicabili al trattamento dei dati, che sono:
liceità, corretta e trasparenza;
limitazione della finalità;
minimizzazione dei dati;
esattezza;
limitazione della conservazione;
integrità e riservatezza;
responsabilizzazione.
Liceità del trattamento
Dal 25 maggio 2018 è possibile trattare lecitamente i dati solo se:
l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore. L’informativa
Punto cruciale è l’informativa che, in caso di raccolta presso l’interessato, deve essere contestuale (nel momento in cui i dati siano ottenuti) e deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile.
Il contenuto è vincolato e, rispetto alla vecchia informativa del Codice privacy, vi sono alcune informazioni che prima non venivano date agli interessati, per cui diventa necessario fare un’integrazione anche per le informative già in nostro possesso o rifarle completamente.
Ad esempio, adesso occorre indicare obbligatoriamente il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo e indicare il diritto di proporre reclamo a un’autorità di controllo. Il consenso
Il consenso è diventato un principio di liceità del trattamento e deve sempre essere una manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso deve manifestare il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.
Il consenso può essere manifestato oralmente (ma va comunque documentato) o per iscritto, anche se il titolare deve sempre essere in grado di dimostrare che l’interessato abbia prestato il consenso a uno specifico trattamento.
Si veda articolo 13, GDPR.
Il consenso deve essere sempre esplicito per i dati c.d. sensibili e, in caso di consenso, a decisioni basate su trattamenti automatizzati, compresa la profilazione. I diritti degli interessati
Gli interessati hanno i seguenti diritti, che vanno specificati nell’informativa:
diritto di accesso;
rettifica;
diritto all’oblio che è il diritto ad essere dimenticati;
limitazione al trattamento;
portabilità dei dati
opposizione. Responsabile esterno del trattamento
Qualora un trattamento debba essere effettuato da un altro soggetto per conto del titolare del trattamento, questi va nominato responsabile esterno del trattamento e deve presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato.
I trattamenti da parte di un responsabile del trattamento devono essere disciplinati da un contratto o da altro atto giuridico che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Incaricati del trattamento
Nonostante il GDPR non nomini esplicitamente con tale termine gli incaricati del trattamento, in ogni azienda e negli studi vi sono sempre soggetti che hanno accesso ai dati e/o autorizzati al trattamento dei dati personali.
Tali soggetti non possono trattare tali dati se non sono istruiti in tal senso dal titolare del trattamento: la mancata formazione è sanzionata.
Il Data protection officer
Il Data protection officer è una nuova figura che va nominata dal titolare del trattamento e dal responsabile del trattamento quando:
il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
oppure le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.
Il DPO deve avere competenze specifiche, svolgere i prescritti dal GDPR e avere a disposizione risorse necessarie per assolvere i suoi compiti.
Il DPO può svolgere anche altri compiti e funzioni, ma è necessario che tali compiti e funzioni non diano adito a un conflitto di interessi.
Inoltre, il DPO può essere sia un dipendente del titolare del trattamento o del responsabile del trattamento oppure può assolvere ai suoi compiti in base a un contratto di servizi.
Deve essere dotato di ampia autonomia e indipendenza nell’espletamento dei suoi compiti e i suoi dati di contatto vanno comunicati all’autorità di controllo. Privacy by design e privacy by default
La protezione dei dati deve essere assicurata fin dalla progettazione, per cui è necessario che il titolare del trattamento riduca al minimo il trattamento dei dati personali, mediante misure tecniche e organizzative fra cui, esemplificativamente, la pseudonimizzazione dei dati personali.
Inoltre, la tutela della protezione del dato deve diventare l’impostazione predefinita, per cui il titolare del trattamento deve adottare misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.
Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità.
Inoltre, sempre, per impostazione predefinita, non deve consentirsi l’accesso di dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica. La valutazione d’impatto
La valutazione d’impatto è espressione del principio di responsabilizzazione del titolare nei confronti dei trattamenti da questo effettuati, ed è una procedura che va effettuata prima del trattamento dei dati e deve essere soggetta a revisione continua.
Con tale procedura vanno valutati la necessità, la proporzionalità e i rischi del trattamento di alcune tipologie di dati, per permettere al titolare del trattamento di approntare misure idonee di sicurezza.
La valutazione d’impatto è obbligatoria solo in alcuni casi specifici, ma si ritiene che costituisca una buona prassi da seguire al di là degli obblighi imposti.
D’altra parte, sarà proprio grazie a una buona valutazione d’impatto che il titolare del trattamento potrà essere in grado di dimostrare che il trattamento nella sua azienda o nel suo studio è effettuato conformemente al GDPR, nel rispetto del più volte citato principio dell’accountability.
Il registro dei trattamenti
Il registro dei trattamenti è un registro a contenuto vincolato, obbligatorio per le imprese o organizzazioni con almeno 250 dipendenti, a meno che il trattamento che le stesse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di dati sensibili o dati personali relativi a condanne penali e a reati.
Il registro va tenuto in forma scritta, anche in formato elettronico e può essere supervisionato dal Garante privacy per verificare la conformità dell’organizzazione alle norme del Regolamento. Data breach
In caso di violazione dei dati personali, il titolare del trattamento deve notificare la violazione all’autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza.
In caso di ritardo occorre specificare i motivi del ritardo.
La notificazione al Garante non è necessaria quando è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
Al di là dell’obbligo o meno di comunicazione al Garante, il titolare del trattamento ha l’obbligo di documentare qualsiasi violazione dei dati personali, comprese le circostanze ad essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.
Tale documentazione serve per consentire all’autorità di controllo di verificare il rispetto della normativa. Inoltre, se la violazione dei dati personali può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve comunicare la violazione all’ainteressato senza ingiustificato ritardo.