Il nuovo Regolamento Europeo in materia di protezione dati personali (privacy) dal 25 maggio 2018
Il 25 maggio 2018 è ormai alle porte. Ancora poco e il nuovo regolamento europeo relativo alla protezione dei dati personali(1) delle persone fisiche ed alla loro libera circolazione sarà operativo. Tra poco, dunque, diventerà obbligatorio conformarsi alle nuove regole europee in materia di privacy. Il nuovo
Regolamento privacy, infatti, sarà operativo a partire dal 25 maggio 2018: entro tale termine dovranno essere adeguate le normative interne i ciascuno Stato membro dell’Unione Europea, compresa ovviamente l’Italia.
Con il nuovo regolamento cambieranno le regole per coloro che si trovano a maneggiare dati personali: ad esempio le società di telefonia, le pubbliche amministrazioni e qualsiasi azienda con cui l’utente si troverà a sottoscrivere un contratto contenente i suoi dati personali.
Il nuovo Regolamento sulla privacy imporrà obblighi stringenti ed introdurrà nuove responsabilità volte a garantire maggiori misure di sicurezza a protezione dei dati personali. Il regolamento introduce, infatti, regole più chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, e stabilisce anche criteri (e sanzioni) rigorosi nei casi di violazione dei dati personali.
Il Regolamento andrà a sostituire il Codice della Privacy attualmente in vigore in Italia(2), riconoscendo importanti ed ampi diritti ai cittadini ed imponendo alle imprese ed alla Pubblica Amministrazione una forte responsabilizzazione. Introdurrà una legislazione in materia di privacy uniforme e valida in tutta Europa affrontando temi innovativi (quali, ad esempio, il diritto all’oblio). Al riguardo non tutti hanno ancora compreso la portata della nuova disciplina e, dunque, i processi di adeguamento risultano lenti e talvolta percepiti come meri aggravamenti burocratici.
Cerchiamo, quindi, di comprendere le più importanti novità che saranno introdotte dal nuovo Regolamento e dunque cosa cambierà a maggio del 2018 in materia di privacy.
Privacy: la nuova normativa
Lo sviluppo tecnologico e la globalizzazione, oltre agli innumerevoli vantaggi, comportano un rischio per la privacy di ognuno e per la protezione dei dati personali la cui condivisione e raccolta è aumentata in modo esponenziale. Per tali ragioni si è reso necessario predisporre un più solido sistema di protezione del diritto alla riservatezza. Secondo la nuova disciplina europea, devono conformarsi alle prescrizioni dettate in punto di privacy tutte le aziende pubbliche e tutte quelle realtà (anche private) in cui il trattamento dei dati presenta rischi specifici. Il Regolamento si applica solo al trattamento di dati personali delle persone fisiche.
Privacy: i dati a scadenza
La nuova disciplina in tema di trattamento di dati personali prevede un concetto nuovo e sinora sconosciuto: ossia il concetto di scadenza dei dati. Ciò significa che nel momento in cui l’azienda entra in possesso di dati di alcuni utenti, non può tenerli per sempre. Pertanto ogni azienda nella propria informativa privacy dovrà anche specificare il tempo entro il quale il dato sensibile andrà trattato, scaduto il quale il trattamento diventerà illegittimo.
Privacy: gli scopi della nuova normativa
La nuova disciplina ha i seguenti scopi:
- responsabilizzare maggiormente il titolare del trattamento dei dati personali in considerazione del rischio che il trattamento possa comportare per i diritti e le libertà degli interessati (si parla in proposito di «accountability»);
- garantire la protezione dei dati sin dalla progettazione del sistema di trattamento degli stessi, ad esempio attraverso la possibilità da parte del titolare di far certificare le modalità di trattamento dei dati;
- introdurre regole più chiare sia in materia di informativa agli interessati sia per l’esercizio dei diritti dei medesimi. Sul punto, per approfondimenti leggi: Informativa sulla privacy: come funziona;
- garantire che il consenso del soggetto interessato al trattamento dei dati personali sia sempre preventivo ed inequivocabile anche nel caso in cui venga espresso con mezzi elettronici, escludendo espressamente ogni ipotesi di consenso tacito; per i minori di 16 anni è inoltre previsto che gli enti fornitori di servizi via web o Social Network debbano richiedere il consenso al trattamento dei dati personali a chi esercita la responsabilità genitoriale (per saperne di più leggi anche: Consenso sulla privacy: cos’è e quando è necessario);
- assicurare agli interessati la possibilità di revocare in ogni momento il consenso a determinati trattamenti di dati personali;
- adottare ogni misura necessaria per il cosiddetto “data breach“,principio in base al quale il quale il titolare del trattamento dovrà comunicare eventuali violazioni esterne dei dati personali dei propri utenti al Garante nazionale e, nel caso in cui la violazione rappresenti una minaccia per i diritti e le libertà delle persone, dovrà informare dell’accaduto anche i soggetti interessati.
Privacy: come viene tutelata?
Al fine di garantire la protezione dei dati personali il Regolamento ha introdotto due importanti principi, ovverosia il principio di privacy by default e quello di privacy by design. Il principio di privacy by default fa riferimento alla necessità di tutelare la vita privata dei cittadini – appunto – di default, ovvero come impostazione predefinita dell’organizzazione aziendale. In altri termini, ogni azienda dovrà necessariamente dotarsi di un sistema tale da proteggere adeguatamente i dati personali ed evitare il rischio di una loro violazione. Il concetto di privacy by design, invece, stabilisce che la protezione dei dati deve avvenire fin dal disegno e/o progettazione di un processo aziendale. Quindi, ogni azienda deve effettuare una cosiddetta valutazione dell’impatto-privacy, cioè una puntuale e documentata analisi dei rischi per i diritti e le libertà degli interessati. Questa analisi deve condurre ad escludere il verificarsi in concreto dei rischi legati al trattamento dei dati personali quali ad esempio la loro distruzione, perdita, modifica e divulgazione non autorizzata.
Privacy: chi è il responsabile della protezione dei dati personali?
Per il perseguimento delle finalità sopra descritte, il Regolamento ha introdotto la figura del Responsabile della Protezione dei Dati Personali (detto Dpo). Si tratta di un soggetto in possesso di specifici requisiti come competenza, esperienza, indipendenza, autonomia di risorse, con il compito di garantire la tutela della privacy attraverso la verifica della corretta applicazione del Regolamento, la formazione del personale, la sensibilizzazione, la consulenza ecc.
Privacy: cos’è il diritto all’oblio
La nuova legge estende il campo del cosiddetto diritto all’oblio: la norma sancisce il diritto ad ottenere la cancellazione dei propri dati personali dalle notizie e anche dai motori di ricerca qualora il motivo che ha reso legittima la pubblicazione di quel dato non sia più di pubblica utilità (come, per esempio, nell’ipotesi di una persona che è stata assolta da un’accusa di cui i giornali e le testate online avevano dato notizia). Questo diritto si estende anche ai casi in cui un soggetto chiede la cancellazione dei propri dati personali, così revocando il consenso al trattamento concesso per fruire di un determinato servizio. Il diritto all’oblio del cittadino potrà essere limitato solo per garantire la libertà di espressione volta alla tutela di un interesse generale (ad esempio la salute pubblica) o quando i dati trattati in forma anonima dal titolare del trattamento siano necessari per la ricerca storica o per finalità scientifiche o statistiche.
Privacy e nuove sanzioni
Una delle più grandi novità del regolamento è quella che riguarda i casi di ”data breach“,ossia le violazioni dei dati, per esempio in occasione di attacchi informatici. La norma introduce infatti il diritto per tutti i cittadini, siano essi aziende o persone fisiche, di conoscere la violazione dei dati che le aziende saranno obbligate a comunicare al Garante. Le norme che sanzionano il trattamento illecito di dati personali sono molto severe. Il Regolamento, infatti, ha innalzato sensibilmente la misura delle pene pecuniarie, che potranno arrivare fino ad un massimo di 20 milioni di euro o fino al 4% del fatturato annuo.
note
[1] Regolamento UE n. 679 del 04.05.2016, denominato “General Data Protection Regulation”.
[2] D. Lgs. n. 196/2003.
Come già detto nelle precedenti circolari, stiamo attivandoci per trovare una soluzione per gli associati. Gli interessati possono fare riferimento alla nostra segreteria.
Il Presidente
Dott. Giorgio Ferro
Leggasi altresì:
- IL DPO
- Le linee informative WP29
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1 - Il Data Protection Officer (DPO)
La nuova figura del Data Protection Officer (DPO): ruolo, responsabilità ed obblighi per le aziende connessi alla nomina del Responsabile del Trattamento Dati.
Con il nuovo regolamento UE n. 2016/679 sulla protezione dei dati nell’Unione Europea, che dal 25 maggio 2018 potrà essere applicabile in tutti gli Stati Membri, è stato introdotta la figura del responsabile per la protezione dei dati, o Data Protection Officer (DPO).
Il gruppo di lavoro europeo dei Garanti Privacy ha approvato le linee guida del regolamento e la disciplina applicabile al DPO, chiarendone obblighi di nomina, caratteristiche, requisiti, ruolo e responsabilità.
La figura del DPO
Il suo scopo è osservare, valutare e organizzare la gestione del trattamento di dati personali, nonché vigilare sulla loro protezione vigilare e sulla corretta applicazione del regolamento UE sulla privacy, ma anche delle norme nazionali sulla privacy, all’interno dell’azienda (pubblica o privata). Il DPO:
- può essere contattato dal Garante Privacy e dai cittadini in merito al trattamento dei dati personali;
- deve godere di indipendenza e inamovibilità nello svolgimento delle proprie attività di indirizzo e controllo;
- ha conoscenza della normativa nazionale ed europea e della legislazione in materia di protezione dati;
in caso di trattamenti non conformi al regolamento europeo, non è personalmente responsabile, diversamente dal titolare e dal responsabile del trattamento (questi ultimi potranno però rifarsi sul DPO per inadempimento del contratto di servizio e chiedere i danni in caso di cattiva consulenza);
la sua funzione può essere svolta anche da un consulente od organizzazione esterni sulla base di un contratto di servizi.
Nomina DPO
La nomina del DPO è obbligatoria per gli enti pubblici e i soggetti privati che effettuano monitoraggio delle persone su larga scala oppure trattano dati sensibili su larga scala. Tra gli esempi forniti dalle linee guida, saranno obbligati a nominare un DPO i Ministeri, le Università, i Comuni, le Regioni, gli ospedali, i sistemi di trasporto pubblico, geolocalizzazione dei clienti di una catena commerciale internazionale, le compagnie di assicurazione, le banche, i fornitori di servizi di telecomunicazioni, i motori di ricerca che trattano dati a scopi pubblicitari.
Diversamente, non sono obbligati a nominare il responsabile per la protezione dei dati, a titolo di esempio: gli avvocati, il singolo studio medico, le public companies nel settore dei servizi pubblici (energia, ambiente ecc.).
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2 - Consenso interessato: linee guida WP29
di Redazione PMI.It
Le linee guida del WP29 sul consenso dell’interessato.
Il 12 dicembre, il Gruppo Articolo 29 (WP29) ha pubblicato la bozza di linee guida in materia di consenso dell’interessato. Il documento vuole fornire maggiori indicazioni a livello interpretativo delle problematiche relative al consenso, anche affiancando ai concetti le esemplificazioni più adatte o ricorrenti nei casi concreti. In questo contributo si cercheranno di affrontare le tematiche principali.
Privacy e DPIA: Linee Guida WP29
Il presupposto di partenza è che il consenso vada considerato come la base giuridica più appropriata per giustificare il trattamento dei dati personali, proprio per questo soggetta a requisiti rigorosi in quanto deve garantire e dimostrare la genuinità dell’accettazione e del rifiuto. Tuttavia, il titolare del trattamento dovrà sempre valutare se – nel caso concreto – egli abbia a disposizione alternative più adatte tra le sei previste all’art. 6.
L’articolo 4, paragrafo 11, stabilisce che il consenso dell’interessato, in modo inequivocabile, deve essere:
- libero;
- specifico;
- informato.
Sono tre requisiti che, come vedremo, si intrecciano l’un l’altro.
1. Consenso libero
Si ribadisce che è fondamentale tener conto del bilanciamento dei poteri: l’interessato non compie una scelta reale e si sente obbligato a prestare il proprio consenso anche per evitare conseguenze negative nel caso rifiutasse, allora il consenso non potrà essere considerato come valido. Per esempio se il consenso è inserito in una parte non negoziabile di termini e condizioni si presume che lo stesso non sia stato fornito liberamente.
L’utilizzo del verbo “presume” è significativo in quanto il WP29 chiarisce che in circostanze particolari il titolare del trattamento può vincere tale presunzione fornendo prova della libertà con cui è stato fornito il consenso. Il WP29 specifica che se è pur vero che il trattamento risulta necessario per l’esecuzione del contratto (e pertanto giustificato, ciò soprattutto nei rapporti di lavoro), tale ultima espressione deve essere interpretata rigorosamente; deve sussistere infatti un collegamento diretto e oggettivo tra il trattamento e la prestazione e o il servizio.
2. Consenso specifico
Il consenso non potrà considerarsi libero se utilizzato per giustificare molteplici trattamenti: se un servizio comporta più operazioni di elaborazione o più scopi, il consenso deve essere dato liberamente per ciascuno. Gli interessati devono essere in grado di scegliere a quali scopi acconsentono il trattamento.
Il Gruppo di lavoro individua tre componenti per garantire questo requisito:
Indicazione esatta dello scopo, come salvaguardia contro l’abuso di trattamento;
Granularità nelle richieste di consenso;
Chiara separazione delle informazioni relative all’ottenimento del consenso per le attività di elaborazione dati da informazioni su altri argomenti.
I titolari del trattamento che desiderano utilizzare i dati raccolti per nuovi scopi sono obbligati ad ottenere dagli interessati il nuovo consenso prima di procedere.
3. Consenso informato
Senza informazioni accessibili, gli interessati non possono prendere decisioni informate e quindi, chiarisce il WP29 “il controllo dell’utente diventerebbe illusorio e il consenso non valido per l’elaborazione”. Il Gruppo ha identificato sei categorie di informazioni minime necessarie:
- L’identità del titolare;
- Lo scopo di ciascuna delle operazioni di trattamento per le quali è richiesto il consenso;
- Quali tipo di dati saranno raccolti e trattati;
- L’esistenza del diritto di revocare il consenso;
- Informazioni sull’uso dei dati per le decisioni basate esclusivamente sull’elaborazione automatica (inclusa la profilazione);
- Se il consenso riguarda trasferimenti, circa i possibili rischi di trasferimenti di dati verso paesi terzi in assenza di una decisione di adeguatezza / garanzie appropriate.
Va ricordato anche che l’informativa deve essere facilmente comprensibile per la persona media non contenere dichiarazioni piene di gergo legale, anzi scritta in linguaggio semplice.
Nelle situazioni, poi, in cui emergono “gravi rischi per la protezione dei dati”, è richiesto un consenso esplicito: un diverso livello di consenso rispetto a quello ordinario appena sopra descritto. Ci si riferisce in particolare ai dati relativi all’articolo 9 (categoria speciale), ai trasferimenti verso Paesi o organizzazioni privi di una decisione di adeguatezza e al processo decisionale individuale automatizzato (compresa la profilazione).
Il Gruppo di lavoro suggerisce per esempio che il consenso dato attraverso una espressa e formale dichiarazione scritta (firmata dall’interessato) è da considerarsi esplicito. Altri modalità, in particolare nel contesto elettronico, includono il coinvolgimento dell’interessato: compilare un modulo elettronico; inviare una mail; caricare un documento scansionato con firma; registrare una dichiarazione orale, o verificare il consenso tramite un processo di autenticazione a due fasi (come un’e-mail seguita da un messaggio SMS).
Il gruppo di lavoro fornisce importanti indicazioni in merito al mantenimento della prova del consenso. I responsabili ed i titolare del trattamento terranno prova del consenso per tutta la durata dell’attività connessa all’elaborazione dei dati; quando questa termina la prova del consenso deve essere mantenuta soltanto al fine di adempiere agli obblighi di legge o per stabilire, esercitare o difendere i diritti legali.
Il GDPR obbliga inoltre i responsabili del trattamento a garantire che il consenso possa essere ritirato con la stessa facilità con cui può essere dato, in qualsiasi momento, anche se non necessariamente attraverso la stessa azione. Tuttavia, il gruppo di lavoro osserva che nel contesto elettronico, se il consenso è ottenuto tramite una singola azione (clic del mouse, scorrimento, sequenza di tasti, ecc.) o tramite l’interfaccia di un singolo dispositivo IoT, il ritiro dovrebbe essere possibile attraverso la stessa interfaccia.
Consenso ottenuto ai sensi della direttiva 95/46/CE
Infine, il consenso pre-Regolamento conforme alla legge nazionale non deve essere necessariamente riformulato e riottenuto. Il Gruppo di lavoro riconosce che “il consenso … ottenuto fino ad oggi continua ad essere valido nella misura in cui è in linea con le condizioni stabilite nel GDPR”.
Avv. Emiliano Vitelli gruppo www.pmi.it
Allegato: il nuovo regolamento europeo della privacy
Tutte le news