CIRCOLARE N° 3 DEL 6 – 4 – 2018

Oggetto: la riforma della privacy

L’Unione europea con il Regolamento 2016⁄679 denominato RGDP o GDPR (General Data Protection Regulation) ha riformato la normativa comunitaria in materia di protezione dei dati personali, l’Italia ha parzialmente recepito le nuove disposizioni con le leggi 163⁄2017 e 205⁄17.

La legge 163 delega il Governo ad adottare uno o più decreti legislativi per il coordinamento della normativa italiana con il citato Regolamento UE, attraverso l’abrogazione delle disposizioni incompatibili contenute nel Codice in materia di trattamento dei dati personali (decreto legislativo 196⁄2003) e attraverso l’integrazione delle norme contenute nel medesimo decreto che non siano conformi o in linea con le nuove disposizioni comunitarie. La delega scade il prossimo 19⁄5, nel frattempo è intervenuta la legge 205⁄17 che affida al Garante per la protezione dei dati personali alcuni specifici adempimenti:

Il Regolamento impone alle imprese di adeguarsi entro il 25 maggio 2018.

La pratica attuazione del Regolamento generale sulla protezione dei dati richiede essenzialmente quattro passaggi:

Lo scopo principale del Regolamento UE è quello di tutelare i dati che consentono l’identificazione di una persona fisica quali:

Sul sito del Garante della privacy esiste un’apposita sezione destinata al gruppo di lavoro “Articolo 29”. Trattasi di un ente previsto dalla Direttiva 95⁄46 i cui componenti sono: un rappresentante del Garante della privacy di ogni Stato membro, il Garante europeo ed un membro della Commissione UE. Nella suddetta sezione sono rintracciabili i vari documenti che il Gruppo ha emanato nel corso degli anni.

I principali articoli del Regolamento sono:

Art . 4 – definizioni

L’articolo fornisce la definizione di una serie di termini usati nel Regolamento, per quanto di interesse ai fini della presente circolare riportiamo le principali:

Esclusivamente per chiarezza si forniscono ulteriori definizioni che non sono contenute nel decreto ma sono comunque utili per la comprensione della normativa (si tratta di definizioni contenute nel documento del “Gruppo di lavoro Articolo 29” che ha emesso una serie di documenti interpretativi reperibili sul sito del Garante della privacy, www.garanteprivacy.it):

Esempi di dati non trattati su larga scala sono:

  • monitoraggio regolare e sistematico: anche questo concetto non trova definizione all’interno del Regolamento e, quindi, occorre far riferimento ancora una volta ai documenti emessi dal Gruppo Articolo 29. In realtà i termini da definire sono ben tre: “monitoraggio”, “regolare” e “sistematico”.

    Il concetto di “monitoraggio” può essere definito come il controllo del comportamento dell’interessato; la regolarità si verifica quando il monitoraggio avviene in modo continuo o ad intervalli definiti o periodici, infine il concetto di “sistematicità” ricorre qualora il monitoraggio venga effettuato in modo predeterminato, organizzato e metodico all’interno di un progetto complessivo di raccolta dati o nell’ambito di una strategia. Esempi di monitoraggio regolare e sistematico sono: il reindirizzamento di messaggi di posta elettronica, attività di marketing basate sull’analisi dei dati raccolti, profilazione e scoring per finalità di valutazione del rischio (ad esempio rischio creditizio, per i premi assicurativi, prevenzione delle frodi, prevenzione delle varie forme di riciclaggio), programmi di fidelizzazione, pubblicità comportamentale, monitoraggio di dati psicofisici attraverso dispositivi indossabili, utilizzo di telecamere a circuito chiuso, dispositivi connessi quali contatori intelligenti, automobili intelligenti, dispositivi per la domotica …

    Art 5 – principi applicabili al trattamento di dati personali

    I dati personali possono essere raccolti per finalità determinate, esplicite e legittime. Devono essere adeguati alle finalità dichiarate, devono essere esatti ed aggiornati, possono essere conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati, devono essere conservati in maniera da garantire un’adeguata sicurezza evitando trattamenti non autorizzati o illeciti.

    Art. 6 – liceità del trattamento

    Il trattamento è lecito qualora ricorra almeno una delle seguenti condizioni:

    I sopra esposti fondamenti di liceità del trattamento coincidono in linea di massima con quelli attualmente previsti dal Codice privacy (D. Lgs. 196⁄2003). Il consenso dei minori è valido a partire dai 16 anni, prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.

    Il regolamento prevede che il consenso debba essere sempre libero, specifico, informato ed inequivocabile e non è ammesso il consenso tacito o presunto, ad esempio non è valido se espresso su di un modulo ove le relative caselle siano prespuntate in quanto deve essere manifestato attraverso un’azione positiva inequivocabile.

    Art. 7 – condizioni per il consenso

    Il Titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso. Se il consenso è prestato all’interno di una dichiarazione riguardante anche altre questioni, deve essere presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.

    L’interessato ha il diritto di revocare il proprio consenso in ogni momento con le medesime modalità con cui aveva originariamente prestato il consenso.

    Art. 9 – trattamento di categorie particolari di dati personali

    È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’area di appartenenza sindacale nonché trattare dati genetici, biometrici che rendano possibile l’identificazione in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

    Tuttavia il trattamento dei suddetti dati è ammesso nei seguenti casi:

    In questi casi il consenso deve essere “esplicito” così come nel caso in cui il Titolare del trattamento intenda effettuare la cosiddetta “profilazione”, il che non vuol dire che il consenso debba necessariamente essere documentato per iscritto anche se se tratta della modalità più idonea a configurare l’inequivocabilità del consenso.

    Artt. 13 e 14 – informazioni da fornire

    Il titolare del trattamento deve fornire all’interessato (prima di effettuare la raccolta dei dati) le seguenti informazioni (con alcune differenze nel caso la raccolta avvenga presso l’interessato medesimo o altrove):

    Qualora il Titolare del trattamento intenda trattare i dati personali per una finalità diversa o ulteriore rispetto a quella originariamente prevista deve preventivamente informare l’interessato.

    Il Regolamento specifica in modo più dettagliato rispetto al Codice della privacy le caratteristiche dell’informativa che deve essere concisa, trasparente, intelligibile per l’interessato e facilmente accessibile, occorre utilizzare un linguaggio chiaro e semplice e per i minori occorre prevedere informative idonee. L’informativa deve essere data, in linea di principio, per iscritto e preferibilmente in formato elettronico, nel qual caso è ammesso l’utilizzo di icone per accedere ai contenuti dell’informativa stessa. Queste icone dovranno essere identiche in tutta la UE e saranno definite prossimamente dalla Commissione europea.

    Nel caso i dati vengano raccolti presso terzi spetta al Titolare del trattamento valutare se la prestazione dell’informativa agli interessati comporti uno sforzo sproporzionato.

    Art 15 – diritto di accesso dell’interessato

    L’interessato ha il diritto di ottenere dal Titolare del trattamento conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:

    Non è prevista alcuna informativa sulle “modalità” del trattamento.

    Il termine per la risposta è di un mese, estendibile fino a tre mesi nei casi di particolare complessità; il Titolare del trattamento deve comunque dare un riscontro all’interessato entro un mese dalla richiesta. Qualora la richiesta dell’interessato sia manifestamente infondata o eccessiva o ripetitiva, il Titolare del trattamento può richiedere un contributo che tenga conto dei costi amministrativi sostenuti Anche la risposta, così come l’informativa preventiva, deve essere intelligibile, concisa, trasparente e facilmente accessibile ed utilizzare un linguaggio semplice e chiaro.

    Infine il Garante raccomanda che i Titolari del trattamento acconsentano a che gli interessati possano consultare direttamente da remoto ed in modo sicuro i propri dati personali.

    Art. 17 – diritto alla cancellazione (diritto all’oblio)

    L’interessato ha il diritto di ottenere dal Titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo se sussiste uno dei seguenti motivi:

    Sia per il diritto di accesso sia per il diritto alla cancellazione sono ammesse deroghe, ma solo sul fondamento di disposizioni normative nazionali.

    Art. 20 – diritto alla portabilità dei dati

    Si tratta di un nuovo diritto dell’interessato (che non era presente nel Codice della privacy), che si applica esclusivamente ai trattamenti automatizzati (sono quindi esclusi ad esempio i dati contenuti in archivi e registri cartacei) che siano stati trattati con il consenso dell’interessato o sulla base di un contratto (quindi non si applica ai dati il cui trattamento si fonda sull’interesse pubblico o sull’interesse legittimo del Titolare) e solo ai dati che siano stati forniti dall’interessato medesimo.

    Poiché la trasmissione dei dati da un Titolare ad un altro (in seguito a richiesta dell’interessato) prevede che si utilizzino formati interoperabili, i Titolari del trattamento che ricadono nel campo di applicazione di questo diritto dovrebbero dotarsi dei mezzi software per produrre i dati richiesti in un formato interoperabile.

    Artt. 24–29 – titolare, responsabile e incaricato del trattamento

    Figura centrale della uova normativa è il Responsabile della protezione dei dati (RPD) che deve essere nominato da ciascun ente che effettui un monitoraggio regolare e su vasta scala delle persone fisiche ovvero tratti su larga scala particolari dati personali, nonché da tutte le autorità pubbliche.

    L’art. 24 stabilisce che il Titolare del trattamento deve attuare le misure tecniche ed organizzative adeguate per garantire che il trattamento venga effettuato conformemente alle previsioni del Regolamento. A tal fine si può ricorrere anche all’adesione a codici di condotta o a certificazioni di soggetti esterni.

    L’art. 25 stabilisce che il Titolare del trattamento deve mettere in atto misure tecniche ed organizzative volte a tutelare i diritti degli interessati e per garantire che vengano trattati solamente i dati personali strettamente necessari per la finalità prescelta.

    L’art. 26 stabilisce che sono contitolari del trattamento le entità che trattano congiuntamente i dati personali. Rispetto al Codice della privacy, il Regolamento stabilisce che fra i contitolari debba essere stipulato un contratto che definisca il rispettivo ambito di responsabilità ed i compiti con particolare riferimento all’esercizio dei diritti degli interessati che hanno comunque la possibilità di rivolgersi indifferentemente ad uno qualsiasi dei contitolari. Parimenti il Titolare del trattamento deve stipulare un contratto qualora intenda ricorrere ad un Responsabile del trattamento al fine di dimostrare che il Responsabile fornisce garanzie sufficienti. In particolare dovranno essere definite:

    Il Responsabile del trattamento può nominare uno o più sub–responsabili previa autorizzazione del Titolare e risponde verso quest’ultimo dell’eventuale inadempimento del sub–responsabile salvo che dimostri che l’evento dannoso non gli è in alcun modo imputabile. Anche i rapporti tra il Responsabile ee i sub–responsabili sono regolamentati dal contratto il cui contenuto è dettagliatamente disciplinato dal Regolamento.

    Il Titolare, il Responsabile e l’Incaricato sono tutti responsabili di eventuali violazioni della privacy, per questo il Regolamento attribuisce a ciascuno il compito di decidere in autonomia le modalità, le garanzie ed i limiti del trattamento dei dati personali.

    La nomina di un RPD (Responsabile protezione dati) è obbligatoria nei seguenti casi:

    Tranne il caso in cui sia evidente che la nomina del RPD sia non obbligatoria, i Titolari del trattamento ed i Responsabili del trattamento devono documentare le valutazioni effettuate all’interno dell’azienda o dell’ente, in modo da poter dimostrare che l’analisi ha correttamente preso in esame tutti gli elementi. Tale analisi fa parte della documentazione da produrre, in base al principio di responsabilizzazione, che può essere richiesta dall’autorità di controllo e dovrebbe essere aggiornata nel caso vengano modificati gli elementi che avevano escluso l’obbligo di nomina. Nel caso la nomina venga effettuata volontariamente devono comunque essere osservati i requisiti previsti in ordine allo status ed ai compiti, come se la nomina fosse obbligatoria.

    Per la nomina del RPD si può comunque ricorrere a consulenti esterni che vengono incaricati di svolgere le incombenze relative alla protezione dei dati personali.

    Art 30 – registro delle attività di trattamento

    I Titolari ed i Responsabili del trattamento devono tenere un registro della attività di trattamento che deve contenere tutte le seguenti informazioni:

    Sono esonerati dalla tenuta del registro gli organismi che hanno meno di 250 dipendenti ma solamente nel caso in cui non effettuino trattamenti a rischio. Il registro deve essere tenuto in forma scritta (anche elettronica) e deve essere esibito su richiesta del Garante.

    Art. 32 – sicurezza del trattamento

    Il Titolare del trattamento ed il Responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza delle informazioni che contengano tra le altre:

    Art 33 – notifica di una violazione dei dati personali all’autorità di controllo

    In caso di violazione dei dati personali, il Titolare del trattamento deve notificare la violazione all’autorità di controllo, possibilmente entro 72 ore dal momento in cui ne è venuto a conoscenza. La notifica deve essere effettuata nel caso in cui si ritenga probabile che dalla violazione possano derivare rischi per i diritti e le libertà degli interessati. Pertanto la notifica all’Autorità non è obbligatoria, essendo subordinata alla valutazione del rischio, che spetta al Titolare. Se la probabilità di tale rischio è elevata si dovrà informare della violazione anche gli interessati

    Art. 34 – comunicazione di una violazione dei dati personali all’interessato

    Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento deve comunicare la violazione all’interessato senza ingiustificato ritardo.

    Art. 37 – designazione del Responsabile della Protezione dei Dati (RPD o DPO – Data Protection Officer)

    Il Titolare del trattamento ed il Responsabile del trattamento devono designare un Responsabile della protezione dei dati nei seguenti casi:

    Un gruppo imprenditoriale può nominare un unico Responsabile della protezione dei dati a condizione che sia facilmente raggiungibile da ciascuno stabilimento.

    Qualora il Responsabile del trattamento sia un soggetto esterno al Titolare del trattamento e svolga questo compito per più titolari (in maniera professionale per più clienti) si verifica la caratteristica del trattamento “su larga scala” e, quindi, il Responsabile del trattamento è tenuto alla nomina di un Responsabile della protezione.

    Il Titolare del trattamento ed il Responsabile del trattamento devono pubblicare i contatti del Responsabile della protezione dei dati e comunicarli all’autorità di controllo in modo che sia l’Autorità medesima sia gli interessati (ad esempio i dipendenti) possano contattare il Responsabile della protezione dati in modo autonomo e riservato.

    Art. 38 – posizione del responsabile della protezione dei dati

    Il Titolare del trattamento ed il Responsabile del trattamento devono collaborare con il Responsabile della protezione dei dati e fornirgli le risorse necessarie per assolvere ai suoi compiti e devono accertarsi che quest’ultimo non riceva istruzioni (ad esempio dal consiglio di amministrazione della società) per quanto riguarda l’esecuzione del suo operato. Il Responsabile della protezione non può essere rimosso o penalizzato dal Titolare del trattamento o dal Responsabile del trattamento e riferisce direttamente al vertice aziendale.

    Fornire le risorse necessarie significa far sì che il medesimo abbia il tempo necessario per espletare i compiti assegnatigli (se ad esempio è un componente interno all’azienda e svolge anche altre funzioni), fornirgli le risorse finanziarie e le infrastrutture (sede, attrezzature, strumentazione) necessarie, garantirgli l’accesso alle altre risorse interne all’azienda (ufficio giuridico, sicurezza, …).

    Art. 39 – compiti del responsabile della protezione dei dati

    Il responsabile deve essere incaricato dei seguenti compiti:

    ADEMPIMENTI PRATICI⁄DOCUMENTALI

    Il principale adempimento pratico che ogni impresa⁄professionista deve osservare è la stesura del dossier privacy che non ha una forma standard ma deve esser redatto con concreto riferimento all’impresa cui si riferisce.

    Il documento deve contenere le seguenti informazioni:

    I – DESCRIZIONE DEL TITOLARE DEL TRATTAMENTO

    Contiene:

    1) descrizione e precisazione dell’inquadramento del soggetto (società, ente, professionista)

    2) descrizione delle attività prevalenti e di quelle accessorie e delle loro ricadute quanto al trattamento dei dati;

    3) specificazione se i trattamenti sono effettuati su larga scala;

    4) specificazione se i trattamenti consistono in monitoraggio regolare e sistematico;

    5) individuazione dei tipi di dati;

    6) descrizione della tipologia di trattamenti, in particolare se si tratta di procedimenti automatizzati di profilazione, se si fanno trattamenti di dati derivati o inferenziali;

    7) precisazione dell’ambito territoriale dei trattamenti, con indicazione se si tratta di vendita di beni o servizi a persone nella UE o di monitoraggio delle persone all’interno della U; se si tratti di trasferimento di dati all’estero;

    8) precisazione delle categorie di soggetti interessati, in particolare di minori o di altre categorie di soggetti vulnerabili.

    II – DISCIPLINA NORMATIVA DI RIFERIMENTO

    Contiene i riferimenti a tutta la normativa comunitarie e nazionale sulla materia

    III – POLITICA DI PROTEZIONE DEI DATI

    Contiene:

    1) le finalità della politica della protezione dei dati

    2) i piani d’azione specifica di protezione dati

    3) la pianificazione delle iniziative di sensibilizzazione dei dipendenti e dei clienti

    4) le modalità di coinvolgimento degli interessati al trattamento o delle loro organizzazioni

    IV – ORGANIGRAMMA DELLA PRIVACY

    Contiene:

    1) la descrizione delle categorie di referenti interni

    2) la descrizione delle categorie di responsabili esterni

    3) la descrizione delle categorie di sub–responsabili esterni

    4) la descrizione delle categorie di autorizzati al trattamento

    5) i modelli standard dei contratti con i responsabili esterni

    6) i modelli standard dei contratti con i sub–responsabili esterni

    7) i modelli standard di designazione degli autorizzati al trattamento

    8) la descrizione delle categorie di contitolari del trattamento;

    9) i modelli standard dei contratti con in contitolari del trattamento

    10) i modelli standard di nomina del rappresentante nella UE

    V – ADEMPIMENTI INTERNI

    Contiene:

    1) protocollo ufficio privacy

    2) protocollo e poteri del RDP

    3) protocollo notificazioni e comunicazioni Data Breach

    4) protocollo valutazione d’impatto privacy

    5) protocollo per uso di internet e posta elettronica e dispositivi di comunicazione da parte dei dipendenti e collaboratori;

    6) protocollo per i rapporti con i clienti

    7) protocollo sulla sicurezza con le prescrizioni per utenti e dipendenti

    8) protocollo ufficio reclami

    9) protocollo esercizio dei diritti

    10) protocollo valutazione dei rischi

    11) protocollo rapporti con il Garante

    VI – ADEMPIMENTI NEI CONFRONTI DEGLI INTERESSATI

    Contiene:

    1) fac simile delle informative

    2) modelli di raccolta del consenso

    3) modelli di risposta agli interessati

    4) modello di comunicazione agli interessati della violazione dei dati

    5) modello di richiesta della portabilità dei dati

    6) modello di opposizione alla profilazione

    7) modello di opposizione al trattamento

    8) modello di richiesta di accesso⁄rettifica⁄limitazione del trattamento

    9) modello generico richiesta di esercizio dei diritti

    VII – MISURE DI SICUREZZA

    Contiene:

    1) documento di valutazione dei rischi valutazione di impatto della privacy

    2) procedure di verifica dell’attuazione della valutazione dei rischi

    3) procedure di verifica dell’attuazione della valutazione di impatto privacy

    4) piano di formazione del personale

    * * * * * * * * * * * * * * * *

    Lo studio ha concluso un accordo con persona professionalmente valida e munita di tutte le necessarie certificazioni per la consulenza in materia di protezione dati nonché per l’assunzione degli incarichi previsti dalla normativa.

    ******

    Lo studio è a disposizione per qualsiasi chiarimento

    ******





  • HOME