Protezione dei dati personali e GDPR: come applicare il nuovo Regolamento UE
Lo scorso mese di Febbraio il Garante per la Privacy ha emanato una versione aggiornata della Guida all’applicazione del Regolamento Europeo in materia di protezione dei dati personali.
I recenti aggiornamenti alla guida si sono resi necessari non solo per le nuove disposizioni normative introdotte nell’ordinamento italiano ma anche per il fatto che il prossimo 25 maggio il nuovo Regolamento Europeo in materia dovrà trovare piena e definitiva applicazione.
Tanto le imprese private che i soggetti pubblici stanno, quindi, affrontando numerose problematiche di carattere operativo per adeguarsi a quello che, in termini tecnici, è denominato GDPR (General Data Protection Regulation), una normativa di livello europeo (il Regolamento UE 2016/679), approvata nel 2016, l’entrata in vigore della quale è stata differita al 2018 (al 25 maggio, appunto).
La nuova normativa europea, e quindi il GDPR, resisi necessari per il crescente interesse dei colossi tecnologici americani per i dati personali, presentano un fondamentale elemento di novità: mentre prima si intendeva salvaguardare la persona, oggi ci troviamo di fronte a un mutato approccio, in base al quale si tende a salvaguardare il dato fine a se stesso.
Protezione dei Dati Personali: le principali novità del GDPR
La protezione dei dati personali è un aspetto ormai fondamentale di ogni azienda e di ogni studio professionale, che si trovano ogni giorno ad elaborare e manipolare i dati dei propri clienti, dei fornitori e degli interlocutori di riferimento.
Una nuova normativa come il GDPR si è resa necessaria per il valore che i dati personali hanno assunto per le nuove tecnologie e nel mercato digitale (se si ha la capacità di raffinarli possono essere considerati come il nuovo oro nero).
Mentre la Privacy era vista, fino ad oggi, come un adempimento al quale l’azienda doveva ottemperare, oggi il trattamento dei dati, la loro raffinazione e la loro profilazione possono essere intesi come una risorsa e come una opportunità per l’azienda che può utilizzarli per per confezionare offerte mirate e, più in generale, per conoscere necessità, preferenze e bisogni dei clienti.
Il Regolamento UE 2016/679 conferma che ogni trattamento dei dati personali deve trovare fondamento in un’idonea base giuridica; i fondamenti di liceità del trattamento sono indicati all’art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice della Privacy – D. Lgs. 196/2003 (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati). Il regolamento introduce sostanziali novità riguardo ai seguenti elementi:
- l’informativa sul Trattamento dei Dati Personali;
- il consenso al trattamento dei Dati Personali;
Nella nuova informativa non deve esserci alcun riferimento alla normativa perché questo documento deve:
- fornire informazioni sul trattamento dei dati personali;
- spiegare e chiarire le modalità e le finalità del trattamento dei dati;
- indicare per quanto tempo l’azienda mantiene i dati personali nei propri archivi digitali (database);
- deve essere comprensibile a tutti, minori compresi;
Anche il consenso sul trattamento dei dati personali, è investito da sostanziali novità:
- Per i dati “sensibili” (si veda art. 9 regolamento) il consenso deve essere “esplicito”;
- anche per quanto le decisioni basate su trattamenti automatizzati (compresa la profilazione – art. 22) il consenso deve essere altrettanto esplicito; su quest’ultimo genere di trattamenti dei dati sono state rilasciate delle specifiche linee-guida;
- Il consenso non deve necessariamente essere “documentato per iscritto” né è obbligatoria la “forma scritta”, anche se il rilascio del consenso in forma scritta viene considerato una modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per i dati sensibili); inoltre il titolare (art. 7.1) deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento e l’aver prestato il consenso in forma scritta può essere considerata una modalità idonea a questo scopo.
- Il consenso dei minori è valido a partire dai 16 anni (il limite di età può essere abbassato fino a 13 anni dalla normativa nazionale); prima di tale età occorre raccogliere il consenso dei genitori o di chi detiene la patria potestà;
- Il consenso deve essere, in tutti i casi, libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito o presunto (non sono più ammissibili, quindi, caselle pre-spuntate su un moduli o form online);
- Il consenso deve essere manifestato attraverso “dichiarazione o azione positiva inequivocabile” (cfr. artt. 39 e 42 del regolamento).
Il consenso al trattamento dei dati personali e sensibili, raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche indicate sopra. Se così non fosse è necessario raccogliere di nuovo il consenso degli interessati e verificare che
- la richiesta di consenso sia chiaramente distinguibile (mediante una specifica modulistica) da altre richieste rivolte all’interessato da parte dell’azienda o dello studio professionale;
- che la formula utilizzata per richiedere il consenso sia semplice, chiara e comprensibile;
Fonte Video = NetOrange S.r.l. – www.netprivacy.it
Informativa sul trattamento dei dati personali: cosa cambia e cosa deve contenere
I contenuti dell’informativa sono esplicitamente descritti negli articoli 13, paragrafo 1, e 14, paragrafo 1, del regolamento e in parte sono più ampi rispetto al Codice sul Trattamento dei Dati personali.
Il titolare del trattamento deve sempre specificare:
- i dati di contatto del RPD-DPO (Responsabile della protezione dei dati – Data Protection Officer);
- la base giuridica del trattamento;
- qual è la sua finialità, il suo interesse legittimo e se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti;
- Il titolare deve specificare anche il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo;
L’informativa dovrà poi specificare e indicare se il trattamento comporta processi decisionali automatizzati (compresa la profilazione), la logica di tali processi decisionali e le conseguenze previste per l’interessato.
Nel caso di dati personali non raccolti direttamente presso l’interessato (art. 14 del regolamento), l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato) (diversamente da quanto prevede attualmente l’art. 13, comma 4, del Codice).
L’informativa deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee.
L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online: si vedano art. 12, paragrafo 1, e considerando 58), anche se sono ammessi “altri mezzi”, quindi può essere fornita anche oralmente (seppure nel rispetto delle caratteristiche indicate all’art. 12, paragrafo 1 delle Linee Guida).
L’informativa (disciplinata nello specifico dagli artt. 13 e 14 del regolamento) deve essere fornita all’interessato prima di effettuare la raccolta dei dati (se raccolti direttamente presso l’interessato – art. 13 del regolamento).
Se i dati non sono raccolti direttamente presso l’interessato (art. 14 del regolamento), l’informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento. In tutti i casi, il titolare deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati.
Ogni volta che le finalità cambiano il regolamento impone di informarne l’interessato prima di procedere al trattamento ulteriore.
All’interessato spetta la facoltà per l’esercizio di tutti i diritti previsti dal regolarmento (in particolare artt. 11 e 12). Il termine per la risposta all’interessato è, per tutti i diritti (compreso il diritto di accesso), 1 mese, estendibile fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego.
La risposta fornita all’interessato non deve essere solo “intelligibile”, ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.
Il titolare del trattamento deve agevolare l’esercizio dei diritti da parte dell’interessato, adottando ogni misura (tecnica e organizzativa) idonea a tale fine.
Il diritto di accesso prevede in ogni caso il diritto di ricevere una copia dei dati personali oggetto di trattamento.
Fra le informazioni che il titolare deve fornire non rientrano le “modalità” del trattamento, mentre occorre indicare il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi.
Sono garantiti anche il diritto alla cancellazione rafforzata dei dati personali precedentemente rilasciati (diritto all’oblio), il diritto di limitazione al trattamento (art. 18) mentre viene introdotto, ex novo (anche se già esistente in taluni settori, come quello della telefonia) il diritto alla portabilità dei dati (art. 20).
Titolare, responsabile e incaricato del trattamento dei dati: la figura del RPD-DPO
Il regolamento:
- disciplina la contitolarità del trattamento (art. 26) e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti;
- fissa le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento dei dati attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” – quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, e categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento;
- consente la nomina di sub-responsabili del trattamento da parte di un responsabile (si veda art. 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest’ultimo risponde dinanzi al titolare dell’inadempimento dell’eventuale sub-responsabile;
- prevede obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare:
- la tenuta del registro dei trattamenti svolti (ex art. 30, paragrafo 2);
- l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (ex art. 32 regolamento);
- la designazione di un RPD-DPO (Responsabile per la Protezione dei Dati – Data Protection Officer).
A proposito del Responsabile della Protezione dei dati (RPD-DPO) – un ruolo che, con ogni probabilità potrebbe essere svolto dagli stessi studi professionali di consulenza del lavoro, andando ad arricchire il bouqet delle competenze dei professionisti della nostra categoria – è opportuno sottolineare che:
- è un incarico che potrebbe essere ricoperto anche da un consulente del lavoro, dal momento che si tratta di un ruolo terzo rispetto a titolare e interessati dal trattamento, sebbene debba comunque essere una figura che ha una conoscenza profonda dell’azienda);
- deve essere individuato attraverso uno specifico atto di designazione;
- il suo nominativo deve essere comunicato al Garante della Privacy, attraverso un ulteriore specifico modello;
Riguardo alla figura del Responsabile della Protezione dei Dati in ambito privato:
- sono state definite delle apposite Linee Guida – WP243 adottate dal Gruppo di lavoro Art. 29 il 13 dicembre 2016;
- l’ufficio del Garante sulla Privacy ha diffuso anche delle specifiche FAQ;
Il regolamento definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini della direttiva 95/46/CE e, quindi, del Codice italiano. Pur non prevedendo espressamente la figura dell’ “incaricato” del trattamento (ex art. 30 Codice), il regolamento non ne esclude la presenza.
I titolari del trattamento dei dati personali dovrebbero:
- valutare attentamente l’esistenza di eventuali situazioni di contitolarità;
- verificare che i contratti o altri atti giuridici che attualmente disciplinano i rapporti con i rispettivi responsabili siano conformi a quanto previsto dal regolamento;
L’impresa che si occupa del trattamento dei dati deve:
- poter dimostrare (a fronte di specifiche richieste del Garante, di un Ispettore o degli stessi lavoratori) attraverso una documentazione specifica che ha fatto tutto il possibile per proteggere e tutelare i dati personali raccolti (non basta un firewall o un antivirus);
- predisporre dei processi di valutazione e di impatto del trattamento dei dati personali;
I consulenti del lavoro:
- devono ricordare che la documentazione sulla privacy e sul trattamento dei dati personali è un aspetto complementare alla contrattualistica;
- devono informare le aziende clienti circa le modalità di conservazione dei dati relativi ai rispettivi lavoratori (dove sono conservati i dati dei lavoratori delle aziende clienti che queste ultime consegnano ai consulenti del lavoro per l’elaborazione dei contratti e delle buste paga? In un data center dello studio professionale? In un software utilizzato appositamente per queste funzioni, come Zucchetti? In un cloud gestito da terze parti?);
Ulteriori aspetti illustrati nella Guida all’applicazione del Regolamento europeo sul trattamento dei dati personali, recentemente emanata dal Garante sulla Privacy, riguardano l’approccio basato sul rischio e misure di accountability di titolari e responsabili e i trasferimenti di dati verso Paesi terzi e organismi internazionali.