Procedura comunicazione dati RPD

Qui, la procedura descrita, per la comunicazione del RPD, infatti, in base all’articolo 37, paragrafo 7 del Regolamento UE/2016/679 occorre che i soggetti pubblici e privati comunichino al Garante per la protezione dei dati personali il nominativo del Responsabile della Protezione dei dati, se designato.

Questa disposizione mira a garantire che le autorità di controllo possano contattare il Responsabile della Protezione dei Dati (RPD), in modo facile e diretto, come chiarito nelle Linee guida sui Responsabili della Protezione dei Dati (RPD) adottate dal Gruppo Articolo 29 (WP 243 rev. 01 – punto 2.6).

Si ricorda, infatti, che in base all’articolo 39, paragrafo 1, lettera e) del Regolamento, il Responsabile della Protezione dei Dati funge da punto di contatto fra il singolo ente o azienda e il Garante.

Sul sito dell’Autorità è disponibile una procedura online per la comunicazione del nominativo.

Per facilitare i soggetti tenuti all’adempimento, nella sezione dedicata alla procedura, è presente anche un facsimile in formato .pdf – da non utilizzare per la comunicazione al Garante – che consente di familiarizzare con l’adempimento e verificare, prima di iniziare la compilazione online, quali saranno le informazioni richieste.

FAQ riportate dal sito del Garante Privacy

1. Chi è tenuto ad apporre la firma digitale?

La firma digitale deve essere apposta dal soggetto che materialmente effettua la comunicazione ed i cui dati (cognome, nome e indirizzo email) sono stati indicati nella sezione A del modulo.

2. Qualora la comunicazione venga effettuata su delega del rappresentante legale, è necessario allegare la delega?

No. È necessario indicare che la comunicazione viene effettuata su delega selezionando la corrispondente voce e indicando il cognome e nome del soggetto delegante.

3. Nel caso di più aziende appartenenti a un gruppo imprenditoriale, va effettuata una comunicazione per ogni azienda del gruppo?

Sì, in quanto l’obbligo di comunicazione è in capo al singolo titolare/responsabile del trattamento, sempre in presenza delle condizioni di cui all’art. 37, par. 1, lett. b) e c) del Regolamento.

4. Nel caso di comunicazione effettuata da parte di un gruppo imprenditoriale, è necessario compilare la sezione B1 del modulo?

La sezione B1 del modulo deve essere compilata solo nei casi previsti dall’art. 37, par. 2, del Regolamento, ossia solo nel caso in cui il gruppo abbia deciso di nominare un unico RPD.

5. In caso di nomina a RPD di una persona giuridica, come possono essere inseriti i relativi dati?

È necessario selezionare nella sezione C, al punto 1 “esterno” e al punto 2 “persona giuridica”.

6. Come mai, pur avendo compilato correttamente il modulo online, non si è ricevuta la mail con le istruzioni?

La mail con le istruzioni viene inviata alla casella di posta indicata nella sezione A del modulo. Occorre quindi verificare che la casella indicata sia abilitata alla ricezione di messaggi di posta elettronica ordinaria (molto spesso le caselle di posta elettronica certificata sono configurate in modo da non ricevere messaggi di posta elettronica ordinaria). Si consiglia, inoltre, di verificare che il messaggio non sia stato spostato automaticamente o per errore nella cartella “spam” o “posta indesiderata”.

7. Dopo aver effettuato il download del file da firmare, cosa si deve fare?

Occorre seguire le istruzioni ricevute con l’email. Si ricorda che in ogni caso il suddetto file non va inviato via email, ma solo caricato sulla piattaforma seguendo le istruzioni.

8. È possibile aprire il file scaricato al termine della compilazione del modulo?

Il file scaricato è in formato .xml e può essere aperto soltanto tramite appositi programmi. In ogni caso, come chiarito nelle istruzioni, “la minima modifica al file ricevuto comporterà il rigetto della comunicazione; pertanto, si raccomanda di non aprire il file ricevuto ma esclusivamente di procedere alla sua sottoscrizione digitale, previo salvataggio in locale”.

9. Perchè, pur avendo seguito le istruzioni di compilazione del modulo, si riceve un messaggio di comunicazione rigettata per un file non corrispondente a quello trasmesso?

Alcuni sistemi di posta elettronica possono alterare i file allegati, inserendo caratteri speciali: può così succedere che il file su cui è apposta la firma risulti difforme da quello che il sistema è impostato per riconoscere, con il conseguente rigetto della comunicazione. Per evitare questo tipo di problematiche, si consiglia di evitare di trasmettere il file da firmare mediante posta elettronica al soggetto che apporrà la firma digitale. E’ invece consigliabile completare la procedura di comunicazione e successiva applicazione della firma digitale dalla stessa postazione di lavoro del soggetto firmatario, che come indicato nelle istruzioni, deve coincidere con il soggetto che effettua la comunicazione (vedi sez. A del modulo).

10. In che modo è possibile correggere eventuali inesattezze o errori inseriti nella comunicazione una volta che la procedura è terminata?

In questo caso è necessario ripetere la procedura. La nuova comunicazione sostituirà la precedente, come chiarito nelle istruzioni: “Eventuali ulteriori comunicazioni effettuate per conto dello stesso Titolare/Responsabile, qualora accettate, saranno intese come integrale sostituzione di quanto già comunicato in precedenza”.

11. Cosa occorre fare se, una volta compilato il modulo e fatto l’upload del file firmato, si riceve una e-mail con l’avviso che la comunicazione è stata rigettata e, successivamente, se si tenta un nuovo upload, viene segnalato il testo di errore: “upload già effettuato”?

In questi casi, è necessario ripetere la procedura partendo dall’inizio, cioè effettuando una nuova compilazione dei dati (a cui seguirà l’attribuzione di un nuovo ID provvisorio di comunicazione, con l’invio di un nuovo file da firmare).

12. Cosa occorre fare se è stato effettuato l’upload del file ma non si riceve l’e-mail con il riscontro di avvenuta comunicazione?

Terminato l’upload, la piattaforma procede alle verifiche indicate nelle istruzioni e quindi all’invio del riscontro o del rigetto, seguendo l’ordine di arrivo delle comunicazioni. Tenuto conto delle numerose comunicazioni che stanno pervenendo in questi giorni, la procedura potrebbe richiedere anche qualche ora e l’arrivo dell’e-mail di riscontro potrebbe tardare un pò. Eventuali informazioni possono essere richieste inviando una mail all’URP del Garante, indicando l’ID provvisorio di comunicazione.

Videosorveglianza il GDPR in merito

La videosorveglianza secondo il GDPR deve rendere più chiaro il processo di trattamento delle immagini e il rispetto dei diritti degli interessati. Le sanzioni invece inaspriscono.

Prima dell’entrata in vigore del GDPR, il tema della videosorveglianza è stato trattato approfonditamente dal Garante della Privacy, il quale ha emesso diversi documenti e provvedimenti in materia di protezione dei dati personali.

Le attività da svolgere per essere a norma non cambiano ma diventano molto più precise e soggette a sanzioni.

Segnalare l’area videosorvegliata con un cartello

Il GDPR impone l’obbligo di segnalare il sistema di videosorveglianza: le persone devono essere a conoscenza che l’area è monitorata prima di accedervi.

Il cartello “area videosorvegliata” è da porre in ogni area monitorata dalle telecamere.

Il cartello deve essere posto sia se la videosorveglianza presuppone una registrazione, sia se la videosorveglianza è solo a scopo di fruizione.

Il cartello area videosorvegliata va compilato con il nome dell’organizzazione e lo scopo dell’attività di monitoraggio video.

L’informativa sulla privacy

Vicino alla zona di ripresa è necessario applicare un’informativa circostanziale, in grado di illustrare in modo generico la titolarità dei dati, la descrizione delle apparecchiature di videosorveglianza e il trattamento dei dati raccolti.

Dove posizionare le telecamere

I sistemi di ripresa possono essere installati solo in particolari luoghi, dai quali sono esclusi i bagni, aulee scolastiche, spogliatoi, ecc.

All’interno di un luogo di lavoro è necessario richiedere i permessi sindacali e all’Ispettorato del Lavoro.

La durata delle registrazioni video

Le registrazioni delle telecamere possono essere mantenute per un tempo che va dalle 24h a massimo 72h: in caso di permessi e situazioni particolari, questo range temporale può essere esteso a tempo determinato.

Modalità di accesso ai dati personali

La videosorveglianza è un metodo di acquisizione del dato da trattare, pertanto è necessario rispettare i diritti dell’interessato.

Si consiglia la nomina di un DPO in grado di rendere la compliance GDPR attendibile e “certificata”.

 

Articolo a cura di Elisa Garioni – del

Nomina DPO, usuale il conflitto di interesse

Nomina del DPO, è ormai usuale la regola di riconoscimento che devono seguire tutte le pubbliche amministrazioni e le migliaia di aziende private che hanno l’obbligo di dotarsi di un “data protection officer” (DPO) è chiaramente espresso nell’art. 37 del Regolamento UE 2016/679, dove è prescritto che il responsabile della protezione dei dati deve essere “designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”, concetto ribadito anche nelle raccomandazioni contenute nelle Linee Guida  243 approvate dal Gruppo dei Garanti europei, ora tradotte in italiano a cura dell’Authority italiana.

Eppure, in base ai risultati che stanno emergendo da uno studio attualmente in corso, sembra che le imprese stentino ancora a mettere a fuoco la tematica, rivelando una certa difficoltà nella identificazione e nomina non riuscendo a distinguere perfino la differenza sostanziale tra la conformità alla normativa sulla protezione dei dati personali e la security, ramo dell’informatica che si occupa invece delle analisi delle minacce, delle vulnerabilità e dei rischi associati agli asset informatici al fine di proteggere i dati dai potenziali attacchi. Non sono infatti poche le società italiane che affidano l’incarico di data protection officer ad una risorsa del proprio reparto IT, o addirittura in alcuni casi a soci e/o componenti del direttivo, oppure quelle che nel processo di selezione del DPO cercano prevalentemente le competenze informatiche, trascurando d’altra parte le conoscenze giuridiche, indispensabili per districarsi trai meandri della normativa per evitare sanzioni che con il nuovo Regolamento Europeo potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo dei trasgressori.

Tuttavia, che la scelta della nomina di un informatico puro come data protection officer, o addirittura la designazione come tale di una risorsa che appartiene alla funzione IT, siano prassi che comportano elevati rischi di violazione della stessa normativa, è dimostrato dal caso emblematico di una società tedesca che è stata sanzionata dal Garante per la privacy bavarese perché aveva nominato DPO il proprio IT manager, configurando una situazione di palese incompatibilità. A spiegare come evitare simili violazioni, è il presidente di Federprivacy, Nicola Bernardi: “Un titolare del trattamento che designa il proprio IT manager come data protection officer, non solo deve dimostrare che tale persona possegga effettivamente le conoscenze specialistiche della normativa come richiesto all’art.37 del Regolamento, ma deve anche assicurare che altri compiti e funzioni da questo svolte non diano adito a un conflitto d’interessi, come prescritto nell’art.38, perché altrimenti il DPO dovrebbe in pratica controllare se stesso – sottolinea il presidente di federprivacy.

Il soggetto individuato e investito della nomina come DPO può ricoprire anche altri incarichi all’interno della struttura aziendale, a condizione che non sia in conflitto di interessi. Proprio per questo motivo, il Garante ha precisato che sarebbe preferibile evitare di assegnare il ruolo di DPO a soggetti con incarichi di alta direzione (amministratore delegato, membro del consiglio di amministrazione, direttore generale, etc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT, etc.).

È chiaro come l’introduzione di tale figura serva non solo a spostare da un soggetto (titolare/responsabile del trattamento) ad un altro (il DPO appunto) tutta una serie di responsabilità in ambito di protezione dei dati, ma anche e soprattutto per permettere ad un soggetto specifico, specializzato, esperto in materia di occuparsi esclusivamente della protezione dei dati personali, rimanendo sempre aggiornato sui rischi, i problemi e le misure di sicurezza necessarie a garantire un livello di tutela adeguato. Il tutto in linea con l’importanza, la diffusione e la complessità che l’ambito della privacy e del trattamento dei dati (soprattutto in campo digitale e tramite web) sta sempre più acquisendo. Fonte: Osservatorio Privacy Avv. Cristiano Cominotto 

Continua a Leggere→

Periodo transitorio GDPR

Periodo transitorio di otto mesi per l’applicazione delle sanzioni del GDPR: a prevederlo è il decreto di adeguamento approvato dal Consiglio dei Ministri dell’8 agosto 2018.

Approccio soft al GDPR per le imprese e la Pubblica Amministrazione: il decreto di adeguamento al nuovo Regolamento UE stabilisce un periodo transitorio di 8 mesi.

Le PMI dovrebbero essere salve dalle ispezioni della Guardia di Finanza e dalle salate sanzioni applicate dal Garante in caso di violazioni e di mancato adeguamento al GDPR.

È questa una delle novità contenute nel testo del decreto approvato dal Consiglio dei Ministri dell’8 agosto 2018 che, dopo quasi due mesi dall’entrata in vigore della riforma della privacy, trova l’ok definitivo del Governo.

La notizia è riportata da molte fonti di stampa ma è bene chiarire che il testo del decreto non è ancora stato pubblicato e che, come sempre, sarà necessario attendere la pubblicazione in Gazzetta Ufficiale per poterne dare conferma ufficiale.

GDPR, sanzioni e ispezioni in stand-by. Decreto di adeguamento con periodo transitorio

L’adeguamento al GDPR è stato tutt’altro che semplice per le tante imprese e professionisti tenute e fare i conti con il nuovo regolamento europeo sulla privacy.

Operativo dal 25 maggio 2018, per la piena attuazione del Regolamento UE 2016/679 mancava proprio il decreto di adeguamento con il quale l’Italia era tenuta ad uniformare le proprie regole e la propria normativa a quelle comunitarie.

Il decreto attuativo si è fatto attendere circa due mesi ma la notizia positiva per le imprese è che il testo approvato dal Consiglio dei Ministri l’8 agosto 2018 darà di fatto più tempo per mettersi in regola.

Il periodo transitorio di otto mesi salverà dalle ispezioni della Guardia di Finanza e, soprattutto, dalle sanzioni previste dal GDPR che, ricordiamo, saranno ispirate ai principi di proporzionalità ed effettività e calcolate secondo due diversi parametri:

  • 10 milioni di euro o 2% del fatturato mondiale annuo dell’anno precedente per le imprese che, ad esempio, non avranno nominato il DPO, non comunichino data breach all’Autorità garante, violino le condizioni sul consenso dei minori oppure che trattino in maniera illecita i dati personali degli utenti;
  • 20 milioni di euro o 4% del fatturato per le imprese nei casi, ad esempio, di trasferimento illecito di dati personali ad altri Paesi o di inosservanza di un ordine imposto dal Garante.

Inoltre, il decreto di adeguamento approvato dal Consiglio dei Ministri demanda al Garante la possibilità di stabilire specifiche esenzioni per le PMI, con misure di semplificazione per i titolari del trattamento dei dati.

Privacy, ecco come saranno i controlli della Guardia di Finanza

Una volta trascorso il periodo transitorio di otto mesi, prenderanno il via i controlli e le ispezioni della Guardia di Finanza. A spiegare come si svolgeranno era stato il Comandante del Nucleo Speciale Privacy della Guardia di Finanza, Marco Menegazzo.

Durante il Privacy Day Forum tenutosi proprio il 25 maggio, era stato chiarito che nonostante le difficoltà dovute alla mancata approvazione della decreto di adeguamento, i controlli sarebbero partiti da subito.

Vi sono alcuni adempimenti obbligatori che il GDPR prevede che ciascuna impresa o professionista effettui entro il 25 maggio 2018 e sono proprio questi i punti sui quali si soffermerà la Guardia di Finanza.

Si tratta dell’obbliga di nomina del DPO, così come i controlli sulle misure previste dall’azienda nel caso di data breach ovvero sulla tenuta del registro dei trattamenti, che per le Fiamme Gialle sarà la base per l’avvio di qualsiasi attività ispettiva.

L’attività ispettiva della Guardia di Finanza sul rispetto delle novità privacy avrà importanza fondamentale nel consentire al Garante di stabilire la misura delle sanzioni, ove previste.

L’importo della multa sarà determinato in base agli elementi raccolti durante le ispezioni, sulla base dei principi di effettività, proporzionalità e dissuasività.

Il tutto, però, una volta trascorso il periodo transitorio di otto mesi che, a scanso di cambi di rotta, troverà posto nel testo del decreto attuativo del GDPR.

Decreto di adeguamento GDPR, non sarà abrogato il Codice della Privacy

Per semplificare la procedura di adeguamento delle leggi italiane al GDPR il Codice della Privacy non sarà abrogato come precedentemente previsto ma modificato e integrato con le novità introdotte, tra le quali il principio di accountability.

Inoltre, il Consiglio dei Ministri ha scelto di garantire la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti.

Essi restano fermi nell’attuale configurazione nelle materie di competenza degli Stati membri, mentre possono essere riassunti e modificati su iniziativa delle categorie interessate quali codici di settore.

A fronte delle importanti novità introdotte, a questo punto non si può che sperare che il testo del decreto di adeguamento venga pubblicato presto in Gazzetta Ufficiale.

Moratoria, il GDPR Italiano

Il Consiglio dei Ministri approva in via definitiva il decreto attuativo del GDPR: regole semplificate per le PMI e moratoria di otto mesi per controlli e sanzioni.

Moratoria di otto mesi per i controlli sull’adeguamento al GDPR e semplificazioni per le PMI: sono alcuni punti fondamentali del decreto approvato dal Governo di adeguamento alle nuove regole europee. Si tratta, tecnicamente, dell’attuazione dell’articolo 13 della legge di delegazione europea 2016-2017, che coordina la normativa nazionale con la legge UE. L’Italia sceglie una strada già intrapresa da altri Paesi, prevedendo un periodo soft di applicazione del GDPR, senza controlli e sanzioni, da parte del Garante.

«Si è scelto di garantire la continuità facendo salvi, per un periodo transitorio, i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti» segnala il Consiglio dei Ministri al termine della riunione dell’8 agosto 2018.

Non solo: «in considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, si è previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento».

Titolare del trattamento

Il titolare del trattamento è, in base al GDPR, «la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri». Nel caso dell’impresa quindi, è la persone giuridica “impresa” ad avere la titolarità del trattamento, la cui responsabilità viene affidata a un responsabile del trattamento. Che è «colui che tratta dati personali per conto del titolare del trattamento».

Provvedimenti del Garante

Chiariti questi aspetti, il punto è che la normativa italiana prevede semplificazioni per le PMI, che saranno messe a punto da provvedimenti del Garante. C’è poi, per tutte le imprese e gli altri soggetti giuridici tenuti al rispetto delle nuove norme sulla privacy, la moratoria su ispezioni e sanzioni per un periodo di otto mesi. C’è quindi tempo per adeguare le proprie procedure fino al gennaio 2019.

Si attende intanto la pubblicazione del testo integrale del decreto di adeguamento nella Gazzetta Ufficiale.

Doveri, come trattare i dati

Doveri e Principi generali del trattamento di dati personali

Ogni trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’articolo 5 del Regolamento (UE) 2016/679, che qui si ricordano brevemente:

  • doveri di liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato;
  • limitazione della finalità del trattamento, compreso l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati;
  • doveri di minimizzazione dei dati: ossia, i dati devono essere adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento;
  • esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento;
  • doveri di limitazione della conservazione: ossia, è necessario provvedere alla conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
  • integrità e riservatezza: occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento.

Il Regolamento (articolo 5, paragrafo 2) richiede al titolare di dovere rispettare tutti questi principi e di essere “in grado di comprovarlo”. Questo è il principio detto di “responsabilizzazione” (o accountability) che viene poi esplicitato ulteriormente dall’articolo 24, paragrafo 1, del Regolamento, dove si afferma che “il titolare mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente Regolamento.” 

Assicurare la liceità del trattamento di dati personali rientra tra i doveri del Titolare

Il Regolamento, come già il d.lgs 196/2003 Codice in materia di protezione dei dati personali, prevede che ogni trattamento deve trovare fondamento in un’idonea base giuridica. I fondamenti di liceità del trattamento di dati personali sono indicati all’articolo 6 del Regolamento:

– consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.

Per quanto riguarda le “categorie particolari di dati personali” (articolo 9 del Regolamento), il loro trattamento è vietato, in prima battuta, a meno che il titolare possa dimostrare di soddisfare almeno una delle condizioni fissate all’articolo 9, paragrafo 2 del Regolamento, che qui ricordiamo: 

  • l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche;
  • il trattamento è effettuato da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali;
  • il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;
  • il trattamento è necessario per uno dei seguenti scopi:
    • per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale;
    • per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
    • per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
    • per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri;
    • per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali;
    • per motivi di interesse pubblico nel settore della sanità pubblica;
    • per il perseguimento di fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

Per alcune di tali finalità sono previste limitazioni o prescrizioni ulteriori, anche nel diritto nazionale. 

Consenso, rientra tra i doveri

Quando il trattamento si fonda sul consenso dell’interessato, il titolare  deve sempre essere in grado di dimostrare (articolo 7.1 del Regolamento) che l’interessato ha prestato il proprio consenso), che è valido se:

  • all’interessato è stata resa l’informazione sul trattamento dei dati personali (articoli 13 o 14 del Regolamento);
  • è stato espresso dall’interessato liberamente, in modo inequivocabile e, se il trattamento persegue più finalità, specificamente con riguardo a ciascuna di esse. Il consenso deve essere sempre revocabile.

Occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (articolo 7.2), per esempio all’interno della modulistica. 

Non è ammesso il consenso tacito o presunto (per esempio, presentando caselle già spuntate su un modulo).

Quando il trattamento riguarda le “categorie particolari di dati personali” (articolo 9 Regolamento) il consenso deve essere “esplicito”; lo stesso vale per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – articolo 22).

Il consenso non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per le categorie particolari di dati di cui all’articolo 9 Regolamento).

Per approfondimenti: Linee-guida del WP29  sul consenso, qui disponibili: www.garanteprivacy.it/regolamentoue/consenso. Si segnalano anche le linee-guida in materia di profilazione e decisioni  automatizzate del Gruppo “Articolo 29” (WP 251), qui disponibili: www.garanteprivacy/regolamentoue/profilazione.

Interesse vitale di un terzo

Si può invocare tale base giuridica per il trattamento di dati personali solo se nessuna delle altre condizioni di liceità può trovare applicazione (considerando 46).

Interesse legittimo prevalente di un titolare o di un terzo

Il ricorso a questa base giuridica per il trattamento di dati personali presuppone che il titolare stesso effettui un bilanciamento fra il legittimo interesse suo o del terzo e i diritti e libertà dell’interessato. Dal 25 maggio 2018, dunque, tale bilanciamento non spetta più all’Autorità, in linea di principio. Si tratta di una delle principali espressioni del principio di “responsabilizzazione” introdotto dal Regolamento 2016/679.

L’interesse legittimo del titolare o del terzo deve risultare prevalente sui diritti e le libertà fondamentali dell’interessato per costituire un valido fondamento di liceità.

I Regolamento chiarisce espressamente che l’interesse legittimo del titolare non costituisce idonea base giuridica per i trattamenti svolti dalle autorità pubbliche in esecuzione dei rispettivi compiti.

Si ricordi, inoltre, che il legittimo interesse non può essere invocato isolatamente quale base giuridica per il trattamento delle categorie particolari di dati personali (articolo 9, paragrafo 2, del Regolamento).

Trasparenza del trattamento: l’informativa agli interessati

Fatte salve alcune eccezioni, chi intende effettuare un trattamento di dati personali deve fornire all’interessato alcune informazioni anche per  metterlo nelle condizioni di esercitare i propri diritti (articoli 15-22 del Regolamento medesimo). 

QUANDO

L’informativa (disciplinata nello specifico dagli artt. 13 e 14 del Regolamento) rientra tra i doveri e deve essere fornita all’interessato prima di effettuare il trattamento, quindi prima della raccolta dei dati (se raccolti direttamente presso l’interessato: articolo 13 del Regolamento). 

Nel caso di dati personali non raccolti direttamente presso l’interessato (articolo 14 del Regolamento), l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato) (diversamente da quanto prevedeva l’articolo 13, comma 4, del Codice).

COSA

I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del Regolamento e, in parte, sono più ampi rispetto al Codice. In particolare, il titolare deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati – Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.). Se i dati non sono raccolti direttamente presso l’interessato (articolo 14 del Regolamento), l’informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento. 

In tutti i casi, il titolare nei propri doveri, deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati.

Il Regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo.

Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.

COME

L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online:  articolo 12, paragrafo 1, e considerando 58). Sono comunque ammessi “altri mezzi”, quindi può essere fornita anche in forma orale, ma nel rispetto delle caratteristiche di cui sopra (articolo 12, paragrafo 1). 

Il Regolamento ammette l’utilizzo di icone per presentare i contenuti dell’informativa in forma sintetica, ma solo “in combinazione” con l’informativa estesa (articolo 12, paragrafo 7); queste icone in futuro dovranno essere uniformate in tutta l’Ue attraverso l’intervento dalla Commissione europea.

In base al Regolamento, rientra tra i doveri, di porre particolare attenzione alla formulazione dell’informativa, che deve essere soprattutto comprensibile e trasparente per l’interessato, attraverso l’uso di un linguaggio chiaro e semplice. In particolare, bisogna ricordare che per i minori si devono prevedere informative idonee (anche considerando 58).

Per maggiori dettagli ed esempi di redazione di informative,  il documento del WP29 in materia di “Trasparenza” del trattamento, qui disponibile: www.garanteprivacy.it/regolamentoue/trasparenza

Un approccio responsabile al trattamento: Accountability

Il Regolamento pone l’accento sulla “responsabilizzazione” di titolari e responsabili, ossia, sull’ adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento (artt. 23-25, in particolare, e l’intero Capo IV del Regolamento). Dunque, viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel Regolamento.

Il primo fra i doveri è che sintetizzato dall’espressione inglese “data protection by default and by design” (articolo 25), ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del Regolamento e tutelare i diritti degli interessati, tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, secondo quanto previsto dall’articolo 25, paragrafo 1, del Regolamento) e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.

Fondamentali fra tali attività e doveri, sono quelle connesse al secondo criterio individuato nel Regolamento rispetto alla gestione degli obblighi dei titolari: ossia il rischio inerente al trattamento. Quest’ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati (considerando 75-77); tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione (artt. 35- 36) tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi (si segnalano, al riguardo, le linee-guida in materia di valutazione di impatto sulla protezione dei dati del Gruppo “Articolo 29”, qui disponibili: www.garanteprivacy.it/Regolamentoue/DPIA). (Vedi anche: il tutorial del Garante sul concetto di “rischio”)

All’esito di questa valutazione di impatto, il titolare:

  • potrà decidere se iniziare il trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero, se il rischio risulta ciononostante elevato;
  • rientra tra i doveri di consultare l’autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale; l’Autorità avrà quindi il compito di indicare le misure ulteriori eventualmente da implementare a cura del titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell’articolo 58 del Regolamento (dall’ammonimento del titolare fino alla limitazione o al divieto di procedere al trattamento).

In conseguenza dell’applicazione del principio di accountability, dal 25 maggio 2018 non sono più  previste

  • la notifica preventiva dei trattamenti all’autorità di controllo;
  • una verifica preliminare da parte del Garante per i trattamenti “a rischio” (anche se potranno esservi alcune eccezioni legate a disposizioni nazionali, previste in particolare dall’articolo 36, paragrafo 5 del Regolamento). 

Al loro posto, il Regolamento prevede in capo ai titolari l’obbligo (pressoché generalizzato) di tenere un registro dei trattamenti e, appunto, di effettuare valutazioni di impatto in piena autonomia con eventuale successiva consultazione dell’Autorità. 

Principio di “responsabilizzazione” doveri dei titolari e responsabili del trattamento: principali elementi

Rapporti contrattuali fra titolare e responsabile del trattamento

Il Regolamento definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE e, quindi, al Codice privacy italiano.

Tuttavia, il Regolamento (articolo 28) prevede dettagliatamente le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti. Deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’articolo 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti”, quali, in particolare: 

  • la natura, durata e finalità del trattamento o dei trattamenti assegnati
  • le categorie di dati oggetto di trattamento
  • le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel Regolamento

Inoltre, il Regolamento prevede dei doveri e delgi obblighi specifici in capo ai responsabili del trattamento, distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare:

  • la tenuta del registro dei trattamenti svolti (articolo 30, paragrafo 2); 
  • l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (articolo 32); 
  • la designazione di un RPD-DPO, nei casi previsti dal Regolamento o dal diritto nazionale (articolo 37).

Una novità importante del Regolamento è la possibilità di designare sub-responsabili del trattamento da parte di un responsabile (articolo 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest’ultimo risponde dinanzi al titolare dell’inadempimento dell’eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l’evento dannoso “non gli è in alcun modo imputabile” (articolo 82, paragrafo 1 e paragrafo 3).

Registro dei trattamenti rientra tra i doveri

Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti – ma solo se non effettuano trattamenti a rischio (articolo 30, paragrafo 5) – devono tenere un registro delle operazioni di trattamento, i cui contenuti sono indicati all’articolo 30.

Si tratta di uno strumento fondamentale allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, indispensabile per ogni valutazione e analisi del rischio. I contenuti del registro sono fissati nell’articolo 30. Tuttavia, niente vieta a un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell’ottica della complessiva valutazione di impatto dei trattamenti svolti. 

Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Misure di sicurezza e doveri

Il titolare del trattamento, come pure il responsabile del trattamento, ha tra i doveri, quello di adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio del trattamento (con l’obiettivo di evitare distruzione accidentale o illecita, perdita, modifica, rivelazione, accesso non autorizzato).

Fra tali misure e doveri, il Regolamento menziona, in particolare, la pseudonimizzazione e la cifratura dei dati; misure per garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; misure atte a garantire il tempestivo ripristino della disponibilità dei dati; procedure per verificare e valutare regolarmente l’efficacia delle misure di sicurezza adottate.

La lista di cui al paragrafo 1 dell’articolo 32 è una lista aperta e non esaustiva (“tra le altre, se del caso”). 

Per questi motivi, non possono sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza (articolo 33 Codice) poiché tale valutazione è rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati come da articolo 32 del Regolamento.

Vi è, inoltre, la possibilità di utilizzare l’adesione a specifici codici di condotta o a schemi di certificazione per attestare l’adeguatezza delle misure di sicurezza adottate (articolo 32, paragrafo 3).

Notifica di una violazione dei dati personali rientra tra i doveri del Titolare

A partire dal 25 maggio 2018, tutti i titolari  dovranno notificare al Garante le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati (considerando 85). Pertanto, la notifica all’Autorità dell’avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta al titolare. 

Se la probabilità di tale rischio è elevata, si dovrà informare delle violazione anche gli interessati, sempre “senza ingiustificato ritardo”; fanno eccezione le circostanze indicate al paragrafo 3 dell’articolo 34. 

I contenuti della notifica all’Autorità e della comunicazione agli interessati sono indicati, in via non esclusiva, agli articolo 33 e 34 del Regolamento.

Tutti i titolari di trattamento hanno tra i propri doveri, quello, in ogni caso di documentare le violazioni di dati personali subite, anche se non notificate all’autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e i provmenti adottati (articolo 33, paragrafo 5). È bene, dunque,  adottare le misure necessarie a documentare eventuali violazioni, anche perché i titolari sono tenuti a fornire tale documentazione, su richiesta, al Garante in caso di accertamenti.

Si segnalano, al riguardo, le linee-guida in materia di notifica delle violazioni di dati personali del Gruppo “Articolo 29”, qui disponibili: www.garanteprivacy/regolamentoue/databreach

Responsabile della protezione dei dati e i propri doveri

La designazione di un “responsabile della protezione dati” (RPD) è finalizzata a facilitare l’attuazione della normativa da parte del titolare/responsabile (articolo 39). Non è un caso, infatti, che fra i compiti e i doveri del RPD rientrino “la sensibilizzazione e la formazione del personale” e la sorveglianza sullo svolgimento della valutazione di impatto di cui all’articolo 35, oltre alla funzione di punto di contatto per gli interessati e per il Garante rispetto a ogni questione attinente l’applicazione del Regolamento. 

La sua designazione è obbligatoria e rientra tra i doveri, in alcuni casi (articolo 37), e il Regolamento delinea le caratteristiche soggettive e oggettive di questa figura (indipendenza, autorevolezza, competenze manageriali:  articoli 38 e 39) in termini che il Gruppo di lavoro “Articolo 29” ha ritenuto opportuno chiarire attraverso alcune linee-guida, disponibili anche sul sito del Garante, e alle quali si rinvia per maggiori delucidazioni unitamente alle relative FAQ (www.garanteprivacy.it/Regolamentoue/rpd).

Si segnalano anche i materiali disponibili nella sezione “Responsabile della protezione dati” sul sito del Garante, che comprendono ulteriori FAQ sul punto (www.garanteprivacy/regolamentoue/rpd)

I diritti e i doveri degli interessati

I titolari del trattamento devono rispettare le modalità previste per l’esercizio di tutti i diritti da parte degli interessati, stabilite, in via generale, negli artt. 11 e 12 del Regolamento

– In primo luogo, il titolare del trattamento ha tra i propri doveri di agevolare l’esercizio dei diritti da parte dell’interessato, adottando ogni misura (tecnica e organizzativa) a ciò idonea. Benché sia il solo titolare a dover dare riscontro in caso di esercizio dei diritti, il responsabile del trattamento è tenuto a collaborare con il titolare ai fini dell’esercizio di tali diritti (articolo 28, paragrafo 3, lettera e) ).

– Il titolare ha il diritto di chiedere informazioni necessarie a identificare l’interessato, e quest’ultimo ha tra i propri doveri di fornirle, secondo modalità idonee (, in particolare, articolo 11, paragrafo 2 e articolo 12, paragrafo 6).

– Il termine per la risposta all’interessato è, per tutti i diritti (compreso il diritto di accesso), pari a 1 mese, estendibile fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego.

– La risposta fornita all’interessato non deve essere solo “intelligibile”, ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.

– Spetta al titolare valutare la complessità del riscontro all’interessato e stabilire l’ammontare dell’eventuale contributo da chiedere all’interessato, ma soltanto se  si tratta di richieste manifestamente infondate o eccessive  – anche ripetitive (articolo12, paragrafo 5) – ovvero se sono chieste più “copie” dei dati personali nel caso del diritto di accesso (articolo 15, paragrafo 3). In quest’ultimo caso il titolare deve tenere conto dei costi amministrativi sostenuti. Il riscontro all’interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità; può essere dato oralmente solo se così richiede l’interessato stesso (articolo 12, paragrafo 1; articolo 15, paragrafo 3).

Trasferimento dei dati all’estero e/o Verso Paesi appartenenti all’Unione europea

Non possono esservi limitazioni né divieti alla libera circolazione dei dati personali nell’Unione europea per motivi attinenti alla protezione dei dati (Articolo 1, paragrafo 3 del Regolamento). Pertanto, non vi sono limiti di alcun genere per quanto riguarda i flussi di dati dall’Italia verso altri Stati membri dell’Ue (e dello Spazio Economico Europeo: Islanda, Norvegia, Liechtenstein).

Verso Paesi non appartenenti all’Unione europea

Il  trasferimento di dati personali verso Paesi non appartenenti all’Unione europea è vietato, in linea di principio.

Tale divieto può essere superato solo quando intervengano le seguenti specifiche garanzie (articoli da 44 a 49 del Regolamento UE 2016/679):

a) adeguatezza del Paese terzo riconosciuta tramite decisione della Commissione europea;

b) in assenza di decisioni di adeguatezza della Commissione, garanzie adeguate di natura contrattuale o pattizia che devono essere fornite dai titolari coinvolti (fra cui le norme vincolanti d’impresa – BCR, e clausole contrattuali tipo);

c) in assenza di ogni altro presupposto, utilizzo di deroghe al divieto di trasferimento applicabili in specifiche situazioni (articolo 49 del Regolamento).

Sono altresì vietati trasferimenti di dati verso titolari o responsabili in un Paese terzo sulla base di decisioni giudiziarie o ordinanze amministrative emesse da autorità di tale Paese terzo, a meno dell’esistenza di accordi internazionali in particolare di mutua assistenza giudiziaria o analoghi accordi fra gli Stati (articolo 48 del Regolamento UE 2016/679). Si potranno utilizzare, tuttavia, gli altri presupposti e in particolare le deroghe previste per situazioni specifiche di cui all’articolo 49 del Regolamento medesimo. E’ lecito trasferire dati personali verso un Paese terzo non adeguato “per importanti motivi di interesse pubblico”, in deroga al divieto generale, ma deve trattarsi di un interesse pubblico riconosciuto dal diritto dello Stato membro del titolare o dal diritto dell’Unione europea (articolo 49, paragrafo 4) – e dunque non può essere fatto valere l’interesse pubblico dello Stato terzo ricevente.

Si segnalano le raccomandazioni del Comitato europeo per la protezione dei dati relative all’utilizzo delle “deroghe” per i trasferimenti di dati di cui all’Articolo 49 del Regolamento. 

25 Maggio, GDPR, chi e perchè

https://www.studiocataldi.it/images/imgnews/gdpr_privacy_avvocato-id29780.jpg25 maggio 2018 entra in vigore il GDPR, il regolamento europeo 2016/679 che rende omogenea la normativa a tutela dei dati personali in tutti gli stati dell’Unione Europea.

Riguarda chiunque raccolga e tratti dati di persone fisiche, come accade ad esempio attraverso un modulo contatti sul proprio sito web.
Il titolare dei dati (ovvero il proprietario del sito) deve avere un consenso esplicito, informato e documentabile per ognuna delle finalità per cui vengono raccolti dati personali.

Nel caso di un modulo di contatto la finalità di base che l’utente sottoscrive è solo quella di ricevere una risposta alla richiesta inviata, ogni altro utilizzo della sua email o del suo numero di telefono riguardano finalità diverse che necessitano un consenso esplicito da parte sua (ad esempio a ricevere newsletter, essere contattato per offerte future, essere inserito in una banca dati…).

Ti ricordiamo pertanto che, se non l’hai ancora fatto, in quanto titolare dei dati sei tenuto ad adeguare la tua azienda alla normativa, comprendendo anche l’aggiornamento del tuo sito web, e tutto entro il 25 maggio 2018.
Questo vale anche per chi già era a norma con il regolamento italiano, che il GPDR va a sostituire.

Il regolamento prevede rigide sanzioni che possono raggiungere il 4% del fatturato dell’anno precedente.

Per l’adeguamento al GDPR è consigliabile una consulenza Tecnico-legale da parte di un professionista in materia.

Il GDPR, al 25 maggio 2018, tutela i principi e i diritti fondamentali, garantendo agli utenti la possibilità di avere pieno controllo e governo dei propri dati, indipendentemente dal nome della società che li utilizza.

I benefici sono numerosi e di differente natura. Ad esempio possono essere relativi al contesto dei servizi, della pubblicità di prodotti e del marketing in generale, così come possono riferirsi ad aziende che utilizzano propri contenuti e informazioni personali. Altre prescrizioni del GDPR facilitano la migrazione da un fornitore di servizi ad un altro, grazie alla possibilità di richiedere la portabilità delle informazioni.

Di seguito inseriremo alcuni link ad articoli che ti aiuteranno a colmare, a seconda della tua categoria, il dubbio sul GDPR, il normale dubbio che tutti si chiedono, “ma devo adegurami?” e tutto entro il 25 maggio 2018.

  1. Siti WEB, artigiani, studi e negozi
  2. Guida per studi legali
  3. D.P.O. per studi medici
  4. D.P.O. in farmacia, obbligo o cautela
  5. GDPR e gli agenti di commercio
  6. B&B obbligo?

In 8 punti spieghiamo il GDPR

Risultati immagini per gdprIl GDPR è una materia vasta e complessa che tocca diversi punti nevralgici dell’azienda.

Destreggiarsi tra i vari articoli e capire concretamente cosa bisogna fare per mettersi in regola è complicato, soprattutto per quelle aziende che con fatica possono distogliere l’attenzione dai propri obiettivi di business.

Questo è il primo di una serie di post legati al Regolamento per la protezione dei dati che ci permetterà di approfondire sempre di più la materia e dare consigli pratici e soluzioni da adottare per rispondere ai requisiti.

1) Il GDPR cos’è

Con GDPR, acronimo di General Data Protection Regulation, si intende il Regolamento UE 2016/679 entrato in vigore il 24 maggio e direttamente applicabile dal 25 maggio 2018, termine ultimo per adeguarsi ai principi

L’intera normativa GDPR si basa su due importanti direttrici: il rafforzamento del concetto di responsabilizzazione e dei doveri che ne conseguono per il Titolare del trattamento e il rafforzamento dei diritti dell’interessato.

Il Titolare del trattamento, quindi, deve adeguarsi ai principi del Regolamento, mettendo in atto misure tecniche e organizzative per provarne l’adattamento e assicurarne il mantenimento.

Per ottemperare agli obblighi del GDPR, sono necessari due elementi:

Privacy by design → già in fase di progettazione dei sistemi informativi e dei mezzi per il trattamento, devono essere designate le misure tecniche e organizzative adeguate
Privacy by default → Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.

2) I principi guida del GDPR

Oltre al principio cardine della responsabilizzazione, sono da annoverare i seguenti punti chiave:

Liceità, correttezza e trasparenza → i dati personali sono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato
Minimizzazione dei dati → i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità
Esattezza → i dati personali devono essere esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti
Limitazione della conservazione → i dati personali devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati

Integrità e riservatezza → i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione dalla distruzione o dal danno accidentali.

3) Chi deve adeguarsi al GDPR

A chi si applica il GDPR?

Questo Regolamento coinvolge tutte le aziende europee che gestiscono in vari modi i dati personali; in particolare:

si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione. (art.3)

Non rientrano, quindi, nel tema, tutte le attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale.

4) I diritti dell’interessato

Se da una parte vengono elencati gli obblighi per i Titolari del trattamento, dall’altra vengono elaborati dei diritti a favore dell’interessato del trattamento. Fra questi:

Informativa sul trattamento. Le informazioni relative al trattamento devono essere presentate in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. L’interessato ha il diritto di essere informato sulla finalità del trattamento, sugli eventuali destinatari/utilizzatori dei dati, sul periodo di conservazione dei dati, sulle modalità per richiedere la rettifica o la cancellazione
Diritto di accesso. L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano
Diritto di rettifica e di cancellazione (o “diritto all’oblio). L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica o la cancellazione dei dati personali inesatti che lo riguardano senza ingiustificato ritardo
Diritto alla portabilità dei dati. L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti
Diritto di opposizione. L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali

5) Una nuova figura: il DPO

Il Regolamento introduce una nuova figura, il DPO, ovvero il Data Protection Officer.

In cosa consiste il ruolo del DPO? Il DPO, innanzitutto, può essere un dipendente o un consulente esterno.

Il DPO, come dice già il suo nome, è il Responsabile della Protezione dei Dati (diverso dal Responsabile o Titolare del trattamento). Quali sono i suoi compiti?

Informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR
sorvegliare l’osservanza del GDPR, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo
fungere da punto di contatto per l’autorità di controllo

6) Strumenti per garantire la sicurezza dei dati personali

Il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative utili per garantire un livello di sicurezza adeguato al rischio, che comprendono, solo a titolo di esempio,

la pseudonimizzazione e la cifratura dei dati personali
la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

7) Inventario degli asset tecnologici (o “Asset Inventory”)

Su questo tema, verrà riservato un post specifico, entrando un po’ più negli aspetti pratici su che cosa devono fare concretamente le aziende.

Tra le azioni pratiche da adottare per rispondere ai requisiti richiesti dal GDPR è importante l’Asset Inventory (o inventario degli asset tecnologici).

L’inventario degli asset tecnologici serve ad avere una panoramica completa di tutti gli elementi che compongono il sistema, compresi quelli preposti alla sicurezza e alla gestione delle informazioni. Alcuni degli elementi da censire:

Dispositivi: Computer, server, tablet, dispositivi di rete ma anche telecamere IP, apriporta, sistemi di rilevazione presenza, …
Software: Dotazione software dei dispositivi presenti in rete e informazioni dettagliate degli stessi.
Archivi: Database, condivisioni di file
Utenti: Elenco degli utenti che hanno diritto all’accesso a dispositivi e software presenti in azienda

L’Asset Inventory è lo step intermedio tra la stesura del Registro dei trattamenti e il Sistema informativo. Attraverso il Registro dei trattamenti, i Responsabili dell’azienda stilano una lista di tutti gli applicativi utilizzati per il trattamento. Il Registro può essere sia in forma scritta sia in formato elettronico e rappresenta un censimento, costantemente aggiornato, dei dati trattati, degli archivi, delle categorie degli interessati. A questo si aggiunge l’Asset Inventory, l’inventario di tutti gli asset tecnologici presenti in azienda.

8) Cos’è il Data Breach e cosa comporta

Cosa succede in caso di violazione dei dati personali (chiamata anche Data Breach)?

In caso di violazione dei dati personali, il titolare del trattamento deve notificare la violazione all’autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

La notifica deve avere le seguenti caratteristiche:

Descrivere la natura della violazione dei dati personali compresi,
Comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
descrivere le probabili conseguenze della violazione dei dati personali
descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

a chi si applica il GPDR?

Risultati immagini per chi si deve adeguarsi al gdprA chi si applica?, negli ultimi vent’anni, il forte impatto della tecnologia ha comportato un cambiamento significativo per quanto attiene al trattamento dei dati: è cambiato non solo il modo di percepire il tema della protezione dei dati, ma anche il modo in cui essi vengono prodotti, raccolti e fatti circolare. Questo mutamento ha ormai reso obsoleta la precedente direttiva europea (dir 95/46/CEE), rendendo necessaria l’introduzione del nuovo Regolamento UE 679/2016, che muta radicalmente l’approccio alla gestione dei dati personali.

Il GDPR, pubblicato in GUCE del 4 maggio 2016, il è già in vigore e deve trovare piena e completa applicazione in data 25 maggio 2018.
Questo pertanto è il primo  di una serie di blog con i quali si affronterà – punto per punto – la nuova disciplina.

La prima domanda che viene spontanea è quindi: a chi si applica il nuovo Regolamento 679?
Circa la sua applicazione materiale, l’art. 2 del Regolamento stabilisce che lo stesso deve trovare applicazione in due ipotesi:

  1. quando il trattamento dei dati è gestito in forma completamente o parzialmente automatizzata dall’azienda, ad esempio tramite database.
  2. ed altresì quando il trattamento dei dati non è automatizzato (quindi è cartaceo) ma i dati contenuti ed organizzati in un archivio o essere destinati a figurarvi.

In questo senso, indipendentemente dalla modalità con la quale le aziende decidono di raccogliere i dati, le stesse devono comunque sottostare alla medesima disciplina. In questo modo, la tutela dei dati risulta tecnologicamente neutrale.

Quando, invece, NON si applica il Regolamento? Sono esclusi i casi di trattamento di dati puramente personale da parte di persone fisiche, come la gestione della corrispondenza privata, o l’uso personale dei servizi di social networking. Le attività miste (ad esempio, l’invio di corrispondenza che comprende sia contenuti personali, sia contenuti connessi alle imprese) non sono invece esenti, e devono pertanto seguire le indicazioni del Regolamento 679/2016. Inoltre per l’applicazione della normativa non incide né il settore né la grandezza dell’organizzazione: gli stessi adempimenti si applicano alle piccole imprese e grandi multinazionali, con pochissime eccezioni.

In definitiva, il nuovo Regolamento si inserisce nell’ordinamento europeo con lo scopo  ridisciplinare e gestire in maniera diversa i dati personali. Il Regolamento colma le lacune giuridiche derivanti dal rapido sviluppo della tecnologia, che oggi è presente anche negli aspetti più personali della vita degli individui, e che era necessario regolamentare. 

Tabella Adempimenti GDPR

Con questa tabella si offre a disposizione dell’utenza uno schema sintetico degli obblighi/adempimenti/cautele di spettanza del titolare del trattamento in base alle norme del GDPR – Regolamento UE 2016/679 (relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali).

Per una esigenza di articolazione e maggiore significatività della tabella, gli obblighi/adempimenti/cautele sono riportati come di seguito:

Adempimento

Capo,

articolo

I principi applicabili al trattamento dei dati personali

I dati debbono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. Le finalità devono essere determinate, esplicite e legittime; i dati: adeguati, pertinenti, esatti ed aggiornati, oltre che limitati a quanto necessario rispetto alle finalità, e comunque da trattare in modo da garantirne un’adeguata sicurezza.

II – 5

Acquisizione del consenso da parte dell’interessato

e casistica di esonero dal relativo obbligo

Ciascun titolare deve distinguere i casi in cui per eseguire un trattamento è richiesto il (previo) consenso dell’interessato, da quelli in cui non è necessario acquisirlo. La richiesta del consenso deve essere presentata in modo distinto da altre richieste, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Quando per un trattamento è necessario il consenso, il titolare deve essere in grado di dimostrare che il consenso è stato effettivamente prestato. 

II – 6, 7

Il consenso dei minori a fronte di servizi ICT

Nei casi in cui è richiesto il consenso, il trattamento di dati relativo all’offerta diretta di servizi della società dell’informazione ai minori è lecito se il minore che ha prestato il consenso ha compiuto 16 anni. In caso di minori di 16 anni, deve essere acquisito il consenso di colui/coloro che ha/hanno la responsabilità genitoriale del minore e il titolare deve adoperarsi in ogni modo ragionevole, in considerazione delle tecnologie disponibili, per verificare la detta circostanza. 

II – 8

Trattamento di particolari categorie di dati

E’ formalizzato il divieto generale del trattamento dei dati corrispondenti a quelli attualmente definiti ‘sensibili’, oltre che dei dati genetici e biometrici. Dopodiché sono disposte specifiche eccezioni al divieto, come quelle relative alle ipotesi in cui: l’interessato ha prestato il consenso; i dati sono trattati per eseguire un contratto di lavoro e per le connesse esigenze di  sicurezza/protezione sociale; i dati sono trattati a fini di tutela di un interesse vitale dell’interessato; i dati personali sono stati resi pubblici dall’interessato, ecc.

II – 9

Trattamento di dati relativi a condanne penali e reati

Il trattamento dei dati personali sostanzialmente corrispondenti a quelli oggi definiti ‘giudiziari’ deve avvenire, alternativamente, sotto il controllo della autorità pubblica ovvero previa autorizzazione proveniente da norme dell’Unione e del singolo Stato membro che prevedano garanzie appropriate per i diritti e le libertà degli interessati.

II – 10

Trasparenza nella gestione dei trattamenti

Il titolare è tenuto ad adottare misure appropriate per fornire all’interessato tutte le informazioni/comunicazioni relative ai trattamenti gestiti dalla propria organizzazione, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. Il titolare è tenuto ad agevolare l’esercizio dei diritti da parte dell’interessato e, in particolare, a fornire un riscontro alla richiesta del medesimo senza ingiustificato ritardo e comunque entro un mese dal ricevimento della medesima (prorogabile di due mesi ove necessario, tenuto conto della complessità e del numero delle richieste).

III – 12

Informativa all’interessato

Adempimento basilare per qualsiasi titolare, si giova necessariamente di  una buona capacità di analisi (in particolare) dei flussi dei trattamenti. L’informativa richiesta dal Regolamento UE è più ricca di informazioni di quella attuale e la sua redazione è operazione niente affatto banale: per esempio, il titolare deve esplicitarvi il periodo di conservazione dei dati personali, ovvero i criteri utilizzati per determinare tale periodo. Non in ultimo, il linguaggio dell’informativa deve essere semplice e chiaro. Si distinguono le due fattispecie in cui la comunicazione delle informazioni è da correlare alla raccolta dei dati presso l’interessato ovvero presso un soggetto diverso. 

III – 13, 14

Il rispetto dei diritti dell’interessato

Il Regolamento formalizza un ampio catalogo di diritti che spettano all’interessato. Si tratta del diritto di accesso, del diritto di rettifica, del diritto alla cancellazione (più noto come diritto all’oblio), diritto di limitazione del trattamento, diritto alla portabilità dei dati, diritto di opposizione al trattamento, con gli eventuali connessi obblighi di notifica/comunicazione gravanti sul titolare.

III – 15, 1617, 1820, 21

Il particolare caso dei processi decisionali automatizzati

E’ riconosciuto il diritto dell’interessato a non essere sottoposto ad una decisione basata unicamente su un trattamento automatizzato dei dati che produca effetti giuridici che lo riguardano o che comunque incida significativamente sulla sua persona (tra le operazioni contemplate dalla norma campeggia la profilazione come definita dall’art. 4.1, n. 4). Il correlativo divieto non si applica ove la decisione si basi sul consenso esplicito dell’interessato, sia necessaria per l’esecuzione di un contratto con l’interessato, ovvero sia autorizzata dal diritto dell’Unione o del singolo Stato membro.

III – 22

Misure di sicurezza adeguate

Il titolare del trattamento deve adottare misure tecniche e organizzative adeguate al fine di garantire, ed essere in grado di dimostrare, la conformità del trattamento al Regolamento, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. Le dette misure debbono essere periodicamente riesaminate e aggiornate.

IV – 2432

Privacy by design (fin dalla progettazione)

Tenendo conto delle specifiche caratteristiche del trattamento e dei  connessi profili di rischio per i diritti e le libertà delle persone fisiche, all’atto del trattamento ovvero di determinare i mezzi del medesimo il titolare adotta misure tecniche e organizzative adeguate, in modo da attuare efficacemente i principi di protezione dei dati e da garantire nel trattamento i requisiti del Regolamento e la tutela dei diritti degli interessati.

IV – 25.1

Privacy by default (per impostazione predefinita)

Il titolare del trattamento attua misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ciascuna finalità del trattamento. Obbligo che vale per la quantità dei dati raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità ai dati stessi.

IV – 25.2

Contitolarità del trattamento

Nel caso in cui due o più titolari operano come contitolari del trattamento (determinando congiuntamente finalità e mezzi del medesimo), concordano in modo trasparente, mediante un contratto, la ripartizione delle responsabilità del trattamento, con particolare riguardo all’esercizio dei diritti degli interessati e ai connessi obblighi informativi. Il contenuto essenziale dell’accordo deve essere messo a disposizione degli interessati.

IV – 26

Nomina del Rappresentante del titolare

Laddove si applichi l’art. 3.2 (trattamento di dati personali relativi ad interessati che si trovano nell’Unione da parte di titolare/responsabile non stabilito nell’UE), il titolare/responsabile designa per iscritto un proprio rappresentante nell’Unione. Il rappresentante è l’indefettibile interlocutore della competente autorità di controllo e degli interessati, per tutte le questioni riguardanti il trattamento.

IV – 27

Nomina del Responsabile del trattamento

Il titolare può nominare un responsabile che effettui il trattamento per suo conto. Il titolare ha la responsabilità di scegliere per tale incarico un soggetto/organismo che presenti garanzie sufficienti per mettere in atto le prescritte misure tecniche e organizzative adeguate. Il Regolamento stabilisce un numero cospicuo di requisiti minimi di contenuto del contratto tra titolare e responsabile del trattamento.

IV – 28

Obbligo di istruzione da parte del Titolare

Il titolare del trattamento deve previamente istruire tutti coloro che siano autorizzati ad accedere ai dati personali, compreso il responsabile del trattamento.

IV – 29

Adozione del Registro delle attività di trattamento

E’ adempimento obbligatorio per il titolare del trattamento con almeno 250 dipendenti o che, anche al di sotto di tale soglia dimensionale, effettui un trattamento che possa presentare un rischio per i diritti e le libertà degli interessati che non sia occasionale o che includa dati sensibili, genetici, biometrici, giudiziari. Cuore del documento è una mappa dettagliata di tutti i trattamenti effettuati dall’organizzazione del titolare.

IV – 30

Obbligo di cooperazione con l’autorità di controllo

Il titolare è tenuto a cooperare con l’autorità di controllo, quando quella gliene faccia richiesta.

IV – 31

Notificazione di una violazione dei dati

Rientra tra gli obblighi del titolare anche la notifica all’autorità di controllo (Garante) senza ingiustificato ritardo – e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza -, di ogni violazione della sicurezza dei dati personali che presenti un rischio per i diritti e le libertà delle persone fisiche.

IV – 33

Comunicazione di una violazione dei dati all’interessato

Quando la violazione della sicurezza dei dati presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare deve darne notizia all’interessato senza ingiustificato ritardo. La norma fissa i requisiti di contenuto della comunicazione, che deve essere redatta con un linguaggio semplice e chiaro. Altresì la norma individua i casi in cui la detta comunicazione non è richiesta (per semplicità, quando il titolare ha adottato misure tali da scongiurare il rischio o quando la comunicazione richiederebbe sforzi sproporzionati. 

IV – 34

Redazione della Valutazione d’impatto sulla protezione dati

e consultazione dell’autorità di controllo

Si tratta di un ulteriore adempimento che grava sul titolare che debba iniziare un trattamento molto rischioso per i diritti e le libertà delle persone fisiche. Ciò si può verificare, in particolare, quando sia implicato l’uso di nuove tecnologie, ovvero in considerazione di altre caratteristiche (natura, oggetto, contesto, finalità) del trattamento. Quando la valutazione di impatto indichi che il trattamento presenta un rischio elevato, prima di procedere al trattamento il titolare è tenuto a consultare l’autorità di controllo.

IV – 35, 36

Nomina di un Responsabile della Protezione dei Dati

(Data Protection Officer – DPO)

La nomina del DPO è adempimento obbligatorio quando il titolare del trattamento: a)  è  autorità/organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali); b) effettua trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; c) effettua come attività principali trattamenti su larga scala di dati sensibili, genetici, biometrici, giudiziari. Il DPO ha compiti di informazione, formazione, consulenza e sorveglianza dell’adempimento della disciplina ‘privacy’. E’ anche l’interlocutore dell’autorità di controllo.

IV, 37-39

Adesione a codici di condotta/sistemi di certificazione

Si tratta di adempimenti volontari del titolare mediante i quali può implementare importanti misure di sicurezza dei trattamenti e dimostrare la conformità delle attività di trattamento ai requisiti stabiliti dal Regolamento.

IV – 40-42

Cautele per il trasferimento dei dati in Paesi terzi

Il trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale deve essere effettuato nel rispetto di specifiche condizioni affinché non sia pregiudicato il livello di protezione delle persone fisiche garantito dal Regolamento.

V – 444546
474849

Obbligo di risarcimento del danno

Il titolare è tenuto a risarcire il danno materiale o immateriale cagionato da una violazione del Regolamento. Egli è esonerato da tale responsabilità soltanto se dimostra che l’evento dannoso non gli è in alcun modo imputabile.

VIII – 82

2016/679, Chiarezza sul nuovo regolamento

2016/679, il regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation- Regolamento UE 2016/679) è un Regolamento con il quale la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali all’interno dei confini dell’Unione europea (UE). Il Regolamento è alla “base” di un edificio normativo in cui sono ancora in fase di costruzione o di progettazione quei “piani superiori”, che risultano fondamentali per le imprese per avere indicazioni certe su come porsi al riparo da sanzioni ed applicare il regolamento nella forma più giusta e sostenibile per le loro società. L’adeguamento al GDPR risulta essere complesso stante la stessa complessità del regolamento e l’incertezza di applicazione.

OBIETTIVO:

L’obiettivo del regolamento 2016/679 è quello di standardizzare le normative in materia di protezione dei dati in tutta l’UE, con un unico insieme di regole in tutti gli Stati membri dell’UE su come le aziende raccolgono, utilizzano e condividono dati provenienti dai cittadini.
L’obiettivo finale è quello di fornire una maggiore privacy e protezione dei dati per i cittadini dell’UE.

A CHI E’ RIVOLTO:

per fare chiarezza, i regolamenti si applicano alle società con sede e con uffici situati nell’Unione Europea. Ciò include anche le società che raccolgono dati sui residenti dell’UE e quelli che elaborano i dati per conto di tali società (come i CSP). Tuttavia  si applica anche alle società che raccolgono o elaborano dati sui cittadini dell’UE, anche se non sono fisicamente ubicati nell’UE.
L’UE definisce i dati personali come “qualsiasi informazione relativa a un individuo, sia per quanto riguarda la sua vita privata, professionale o pubblica: può essere un nome, un indirizzo di casa, una foto, un indirizzo di posta elettronica, post sui siti web di social networking, informazioni mediche o indirizzo IP del computer “.

QUALI SONO I SETTORI CHE DEVONO CONFORMARSI:

Ci sono diversi settori della compliance che devono adeguarsi al nuovo regolamento.
Per quanto riguarda la raccolta dei dati, le aziende dovranno esaminare con chiarezza le politiche e le notifiche sulla privacy, poiché il nuovo regolamento 2016/679 stabilisce alcuni standard circa il consenso per la raccolta dei dati e per i diritti individuali.
Il GDPR mette inoltre in atto misure di responsabilità, incluse le esigenze per le valutazioni dell’impatto sulla privacy, la privacy by designed e by default , i requisiti per il trasferimento dei dati e nuove norme che richiedono la segnalazione della violazione entro 72 ore.
Infine, alcune aziende dovranno anche nominare un responsabile per la protezione dei dati (DPO) , una nuova posizione per monitorare la conformità del GDPR che le imprese dovranno nominare se sono 1) le autorità pubbliche; 2) se trattano i dati come componente fondamentale del loro business o se trattano i dati su larga scala; 3) se elaborano dati di natura riservata.

A QUALI SANZIONI SI VA INCONTRO

Le sanzioni sono pesanti se le aziende non si adegueranno al regolamento. Possono variare da un avviso scritto a sanzioni finanziarie fino al 2 per cento o al 4 per cento dei ricavi annuali di una società (fino ad un massimo di 20 milioni). Le sanzioni sono ripetute sulla base di quali misure le aziende non sono riuscite a soddisfare.

QUALI SONO LE SCADENZE

Il GDPR è stato approvato nell’aprile del 2016 e ufficialmente è entrata in vigore in quella data. Tuttavia, alle imprese è stato concesso un periodo transitorio di due anni per conformarsi, che entrerà in vigore a partire dal 25 maggio 2018.


I luoghi comuni da sfatare

Il regolamento 2016/679 detto GDPR è la legge sulla privacy:

No.  La privacy è protetta dall’articolo 8 della Convenzione europea sui diritti umani. Il GDPR tutela il diritto al trattamento dei dati personali che deve essere eseguito anche – ma non solo – nel rispetto della privacy.

Il GDPR si applica anche alle persone giuridiche

No. Lo dice il titolo stesso del GDPR:

“REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons ”.

Può esserci, semmai, da affrontare il tema dei dati aziendali dei dipendenti (ruolo, ufficio di appartenenza, informazioni di contatto ecc.) che vengono scambiati nell’ambito delle normali attività lavorative.

Il GDPR si applica a tutti i trattamenti di dati personali :

No. Vale solo per i trattamenti eseguiti con sistemi di archiviazione o destinati ad esserlo.

I dati degli interessati possono essere trattati solo con il loro consenso: 

Il consenso è solo uno dei modi con i quali si può ottenere la titolarità del trattamento. L’adempimento a norme di legge, un accordo contrattuale o un legitimate interest del titolare sono casi nei quali si può procedere al trattamento senza il consenso dell’interessato.

Il data-breach deve essere sempre comunicato all’Autorità nazionale di protezione dei dati:

Il regolamento stabilisce con chiarezza che:

Non appena il controller viene a conoscenza che si è verificata una violazione dei dati personali,  deve notificare la violazione dei dati personali alle autorità di vigilanza …, a meno che il controller non è in grado di dimostrare , …, che la violazione dei dati personali è improbabile che si traduca in un rischio per i diritti e le libertà delle persone fisiche“.

“Certificazioni” DPO e “Privacy Officer”:

“La normativa attuale non prevede l’obbligo per i candidati di possedere attestati formali delle competenze professionali. Tali attestati, rilasciati anche all’esito di verifiche al termine di un ciclo di formazione, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza della disciplina ma, tuttavia, non equivalgono a una “abilitazione” allo svolgimento del ruolo del RPD. La normativa attuale, tra l’altro, non prevede l’istituzione di un albo dei “Responsabili della protezione dei dati” che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto. Enti pubblici e società private dovranno quindi comunque procedere alla selezione del RPD, valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti assegnati”. (Fonte: Avv. Andrea Lisi)

 Il GDPR si applica alle attività dell’Autorità giudiziaria penale:

No. Il regolamento lo esclude espressamente:

“La protezione delle persone fisiche per quanto riguarda il trattamento dei dati personali da parte delle autorità competenti ai fini della prevenzione, dell’indagine, dell’individuazione o del perseguimento di reati penali o dell’esecuzione di sanzioni penali, ivi compresa la tutela e la prevenzione delle minacce per il pubblico la sicurezza e la libera circolazione di tali dati, è oggetto di un atto giuridico specifico dell’Unione. Il presente regolamento non dovrebbe pertanto essere applicato alle attività di trasformazione a tal fine “ .

Il regolamento 2016/679, GDPR si applica, oltre che alle indagini, anche ai processi civili, penali e amministrativi:

Il regolamento stabilisce che:

“La competenza delle autorità di vigilanza non dovrebbe riguardare il trattamento dei dati personali quando i tribunali agiscono in qualità giudiziaria, al fine di salvaguardare l’indipendenza della magistratura nell’esercizio delle sue funzioni giudiziarie, compresa la decisione” .

Il termine per adeguarsi al regolamento 2016/679 scade il 25 maggio 2018:

Si e no. Formalmente, la data entro la quale completare il processo di adeguamento normativo è effettivamente il 25 maggio 2018, ma se il Parlamento non approverà la delega al Governo per l’emanazione dei “provvedimenti satellite” che completano il quadro normativo (per esempio, in relazione alle esenzioni per le imprese al di sotto dei 250 dipendenti) l’efficacia del GDPR sarà più limitata.


Il rispetto delle nuove normative può essere costoso in termini sia di tempo che di risorse.

Alcune piccole imprese con solo pochi clienti nell’UE possono decidere che l’adesione al regolamento non ne valga la spesa e desistere rinunciando a questi clienti.
Altri possono scegliere di superare i requisiti del GDPR dopo aver concluso che la sicurezza dei dati è un fattore importante per la loro brand identity.
La maggior parte probabilmente deciderà di soddisfare i requisiti minimi per avere le cose in ordine entro maggio prossimo.

Qualunque sia l’opzione scelta, scomporre il progetto in più fasi creando una scaletta sistematica da seguire contribuirà a rendere la conformità del GDPR un processo sopportabile.

qui viene riportato l’articolo originale

Inoltre, per chiarire l’obiettivo del nuovo regolamento 2016/679 è quello di migliorare le protezioni dei dati dei consumatori, per non generare ricavi da ammende.


 

GDPR, sansioni e responsabilità

GDPR, quasi la totalità dei nostri clienti, informati sugli obblighi dei nuovi adempimenti in materia di sicurezza dei dati personali, ci chiede?, e se non mi adeguo?.

Agenda Digitale, nella figura di Fabio Di Resta, risponde per noi, con uno splendito articolo che riportiamo per comodità di seguito, ma prima oltre che ringraziare il Dr. Di Resta, continuerei ad elencare i suoi titoli e le sue competenze: DPO in ambito Ospedaliero e sanitario, avvocato, LL.M., presidente del EPCE, titolare dello studio Di Resta Lawyers, docente al Corso di Alta Formazione in Antiriciclaggio, Univ. Sapienza di Roma.


https://dm2ue6l6q7ly2.cloudfront.net/wp-content/uploads/sites/3/2017/04/15170211/privacy_125855486.jpgChiariamo nel dettaglio quale sarà il quadro di responsabilità e sanzionatorio dopo l’applicazione del GDPR, ossia dopo il 25 maggio 2018. Ci sono diverse fattispecie e si va da un mera diffida amministrativa a sanzioni fino a 20 milioni di euro.

Come è noto l’attuale quadro normativo in materia di protezione dei dati personali è stato riformato dal nuovo regolamento europeo sulla protezione dei dati personali (Reg. UE 2016/679 anche indicato con l’acronimo GDPR).

Tale regolamento in realtà è il più importante tassello di una riforma europea complessiva della materia che riguarda altre direttive europee e trattati internazionali (per esempio, la direttiva UE 2016/680, la revisione del Reg. UE 2001/45 e della Convenzione internazionale del 28 gennaio 1981, n. 108).

Da non dimenticare che l’attuazione del GDPR ha già comportato la recente approvazione di due leggi come la legge 163/2017 (legge di delega al Governo, entrata in vigore il 21 novembre 2017) e la legge 167/2017 (in vigore dal 12 dicembre 2017) che contiene tra le altre disposizioni anche l’aggiornamento della disciplina relativa all’art. 29 del Codice della Privacy con specificazione degli elementi essenziali della nomina del responsabile del trattamento dei dati personali.

In tale contesto, ci si chiede di continuo quale sarà il quadro di responsabilità e sanzionatorio dopo l’applicazione del GDPR, ossia dopo il 25 maggio 2018.

Le sanzioni GDPR

Appare appena il caso di ricordare come tra le sanzioni amministrative più ricorrenti nel corso degli ultimi anni in materia vi sono certamente le sanzioni relative alla mancanza di informazioni nei confronti degli utenti e interessati in genere, l’omessa o inidonea informativa comporta infatti una limitazione all’autodeterminazione informativa dell’interessato ed è prevista dall’art. 161 del Codice della Privacy.

Si tratta di un articolo che prevede una sanzione pecuniaria da tremila a diciottomila euro, nel caso che l’omessa o inidonea informativa si riferisca a dati personali identificativi, ma in alcuni casi è previsto anche un aggravio della pena da cinquemila a trentamila euro.

Inoltre, vi sono altre violazioni amministrative previste dal Codice della Privacy, oltre all’omessa o incompleta notificazione, un articolo che merita particolare attenzione per la sua importanza sul lato operativo e applicativo soprattutto relativamente alle attività di vigilanza da parte del Garante, della Guardia di Finanza e degli pubblici ufficiali che riscontrano le predette violazioni, è l’art. 162 del Codice.

L’articolo punisce varie fattispecie dalla cessione dei dati personali tra titolari autonomi del trattamento alla comunicazione dei dati sanitari all’interessato in violazione dell’art. 84 del Codice.

In tale contesto, di particolare rilevanza operativa appare il comma 2 bis dell’art. 162 del Codice, il quale punisce con una sanzione amministrativa chi omette le misure minime di sicurezza e chi commette un trattamento illecito dei dati personali.

Per quanto attiene alla fattispecie di violazione amministrativa relativa al trattamento illecito dei dati preme mettere in evidenza che l’art. 167 C.d.P. effettua una serie di rinvii ad altre disposizioni, può costituire infatti trattamento illecito dei dati l’omesso consenso informativo (p.e. consenso unico per una pluralità di finalità incompatibili, compreso il marketing e promozione di beni o servizi) oppure comunicazioni indesiderate in violazione dell’art. 130 C.d.P.

Chi risponde delle violazioni

A questo punto occorre considerare che spesso si ritiene che l’unica persona tenuta a rispondere della sanziona amministrativa sia sempre solo e soltanto il titolare del trattamento (da intendersi come l’entità nel suo complesso), al responsabile del trattamento non è pertanto mai attribuibile l’illecito amministrativo?

In tali casi l’Autorità deputata all’accertamento dovrà operare in base alla legge n. 689/1981 la quale prevede che la notificazione del verbale venga effettuata al contravventore e al responsabile in solido, in tal modo la stessa viene non di rado contestata per esempio al titolare del trattamento e al responsabile del trattamento, nella misura in cui sussista un formale atto di designazione e siano riscontrate anche inadempienze gravi imputabili a tale ruolo.

Inoltre, merita di essere portato all’attenzione del lettore che l’art. 3 della legge n. 689/1981 prevede che la violazione amministrativa sia applicata anche qualora ricorra solo la colpa dell’agente, questo ha risvolti particolarmente rilevanti sul piano operativo.

Il passaggio merita una breve riflessione, mentre l’art. 167 sul trattamento illecito è un reato a dolo specifico e richiede anche che ricorra il nocumento (danno patrimoniale apprezzabile), questi due elementi non sono necessari affinché ricorra la violazione amministrativa è pertanto sufficiente che non vi sia un consenso o che il consenso prestato non abbia i requisiti di legge perché venga applicata la violazione amministrativa.

Per esempio di recente con riguardo all’inidoneità dell’informativa relativa ad un impianto di videosorveglianza il Garante ha contestato tale violazione sia al titolare del trattamento (una società editrice) in qualità di responsabile in solido, sia alla persona fisica che era stata designata in qualità di responsabile del trattamento dei dati rispetto al trattamento dei dati personali relativi alle immagini registrate [1].

Il caso citato non rappresenta certo una rarità nel quadro degli accertamenti e mette certamente in evidenza come un inadempimento grave da parte del responsabile del trattamento possa comportare responsabilità non solo sul titolare.

A tale riguardo diversi articoli del regolamento europeo rafforzano gli obblighi generali e di sicurezza del trattamento in capo al responsabile del trattamento, dagli articoli 28 e 30 all’art. 33 sulla notificazione della violazione dei dati, infine, l’articolo 83, lettera d) dando rilevanza al grado di responsabilità tra titolare e responsabile rende esplicita l’attribuzione anche al responsabile dell’illecito amministrativo.

Le responsabilità del RPD o DPO

Sull’altro versante, altro quesito ricorrente nei vari consessi specialistici è quali sono le responsabilità del RPD o DPO rispetto a quelle del titolare e del responsabile del trattamento?

Tale scenario deve far riflettere anche sulle responsabilità della nuova figura del responsabile della protezione dei dati personali (c.d. RPD) ovvero Data Protection Officer (c.d. DPO).

Si tratta come è noto di una sorta di supervisore indipendente che dovrà supportare il titolare e il responsabile nel garantire che l’organizzazione sia conforme al GDPR, o meglio è una funzione organizzativa assimilabile per molti versi al ruolo dell’Organismo di Vigilanza in base al d.lgs. 231/2001 (legge sulla responsabilità amministrativa degli enti).

Sebbene in questa sede non sia possibile analizzare i requisiti soggettivi (conoscenza specialistica e capacità di assolvere compiti anche con riguardo al settore specifico) ed oggettivi della nomina del DPO, preme ricordare che lo stesso ha compiti molto complessi, ulteriori e molto diversi rispetto al responsabile della trattamento dei dati, che vanno dalla comunicazione e sensibilizzazione al monitoraggio e alla verifica di conformità e dell’adeguatezza delle analisi dei rischi e delle misure di sicurezza, non ultimo il DPO sarà anche il punto di contatto con l’Autorità Garante per la protezione dei dati personali.

Sotto il profilo delle responsabilità da illecito amministrativo, il DPO non ha responsabilità dirette[2], tuttavia, permangono certamente responsabilità in via di rivalsa sul piano risarcitorio a favore del titolare e del responsabile che abbia subito un danno derivante da colpa grave o inadempienze gravi riferibili ai compiti previsti per il DPO.

Inoltre, il DPO come noto dovrà effettuare una supervisione complessa in ordine alla conformità al regolamento e dovrà anche garantire l’esercizio dei diritti dell’interessato con tempi prestabiliti.

Come accennato il DPO dovrà inoltre collaborare e fungere da contatto con l’Autorità garante mostrando il lavoro svolto in termini di documentazione (c.d. principio di accountability o di responsabilizzazione) delle misure di sicurezza adeguate ai rischi inerenti ai trattamenti de dati personali dell’organizzazione.

 Peraltro, non si devono trascurare i requisiti di indipendenza di tale figura, da una parte la non ingerenza da parte del titolare e dall’altra l’assenza di un conflitto di interessi.

Quest’ultimo aspetto dovrà essere valutato attentamente da parte del titolare e del responsabile del trattamento, evitando di designare persone che determinano le finalità e le modalità del trattamento e declinando tali criteri rispetto ai poteri e alle responsabilità del candidato DPO.

A questo riguardo il Gruppo Articolo 29 ha ritenuto che possa sussistere conflitto di interesse del DPO con i seguenti ruoli: l’amministratore delegato, il responsabile del personale, il responsabile del sistema informativo, il direttore sanitario, il direttore marketing.

Una scelta errata su questo aspetto critico potrà comportare l’applicazione di sanzioni molto elevate in capo al titolare e al responsabile del trattamento, è pertanto consigliabile avere un approccio proattivo al rischio, avviando sin da subito le dovute valutazioni per conformarsi al nuovo regolamento.

Le sanzioni in prospettiva europea

Infine, in riferimento al nuovo quadro sanzionatorio previsto dal regolamento europeo si ricorda che come previsto dall’art. 84 del regolamento europeo la materia penale rientra nella competenza di ciascuno Stato Membro, mentre le sanzioni amministrative pecuniarie sono armonizzate e devono osservare i criteri di effettività, proporzionalità e dissuasività.

L’art. 83 richiamando i tre criteri sopra menzionati specifica che le sanzioni devono essere applicate in funzione del singolo caso e tenendo conto della natura, della gravità e della durata della violazione, delle finalità del trattamento, del numero di interessati lesi e del livello del danno, oltre ad altri elementi come il carattere doloso o colposo della violazione, le misure adottate.

In termini molto generali, sebbene le sanzioni previste nel regolamento siano di importi molti elevati fino al 20 milioni di euro o il 4% del fattura mondiale annuale, il principio generale è che una violazione del regolamento dovrà comportare una imposizione di sanzioni equivalente in tutti gli Stati membri, a tale scopo le recenti linee guida pubblicare il 3 ottobre dal Gruppo articolo 29 analizzano i vari parametri in base ai quali determinare l’ammontare della sanzione che, in casi irrisori e che non hanno rischi significativi per gli interessati, potrà anche corrispondere una mera diffida amministrativa in alternativa alla sanzione pecuniaria (reprimand nella versione inglese), ma dall’altra parte, tenendo conto delle circostanze specifiche una violazione dei dati anziché comportare la pena fino a 10 mln di euro, sanzione relativa anche all’inosservanza della disciplina rivolta al Data Protection Officer, potrebbe anche comportare una sanzione pecuniaria superiore se dovessero ricorrere delle circostanze di maggiore gravità ed inosservanza delle prescrizioni dell’Autorità di controllo[3].

Consulting Privacy Team

Risultati immagini per privacyMBLI S.a.s. di Marchese Daniele Rosario ha dapoco un “CONSULTING PRIVACY TEAM”, e si presenta al mercato offrendo servizi globali in materia di privacy di alto livello, grazie all’elevata competenza professionale dei suoi membri.

 

 

MBLI S.a.s. di Marchese Daniele Rosario è capace di:

  • ampliare ed arricchire il background professionale di ciascun Cliente;
  • facilitare un confronto diretto sulle tematiche del momento;
  • approntare forme di gestione e di verifica attente e condivise, capaci di generare forme di controllo in grado di offrire un servizio di alta qualità;
  • condividere le esperienze imprenditoriali, legali ed informatiche specialistiche facenti parte del patrimonio professionale di ciascun membro;
  • collaborare con organizzazioni complesse ed articolate, alle quali offrire un servizio di consulenza privacy multidisciplinare che solo l’incontro di diverse professionalità può offrire;
  • sviluppare un rapporto di amicizia, rispetto e fiducia tra i suoi membri e con la Clientela;
  • consentire alla Clientela di scegliersi il miglior Privacy Consulting Group solo dopo aver giudicato le competenze professionali necessarie ed idonee alle proprie esigenze.

La divisione Consulting della MBLI S.a.s. dispone delle necessarie referenze per operare con vera professionalità, referenze che rispecchiano le pluriennali esperienze dei suoi costitutori e che sono certificate da Enti preposti.

Offriamo a supporto uno staff di prim’ordine negli ambiti dell’organizzazione aziendale, legale, informatica.

Lo Staff è già pronto e qualificato per assumere il ruolo di PRIVACY OFFICER o DATA PROTECTION OFFICER. Ruolo che peraltro sta già svolgendo in diverse strutture aziendali private.

1. COMPETENZE ED ESPERIENZE SPECIFICHE

La divisione Consulting Privacy ha competenze ed esperienze dirette e specializzate nei seguenti settori.

IMPRESA

  • Aziende individuali (commerciali, artigiane, consulenziali, etc.);
  • Agenzie viaggi;
  • Impiantistica (specializzata e non);
  • Settore Produzione di mezzi agricoli e movimento terra;
  • Settore Edile (produzione e progettazione);
  • Settore Metalmeccanico (produzione e progettazione);
  • Settore Produzione di mezzi agricoli e movimento terra;
  • Settore della grande distribuzione;

SERVIZI

  • Associazioni di categoria;
  • Associazioni ed enti assistenziali e di volontariato;
  • Associazioni ed Enti sportivi;
  • Studi commercialistici;
  • Studi di consulenza fiscale ed amministrativa;
  • Studi di consulenza del lavoro;
  • Software house ed aziende informatiche;
  • Web agency;
  • Studi di marketing;
  • Studi pubblicitari;
  • Agenzie assicurative;
  • Studi Tecnico Professionali;
  • Teatri ed agenzie di spettacolo;

SANITA’

  • Distribuzione di farmaci
  • Studi di medici di famiglia
  • Studi dentistici
  • Studi oculistici
  • Studi ginecologici

ENTI E PUBBLICA AMMINISTRAZIONE

  • Enti pubblici e Comuni
  • Associazioni culturali

ISTRUZIONE

  • Istruzione Privata (di ogni ordine e grado)
  • Pubblica Istruzione (Istituti Comprensivi e Scuole Superiori)

SETTORI SPECIALI

  • Call Center e Telemarketing
  • Videosorveglianza
  • Geosatellizzazione
  • Droni e apparecchiature speciali
  • Specializzazione particolare in gruppi d’aziende e internazionalizzazione d’impresa (Paesi in white/black list Privacy)
  • Fotografi

2. NOTA INFORMATIVA

Benché con il Decreto 5/2012 sia stata abolita la redazione del DPS (Documento Programmatico per la Sicurezza), unico documento riepilogativo di tutti gli adempimenti obbligatori posti in capo ai soggetti che trattano dati personali di terzi, sono ancora in vigore molteplici obblighi e sanzioni che di seguito, a titolo riepilogativo e non esaustivo, riportiamo:
Riepilogo dei principali obblighi:

  • L’obbligo di aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici (art.34 del Codice, lettera D e art.35 lett. A)
  • L’obbligo di individuare i soggetti coinvolti nel trattamento (incaricati, responsabili, amministratori di sistema etc. artt. 29 e 30 del codice e punto 15 dell’allegato B)
  • L’obbligo d’individure, incaricare e valutare periodicamente quelle figure che si occumano del nostro Sistema Informatico (Provvedimento del Garante del 27 novembre 2008)
  • L’obbligo di redigere un’analisi dei rischi (art. 31 del codice) ed istruire gli incaricati su di essi;
  • L’obbligo di istruire gli incaricati sulle procedure di autenticazione informatica e di gestione delle credenziali di autenticazione (allegato B dal punto 1 al punto 11)
  • L’obbligo di istruire gli incaricati sul sistema di autorizzazione (allegato B dal punto 12 al punto 14)
  • L’obbligo di proteggere gli strumenti elettronici ed i dati rispetto a trattamenti illeciti, accessi non consentiti, programmi maligni e conseguente istruzione del personale. (allegato B punti 16 e 17)
  • L’obbligo di procedure di ripristino di dati personali in tempi brevi (allegato B punto 18)
  • L’obbligo di stabilire delle misure minime di sicurezza in caso di trattamento di dati sensibili su supporti rimovibili (allegato B dal punto 21 al 23)
  • L’obbligo di impartire istruzioni agli incaricati anche per i trattamenti su supporto cartaceo (allegato B punto 27)
  • L’obbligo di stabilire delle procedure di custodia durante il trattamento (allegato B punto 28)
  • L’obbligo di stabilire delle procedure per l’accesso identificato e restrittivo agli atti (allegato B punto 29)
  • L’obbligo d’informare tutti i soggetti interessati sulle modalità di trattamento dei dati personali (soprattutto se riferiti a persone fisiche e/o dati sensibili o giudiziari), come previsto dall’art. 13 del Codice.

Obbligo d’adeguamento delle procedure aziendali ai pronuciamenti del Garante in materia di tutela dei lavoratori, L. 300/70 (Statuto dei lavoratori), Videosorveglianza, Posta Elettronica,
Navigazione Internet, Immagini e Video, News e Newsletter, Siti web, etc. E normative specifiche ad essi connesse.
Naturalmente il quadro degli obblighi non è disgiunto da quello sanzionatorio. Oltre alle ispezioni specifiche, oggi operate non solo dalla Guardia di Finanza ma anche da Polizia di Stato,
Carabinieri, Vigili Urbani, etc., le sanzioni amministrative sono esemplificabili come segue:
Quadro delle sanzioni in vigore al 2015:

• Art. 161: Omessa o inidonea informativa all’interessato ex art. 13 DLgs 196/03 – Da 6.000 a 36.000 euro
• Art. 162 c.1: Cessione di dati o conservazione oltre il limite di trattamento – Da 10.000 a 60.000 euro
• Art. 162 c.2 -ter: Inosservanza delle prescrizioni del Garante – Da 30.000 a 180.000 euro
• Art. 163: Omessa o incompleta notificazione – Da 20.000 a 120.000 euro
• Art. 164: Omessa informazione o esibizione al Garante – Da 10.000 a 60.000 euro
• Art. 167 c.1: Trattamento di dati personali senza consenso – Reclusione da 6 a 18 mesi
• Art. 167 c.1: Obbligo di predisposizione di istruzioni agli incaricati – Reclusione da 6 a 24 mesi
• Art. 167 c.2: Obbligo di separazione dei dati sensibili – Reclusione da 24 a 36 mesi
• Art. 169: Omissione delle Misure Minime di sicurezza – Arresto fino a due anni

3. LA NOSTRA ATTIVITA’:

L’attività prevede:

Una sessione o più sessioni di auditing interno, preliminari a qualsiasi attività, al fine di raccogliere informazioni sullo stato legale ed organizzativo dell’Azienda o dello Studio rispetto al Dlgs 196/03. In queste sessioni si procederà all’analisi dettagliata della documentazione esistente ed una ricostruzione di massima dei flussi di dati.

Le sessioni termineranno con una prima, breve, relazione sullo stato dell’applicazione della normativa in azienda e le aree di miglioramento/intervento, secondo l’ottica richiesta specificatamente alla nostra struttura.
Una sessione o più sessioni per la raccolta di tutti i dati necessari ed una analisi, insieme ad un Vostro incaricato, dei profili legislativi, dei soggetti coinvolti, delle banche dati, dei rischi connessi e del sistema informatico. Il disegno di dettaglio dei flussi di dati personali, cartacei/informatici, in essere all’interno della struttura, da/verso i Clienti e i soggetti coinvolti nell’attività sanitaria.
Stampa dei documenti e consegna degli stessi presso la Vostra sede, con contestuale istruzione della persona Responsabile nell’impiego degli stessi.
Assistenza all’implementazione organizzativa dei documenti predisposti e formazione del Vostro Personale;
Pianificazione di una verifica interna a distanza di alcuni mesi dalla consegna del documento mirante alla valutazione dello stato dell’implementazione di quanto predisposto all’interno dell’organizzazione.

DETTAGLIO ESEMPLIFICATIVO DELLE ATTIVITA’ DOCUMENTALI:

1 – Redazione del Documento Riepilogativo del Sistema Privacy (DRSP) articolato, generalmente, nei seguenti punti:

  • Analisi ed individuazione dei trattamenti operati, descrizione sintetica, natura dei dati, struttura di riferimento ed eventuali altre strutture esterne che hanno accesso ai dati;
  • Elenco dei trattamenti con descrizione degli strumenti informatici utilizzati, individuazione delle banche dati, descrizione del supporto su cui risiedono, individuazione della tipologia dei dispositivi di accesso e tipologia di interconnessione;
  • Analisi delle strutture preposte al trattamento dei dati, individuazione delle stesse e del responsabile, elencazione dei trattamenti operati per ogni struttura e descrizione sintetica dei compiti della struttura;
  • Analisi rischi legati al comportamento del personale, con definizione del livello di gravità stimata (rischi principali presi in considerazione: Furto di credenziali, Carenza di consapevolezza, Comportamenti sleali, Errori materiali, etc);
  • Analisi rischi legati agli strumenti, con definizione del livello di gravità stimata (Azione Virus o codici malefici, Spamming o altre tecniche di sabotaggio, Malfunzionamento o degrado degli strumenti, Accessi non autorizzati, Intrusioni informatiche, Intercettazioni dati trasmessi viarete, etc);
  • Analisi rischi dovuti ad eventi legati al contesto, con definizione del livello di gravità stimata (Accessi non autorizzati ai locali, Furto di strumenti, Eventi distruttivi dolosi o accidentali, Guasto a sistemi complementari, errori umani nella gestione della sicurezza);
  • Elenco delle misure di sicurezza adottate o da adottare, descrizione con definizione dei trattamenti dati interessati ed indicazione delle misure di sicurezza già adottate o da adottare (i principali: formazione dipendenti, antivirus, controlli su pc, controlli locali e strutture, firewall, protezione e-mail e rubriche telefoniche, impianti e verifiche installazioni, cambio password, controlli sul server centrale, analisi sistemi raid, analisi sistemi ups, protezione trasmissioni dati tra varie sedi);
  • Analisi su criteri e sulle modalità di salvataggio e di ripristino dei dati, indicazione per ogni banca dati degli strumenti usati, della procedura utilizzata, della frequenza del backup, della ubicazione di conservazione delle copie, degli incaricati al backup e delle procedure di ripristino nonché quelle di test;
  • Analisi soggetti esterni che effettuano trattamenti dati, individuazione della attività esternalizzata, del tipo di dati interessati, del soggetto e descrizione dei criteri adottati perl’adozione delle misure di legge;

Inventario Hardware e Software, con individuazione degli strumenti informatici utilizzati, dei principali software e database, in rapporto a quanto previsto dal Dlgs 196/03

  • Individuazione degli Amministratori di Sistema interni e/o esterni;
  • Individuazione del Titolare dei dati, e dell’eventuale Responsabile se da nominare;
  • Descrizione della struttura aziendale con riferimento ai trattamenti dati;
  • Amministratori di Sistema: documentazione e misure tecniche;

2 – Documento riservato contenente indicazioni in merito a:

  • Individuazione delle misure minime di sicurezza da adottare per la protezione dei dati nel caso quelle adottate siano insufficienti (supporto informatico e cartaceo);
  • Individuazione e proposta degli adeguamenti hardware e software necessari per la corretta protezione delle banche dati ed il coretto espletamento dei trattamenti operati in azienda;
  • Individuazione delle adeguate procedure di backup dei dati ed indicazioni sulle metodiche relative alla conservazione in sicurezza delle copie;
  • Analisi ed individuazione delle corrette procedure di autenticazione e di screen saver;
  • Definizione della misura di registrazione e conservazione file di log;

3 – La consulenza si completa con la produzione delle seguenti aree documentali aziendali personalizzate:

  • Nomina del responsabile trattamento dati;
  • Informativa per dipendenti e collaboratori;
  • Lettere di incarico per dipendenti e collaboratori;
  • Nomina custode parole chiave;
  • Nomina degli Amministratori di Sistema, interni ed esterni;
  • Nomina Responsabili di Trattamento in Outsourcing;
  • Informativa per clienti/fornitori;
  • Informativa ridotta pubblicabile in calce alla fattura;
  • Richiesta attestazione a società terze;
  • Amministratori di Sistema;

4 – Codici di accesso all’applicativo WEB che permette l’accesso a tutti i files relativi alla modulistica come da elenco di seguito (l’elenco non è esaustivo di tutta la documentazione consegnata):

  • Nomina del responsabile del trattamento;
  • Nomina incaricati al trattamento dati;
  • Informativa per trattamento di dati;
  • Informativa ridotta;
  • Informativa da far sottoscrivere a ciascun dipendente o collaboratore;
  • Identificazione dei soggetti che possono essere ammessi agli archivi dopo l’orario di chiusura;
  • Nomina dell’incaricato della manutenzione del sistema;
  • Nomina del custode delle parole chiave;
  • Cartello videosorveglianza;
  • Fac simile di Copertina e-mail;
  • Fac simile di Copertina Fax;
  • Altra documentazione aziendale personalizzata;
  • Testo integrale della legge 196/03;

5. DAL 2015: IL NUOVO REGOLAMENTO EUROPEO PER LA PRIVACY

Le norme attualmente in vigore in materia di privacy (95/46/EC) risalgono al 1995 e sono state recepite dal legislatore italiano nel 1996 (L.675/96) e successivamente modificate nel 2003 (D.Lgs. 196/03).
In questo periodo la Commissione Europea solleverà, dopo 2 anni di lavoro, il velo sulle nuove regole di tutela dei dati personali, affidate a un regolamento e a una direttiva. Il regolamento che andrà a sostituire la direttiva del 1995 non dovrà essere recepito dai singoli stati membri, ma sarà pienamente operativo dal momento in cui verrà approvato dal Parlamento Europeo e dal Consiglio. La direttiva sulla protezione dei dati personali avrà per oggetto le finalità di prevenzione e investigazione in caso di reati penali. Sull’apparato sanzionatorio interverrnno successivamente i singoli Paesi.

Si tratta, dunque, più di una semplice revisione alla normativa in vigore: oltre alla revisione delle norme attuali alla luce dell’esperienza maturata nell’ultimo quindicennio, si è tenuto conto delle indicazioni del trattato di Lisbona, che ha allargato il diritto alla privacy dal primo pilastro, che riguarda la libertà di circolazione delle persone, al secondo e soprattutto al terzo pilastro, relativi rispettivamente alla politica estera e alla sicurezza pubblica.

La bozza del regolamento punta anche a stabilire un quadro legislativo comune per il mercato unico europeo, limitando le difficoltà a cui un’impresa, che opera a livello transnazionale, deve fare fronte: normative differenti e disparate decisioni prese dalle authority nazionali. Ciò non esclude, tuttavia che le autorità o i legislatori nazionali possano prendere decisioni valide per i singoli stati membri.

Cosa prevederà il nuovo Regolamento:

  • Per ogni questione legata alla protezione della privacy, le imprese e i cittadini dovranno interfacciarsi con un unico punto di contatto, il “one-­-stop-­-shop”. Per implementare questo sistema ed esercitare il nuovo ruolo, le autorità nazionali saranno dotate di poteri e risorse;
    inoltre sarà rafforzato il coordinamento tra le authorities nazionali per verificare il rispetto della legge.
  • Le nuove norme interesseranno tutti quei soggetti che sono chiamati a trattare i dati su clienti e personale interno e a mantenere un database.
  • All’art. 5 lett. f) viene sancito il principio dell’accountability dei titolari del trattamento (poi meglio specificato nell’art. 22) in virtù del quale spetta agli stessi un obbligo generalizzato e preventivo di garantire e dimostrare la propria conformità al Regolamento in relazione ad ogni singolo trattamento operato (si tratta di una sorta di clausola generale volta a responsabilizzare i controller sin dalle fasi embrionali dei processi informativi).
  • Imprese ed enti pubblici dovranno introdurre la figura del data protection officer (o privacy officer = Responsabile del Trattamento dei dati personali aziendali) a cui affidare le policy in materia di protezione dei dati: in campo pubblico la nuova struttura sarà sempre obbligatoria, mentre le aziende private se ne dovranno dotare nel caso trattino un certo numero di contatti.
  • Sarà richiesto alle aziende di ottenere “specifici e espliciti” forme di consenso dagli utenti nelle operazioni di archivio dei dati. L’art. 6 lett. a) introduce uno degli istituti fondanti la presente disciplina, ovvero il diritto dell’utente di esprimere in maniera preventiva il consenso al trattamento delle proprie informazioni, principio necessario ed inderogabile al fine di limitare e contenere il più possibile fenomeni di massa quali il direct profiling e il tracking cookies (si renderà necessaria, presumibilmente, l’adozione di idonei filtri pop-up volti a saggiare la previa approvazione del soggetto interessato). Il Titolare, inoltre, sarà gravato dall’onere di fornire la prova del consenso di quello specifico trattamento autorizzato (art. 7, comma 1), il quale tra l’altro potrà sempre essere revocato dal soggetto cui i dati si riferiscono. Si codifica, in tal senso, il principio dell’inversione dell’onere probatorio circa la liceità del trattamento (mutuando l’attuale impostazione derivante dal combinato disposto degli art. 2050 c.c e 15 D.Lgs. 196/2003). Alla regola del consenso si affianca, poi, quella sulla trasparenza dell’informazione da fornire all’interessato (art. 11), la quale dovrà contraddistinguersi anche per facilità di consultazione e intellegibilità di forma (l’onere dell’informativa all’interessato, invece, è codificato nell’art. 14, il quale sostanzialmente riproduce il nostro ormai conosciutissimo art. 13 D.Lgs. 196/2003).
  • Sarà previsto un obbligo di adottare misure tecnologiche (privacy by design) che riducano di default il trattamento dei dati personali al minimo necessario anche riguardo al periodo massimo di conservazione e ai soggetti che possono avere accesso ai dati. Questò avrà un forte Impatto nello sviluppo di software destinati al trattamento dei dati (CRM, ERP, gestionali ecc.) e sul rinnovamento di tutto il parco informatico delle imprese e studi professionali.
  • Sarà sancito l’obbligo di conservare documenti contenenti una serie di informazioni volte a descrivere le operazioni di trattamento di dati personali gestite tanto dal titolare quanto dati responsabili del trattamento (qualcosa di simile all’attuale DRSP, ma di portata ancora più ampia).
  • Per le imprese sarà più facile trasferire i dati all’estero facendo leva sulle proprie regole interne.
  • Diventerà obbligatorio notificare eventuali perdite di informazioni (cosiddette serious breaches).
  • Sarà posta particolare attenzione al trattamento dei dati personali che circolano sul web:
    • diritto all’oblio, cioè la possibilità di non trattenere vita natural durante le informazioni nella memoria della rete, ma di poterle cancellare, soprattutto quando diventate obsolete;
    • l’uso dei cookies (i “biscottini” che molti siti utilizzano per capire le preferenze dei loro utenti);
    • l’ingresso e l’uscita dai social network con la codificazione della portabilità del profilo (“data portability”) da parte di chi si sposta;
    • la definitiva affermazione che l’indirizzo IP è un dato personale;
  • Infine prevederà l’eliminazione dell’obbligo per il Titolare di notificare i propri trattamenti all’Autorità Garante (sarà sufficiente , infatti, la conservazione della documentazione comprovante le modalità del singolo trattamento).

Ulteriore misura è la predisposizione di un regolamento di protezione dei dati al fine di costituire un sistema completo per la gestione della sicurezza nella tecnologia dell’informazione secondo quanto previsto dagli standard ISO/IEC 27001. La norma è coerente con il sistema di gestione della qualità ISO 9001 e grazie al sistema è possibile ridurre al minimo i rischi di distruzione o perdita anche accidentale dei dati stessi di accesso non autorizzato o di trattamento non consentito. Si intende così proteggere l’organizzazione dalla commissione dei reati presupposto per la responsabilità amministrativa quali delitti informatici e trattamento illecito di dati ai sensi dell’articolo 24 bis del s. 231/2001.

Segnalazione privacy

Segnalazione Privacy, un argomento veramnte interessante, la MBLI S.a.s., con il presente, si avvale di un articolo scritto in modo chiaro ed esaustivo dal sito http://www.dirittodell’informatica.it.

Lo riportiamo sotto per comodità.

Risultati immagini per segnalazione privacySegnalazione, reclami e ricorsi al Garante privacy: come fare

Segnalazione, reclamo e ricorso: sono, questi, i principali strumenti a nostra disposizione quando riteniamo di aver subito violazioni della nostra privacy, ad esempio ricevendo telefonate ed email indesiderate (in assenza di nostro consenso o, addirittura, contro la nostra esplicita volontà). In questo articolo vedremo cosa fare, concretamente, quando riteniamo che i nostri diritti siano stati violati e, anziché intraprendere un’azione giudiziaria, pensiamo di rivolgerci al Garante della privacy (tenendo comunque presente che la normativa vigente è corposa e complessa) inviando una segnalazione o un reclamo, oppure proponendo ricorso.

1. Le definizioni del Codice della privacy: interessato, titolare, responsabile, trattamento, dato personale, dati identificativi, dati sensibili

L’art. 4 del Codice della privacy (d.lgs. 196/2003, Codice in materia di protezione dei dati personali) reca le definizioni utilizzate nel presente articolo. Fra esse, sono di particolare rilevanza ai nostri fini le seguenti:

–        Interessato: “la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali”: art. 4, comma 1, lett. i);

–        Titolare: “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza” (art. 4, comma 1, lett. f);

–        Responsabile: “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali”.

Appare opportuno ricordare anche altre tre definizioni di cui al citato art. 4:

–        Trattamento, qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati (art. 4, comma 1, lett.a);

–        Dato personale, qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale (art. 4, comma 1, lett.a);

–        Dati identificativi, i dati personali che permettono l’identificazione diretta dell’interessato (art. 4, comma 1, lett.a);

–        Dati sensibili i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale (art. 4, comma 1, lett.a).

 

2. Quali sono i propri diritti?

Il c.d. Codice della privacy (d.lgs. 196/2003, Codice in materia di protezione dei dati personali) riconosce diversi diritti all’interessato, il quale può, ad esempio, chiedere di:

–        conoscere gli estremi identificativi del titolare e del responsabile (se designato);

–        accedere ai dati personali che lo riguardano;

–        conoscere finalità e modalità del trattamento di dati personali.

Inoltre, ha diritto di:

–        ottenere l’aggiornamento, la rettificazione o l’integrazione dei dati personali che lo riguardano;

–        ottenerne la cancellazione, la trasformazione in forma anonima o il blocco, se trattati in violazione di legge;

–        ricevere attestazione che le operazioni appena citate (aggiornamento, cancellazione, ecc.) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.

L’interessato, ha altresì diritto di opporsi al trattamento:

–        se sussistono motivi legittimi;

–        se viene effettuato a fini promozionali, pubblicitari o commerciali.

 

3. Prima di rivolgersi al Garante e segnalare l’irregolarità: l’istanza al titolare o al responsabile del trattamento

I diritti di cui sopra possono essere esercitati senza formalità, mediante richiesta rivolta al titolare o al responsabile (se designato) anche mediante un incaricato del trattamento (c.d. interpello preventivo). L’interessato deve ricevere riscontro senza ritardo (fatte salve alcune eccezioni previste dall’art. 8 del Codice, cui si rinvia), e comunque entro 15 giorni dal ricevimento. Tale termine può essere esteso sino a 30 giorni (dandone comunque comunicazione all’interessato entro 15 giorni dal ricevimento)

Il Garante della privacy ha predisposto un modello (scaricabile direttamente dal suo sito in formato pdf) da scaricare e compilare, in modo da facilitare l’esercizio dei diritti dell’interessato.

In mancanza di riscontro o qualora il riscontro non sia soddisfacente, l’interessato può esperire un’azione giudiziaria oppure rivolgersi al Garante della privacy: oggi ci occupiamo del secondo caso, tenendo presente che il Garante non può disporre il risarcimento del danno in favore della parte vittoriosa e che vige il principio per cui, una volta che si è agito dinanzi al Garante, non è più possibile rivolgere al Tribunale per la medesima fattispecie.

4. Il reclamo e la segnalazione

Il reclamo è un atto circostanziato con il quale l’interessato denuncia al Garante una violazione della disciplina in materia di protezione dei dati personali.

Il reclamo può essere proposto:

–        quando non si è ottenuta una tutela soddisfacente dei propri diritti;

–        quando si vuole promuovere una decisione del Garante su una questione di sua competenza.

Il reclamo non ha particolari formalità, ma deve comunque contenere l’indicazione:

–        dei fatti e delle circostanze su cui si fonda;

–        delle disposizioni che si presumono violate;

–        delle misure richieste;

–        degli estremi identificativi del titolare, del responsabile (se conosciuto) e dell’istante.

Al reclamo seguono:

–        un’istruttoria preliminare;

–        un eventuale procedimento amministrativo nel quale possono essere adottati vari provvedimenti (ad esempio, prescrizione di: blocco del trattamento, adozione di misure opportune o necessarie per rendere il trattamento conforme alla normativa, ecc.).

Il reclamo non è gratuito: bisogna pagare 150 euro a titolo di diritti di segreteria (è necessario allegare al reclamo la ricevuta del versamento). Non è previsto il rimborso per le spese della procedura.

Il Garante ha emesso diverse decisioni dopo aver ricevuto segnalazioni e reclami (come nel celebre caso Peppermint: qui potete leggere il testo del provvedimento e qui il suo riassunto).

5. La segnalazione

Se l’interessato non può o non vuole presentare un reclamo circostanziato, può inviare al Garante una segnalazione, finalizzata a sollecitarne l’esercizio dell’attività di controllo.

La segnalazione è gratuita, non presenta particolare formalità e deve essere inviata al Garante (i suoi recapiti sono consultabili sul sito ufficiale).

La segnalazione, chiaramente, deve riportare gli elementi utili per consentire al Garante di assumere un’eventuale decisione qualora ritenga che, nel caso riportato, si sia verificata una violazione della normativa in materia di protezione dei dati personali.

Ad una o più segnalazioni possono seguire un’istruttoria preliminare e un procedimento amministrativo nel quale possono essere adottati vari provvedimenti (ad esempio, prescrizione di: blocco del trattamento, adozione di misure opportune o necessarie per rendere il trattamento conforme alla normativa, ecc.), anche prima della definizione del procedimento.

Il Garante si è più volte pronunciato in seguito ad una o più segnalazioni ricevute, come nel caso di Google Street View.

6. Il ricorso alla segnalazione

Il ricorso al Garante è un atto formale, che deve essere presentato rispettando particolari formalità e unicamente per far valere i diritti di cui all’articolo 7 del Codice.

Può essere presentato nei seguenti casi:

–        in caso di tardiva o non soddisfacente risposta del titolare o del responsabile (se designato). Come si è detto, all’istanza è necessario dare riscontro entro 15 o 30 giorni, a seconda dei casi;

–        se il decorso dei termini relativi al riscontro dell’istanza esporrebbe l’interessato ad un pregiudizio imminente ed irreparabile.

Il ricorso non è gratuito: anche in questo caso bisogna pagare 150 euro a titolo di diritti di segreteria (è necessario allegare al ricorso la ricevuta del versamento).

Il ricorso alla segnalazione deve contenere:

–        gli estremi identificativi del ricorrente, dell’eventuale procuratore speciale, del titolare e, ove conosciuto, del responsabile eventualmente designato per il riscontro all’interessato in caso di esercizio dei diritti di cui all’articolo 7;

–        la data dell’istanza presentata al titolare (o al responsabile), oppure del pregiudizio imminente ed irreparabile che permette di prescindere dalla richiesta medesima;

–        gli elementi posti a fondamento della domanda;

–        il provvedimento richiesto al Garante;

–        il domicilio eletto ai fini del procedimento.

Inoltre, su richiesta di una o entrambe le parti, il Garante può disporre la condanna alle spese nei confronti della parte soccombente. Inoltre, il Garante può compensare le spese, anche parzialmente, se ricorrono giusti motivi.

È bene sapere che l’ammontare delle spese è, per legge, forfettario e varia da un minimo di 500 euro ad un massimo di 1.000 euro (in base alla complessità del procedimento).

ll Garante, se ritiene fondato il ricorso, può ordinare la cessazione del comportamento illegittimo, indicando le misure necessarie a tutela dei diritti dell’interessato e assegnando un termine per la loro adozione. Vige il principio del silenzio-diniego: la mancata pronuncia sul ricorso, decorsi sessanta giorni dalla data di presentazione, equivale a rigetto.

Contro il provvedimento (espresso o tacito) del Garante è possibile proporre ricorso dinanzi al tribunale del luogo ove risiede il titolare del trattamento.

Il Garante si è più volte pronunciato su ricorsi relativi a fattispecie inerenti la tecnologia (ad esempio, in tema di email aziendale e privacy del dipendente).

7. Conclusioni

Ricapitolando, se la nostra privacy viene violata abbiamo tre strumenti a nostra disposizione per rivolgerci al Garante della privacy e, si spera, ottenere tutela. Mentre il primo è gratuito (la segnalazione), gli altri due (reclamo e ricorso) richiedono il pagamento di 150 euro a titolo di spese di segreteria. Nel caso del ricorso, poi, è prevista la possibilità di chiedere (o subire) la condanna alle spese del procedimento, per cui è opportuno agire mediante ricorso solo qualora il ricorrente sia ragionevolmente certo della fondatezza delle proprie pretese.

Segnaliamo che sul sito del Garante è presente un indice per materia dei provvedimenti adottati.

8. Appendice normativa (estratti dal Codice in materia di protezione dei dati personali)

 

Sezione II – Tutela amministrativa

Art. 142 Proposizione dei reclami

1. Il reclamo contiene un’indicazione per quanto possibile dettagliata dei fatti e delle circostanze su cui si fonda, delle disposizioni che si presumono violate e delle misure richieste, nonché gli estremi identificativi del titolare, del responsabile, ove conosciuto, e dell’istante.

2. Il reclamo è sottoscritto dagli interessati, o da associazioni che li rappresentano anche ai sensi dell’articolo 9, comma 2, ed è presentato al Garante senza particolari formalità. Il reclamo reca in allegato la documentazione utile ai fini della sua valutazione e l’eventuale procura, e indica un recapito per l’invio di comunicazioni anche tramite posta elettronica, telefax o telefono.

Il Garante può predisporre un modello per il reclamo da pubblicare nel Bollettino e di cui favorisce la disponibilità con strumenti elettronici.

 

Art. 143 Procedimento per i reclami

1. Esaurita l’istruttoria preliminare, se il reclamo non è manifestamente infondato e sussistono i presupposti per adottare un provvedimento, il Garante, anche prima della definizione del procedimento:

a) prima di prescrivere le misure di cui alla lettera b), ovvero il divieto o il blocco ai sensi della lettera c), può invitare il titolare, anche in contraddittorio con l’interessato, ad effettuare il blocco spontaneamente;

b) prescrive al titolare le misure opportune o necessarie per rendere il trattamento conforme alle disposizioni vigenti;

c) dispone il blocco o vieta, in tutto o in parte, il trattamento che risulta illecito o non corretto anche per effetto della mancata adozione delle misure necessarie di cui alla lettera b), oppure quando, in considerazione della natura dei dati o, comunque, delle modalità del trattamento o degli effetti che esso può determinare, vi è il concreto rischio del verificarsi di un pregiudizio rilevante per uno o più interessati;

d) può vietare in tutto o in parte il trattamento di dati relativi a singoli soggetti o a categorie di soggetti che si pone in contrasto con rilevanti interessi della collettività.

2. I provvedimenti di cui al comma 1 sono pubblicati nella Gazzetta Ufficiale della Repubblica italiana se i relativi destinatari non sono facilmente identificabili per il numero o per la complessità degli accertamenti.

 

Art. 144 Segnalazione

1. I provvedimenti di cui all’articolo 143 possono essere adottati anche a seguito delle segnalazioni di cui all’articolo 141, comma 1, lettera b), se è avviata un’istruttoria preliminare e anche prima della definizione del procedimento.

 

Sezione III – Tutela alternativa a quella giurisdizionale

 

Art. 145 Ricorsi

1. I diritti di cui all’articolo 7 possono essere fatti valere dinanzi all’autorità giudiziaria o con ricorso al Garante.

2. Il ricorso al Garante non può essere proposto se, per il medesimo oggetto e tra le stesse parti, è stata già adita l’autorità giudiziaria.

3. La presentazione del ricorso al Garante rende improponibile un’ulteriore domanda dinanzi all’autorità giudiziaria tra le stesse parti e per il medesimo oggetto.

 

Art. 146 Interpello preventivo

1. Salvi i casi in cui il decorso del termine esporrebbe taluno a pregiudizio imminente ed irreparabile, il ricorso al Garante può essere proposto solo dopo che è stata avanzata richiesta sul medesimo oggetto al titolare o al responsabile ai sensi dell’articolo 8, comma 1, e sono decorsi i termini previsti dal presente articolo, ovvero è stato opposto alla richiesta un diniego anche parziale.

2. Il riscontro alla richiesta da parte del titolare o del responsabile è fornito entro quindici giorni dal suo ricevimento.

3. Entro il termine di cui al comma 2, se le operazioni necessarie per un integrale riscontro alla richiesta sono di particolare complessità, ovvero ricorre altro giustificato motivo, il titolare o il responsabile ne danno comunicazione all’interessato. In tal caso, il termine per l’integrale riscontro è di trenta giorni dal ricevimento della richiesta medesima.

 

Art. 147 Presentazione del ricorso

1. Il ricorso è proposto nei confronti del titolare e indica:

a) gli estremi identificativi del ricorrente, dell’eventuale procuratore speciale, del titolare e, ove conosciuto, del responsabile eventualmente designato per il riscontro all’interessato in caso di esercizio dei diritti di cui all’articolo 7;

b) la data della richiesta presentata al titolare o al responsabile ai sensi dell’articolo 8, comma 1, oppure del pregiudizio imminente ed irreparabile che permette di prescindere dalla richiesta medesima;

c) gli elementi posti a fondamento della domanda;

d) il provvedimento richiesto al Garante;

e) il domicilio eletto ai fini del procedimento.

2. Il ricorso è sottoscritto dal ricorrente o dal procuratore speciale e reca in allegato:

a) la copia della richiesta rivolta al titolare o al responsabile ai sensi dell’articolo 8, comma 1;

b) l’eventuale procura;

c) la prova del versamento dei diritti di segreteria.

3. Al ricorso è unita, altresì, la documentazione utile ai fini della sua valutazione e l’indicazione di un recapito per l’invio di comunicazioni al ricorrente o al procuratore speciale mediante posta elettronica, telefax o telefono.

4. Il ricorso è rivolto al Garante e la relativa sottoscrizione è autenticata. L’autenticazione non è richiesta se la sottoscrizione è apposta presso l’Ufficio del Garante o da un procuratore speciale iscritto all’albo degli avvocati al quale la procura è conferita ai sensi dell’articolo 83 del codice di procedura civile, ovvero con firma digitale in conformità alla normativa vigente.

5. Il ricorso è validamente proposto solo se è trasmesso con plico raccomandato, oppure per via telematica osservando le modalità relative alla sottoscrizione con firma digitale e alla conferma del ricevimento prescritte ai sensi dell’articolo 38, comma 2, ovvero presentato direttamente presso l’Ufficio del Garante.

 

Art. 148 Inammissibilità del ricorso

1. Il ricorso è inammissibile:

a) se proviene da un soggetto non legittimato;

b) in caso di inosservanza delle disposizioni di cui agli articoli 145 e 146;

c) se difetta di taluno degli elementi indicati nell’articolo 147, commi 1 e 2, salvo che sia regolarizzato dal ricorrente o dal procuratore speciale anche su invito dell’Ufficio del Garante ai sensi del comma 2, entro sette giorni dalla data della sua presentazione o della ricezione dell’invito. In tale caso, il ricorso si considera presentato al momento in cui il ricorso regolarizzato perviene all’Ufficio.

2. Il Garante determina i casi in cui è possibile la regolarizzazione del ricorso.

 

Art. 149 Procedimento relativo al ricorso

1. Fuori dei casi in cui è dichiarato inammissibile o manifestamente infondato, il ricorso è comunicato al titolare entro tre giorni a cura dell’Ufficio del Garante, con invito ad esercitare entro dieci giorni dal suo ricevimento la facoltà di comunicare al ricorrente e all’Ufficio la propria eventuale adesione spontanea. L’invito è comunicato al titolare per il tramite del responsabile eventualmente designato per il riscontro all’interessato in caso di esercizio dei diritti di cui all’articolo 7, ove indicato nel ricorso.

2. In caso di adesione spontanea è dichiarato non luogo a provvedere. Se il ricorrente lo richiede, è determinato in misura forfettaria l’ammontare delle spese e dei diritti inerenti al ricorso, posti a carico della controparte o compensati per giusti motivi anche parzialmente.

3. Nel procedimento dinanzi al Garante il titolare, il responsabile di cui al comma 1 e l’interessato hanno diritto di essere sentiti, personalmente o a mezzo di procuratore speciale, e hanno facoltà di presentare memorie o documenti. A tal fine l’invito di cui al comma 1 è trasmesso anche al ricorrente e reca l’indicazione del termine entro il quale il titolare, il medesimo responsabile e l’interessato possono presentare memorie e documenti, nonché della data in cui tali soggetti possono essere sentiti in contraddittorio anche mediante idonea tecnica audiovisiva.

4. Nel procedimento il ricorrente può precisare la domanda nei limiti di quanto chiesto con il ricorso o a seguito di eccezioni formulate dal titolare.

5. Il Garante può disporre, anche d’ufficio, l’espletamento di una o più perizie. Il provvedimento che le dispone precisa il contenuto dell’incarico e il termine per la sua esecuzione, ed è comunicato alle parti le quali possono presenziare alle operazioni personalmente o tramite procuratori o consulenti designati. Il provvedimento dispone inoltre in ordine all’anticipazione delle spese della perizia.

6. Nel procedimento, il titolare e il responsabile di cui al comma 1 possono essere assistiti da un procuratore o da altra persona di fiducia.

7. Se gli accertamenti risultano particolarmente complessi o vi è l’assenso delle parti il termine di sessanta giorni di cui all’articolo 150, comma 2, può essere prorogato per un periodo non superiore ad ulteriori quaranta giorni.

8. Il decorso dei termini previsti dall’articolo 150, comma 2 e dall’articolo 151 è sospeso di diritto dal 1° agosto al 15 settembre di ciascun anno e riprende a decorrere dalla fine del periodo di sospensione. Se il decorso ha inizio durante tale periodo, l’inizio stesso è differito alla fine del periodo medesimo. La sospensione non opera nei casi in cui sussiste il pregiudizio di cui all’articolo 146, comma 1, e non preclude l’adozione dei provvedimenti di cui all’ articolo 150, comma 1.

 

Art. 150 Provvedimenti a seguito del ricorso

1. Se la particolarità del caso lo richiede, il Garante può disporre in via provvisoria il blocco in tutto o in parte di taluno dei dati, ovvero l’immediata sospensione di una o più operazioni del trattamento. Il provvedimento può essere adottato anche prima della comunicazione del ricorso ai sensi dell’articolo 149, comma 1, e cessa di avere ogni effetto se non è adottata nei termini la decisione di cui al comma 2. Il medesimo provvedimento è impugnabile unitamente a tale decisione.

2. Assunte le necessarie informazioni il Garante, se ritiene fondato il ricorso, ordina al titolare, con decisione motivata, la cessazione del comportamento illegittimo, indicando le misure necessarie a tutela dei diritti dell’interessato e assegnando un termine per la loro adozione. La mancata pronuncia sul ricorso, decorsi sessanta giorni dalla data di presentazione, equivale a rigetto.

3. Se vi è stata previa richiesta di taluna delle parti, il provvedimento che definisce il procedimento determina in misura forfettaria l’ammontare delle spese e dei diritti inerenti al ricorso, posti a carico, anche in parte, del soccombente o compensati anche parzialmente per giusti motivi.

4. Il provvedimento espresso, anche provvisorio, adottato dal Garante è comunicato alle parti entro dieci giorni presso il domicilio eletto o risultante dagli atti. Il provvedimento può essere comunicato alle parti anche mediante posta elettronica o telefax.

5. Se sorgono difficoltà o contestazioni riguardo all’esecuzione del provvedimento di cui ai commi 1 e 2, il Garante, sentite le parti ove richiesto, dispone le modalità di attuazione avvalendosi, se necessario, del personale dell’Ufficio o della collaborazione di altri organi dello Stato.

6. In caso di mancata opposizione avverso il provvedimento che determina l’ammontare delle spese e dei diritti, o di suo rigetto, il provvedimento medesimo costituisce, per questa parte, titolo esecutivo ai sensi degli articoli 474 e 475 del codice di procedura civile.

Art. 151 Opposizione

1. Avverso il provvedimento espresso o il rigetto tacito di cui all’articolo 150, comma 2, il titolare o l’interessato possono proporre opposizione con ricorso ai sensi dell’articolo 152. L’opposizione non sospende l’esecuzione del provvedimento.

2. Il tribunale provvede nei modi di cui all’articolo 152.

 

segnalazione segnalazione segnalazione

segnalazione segnalazione segnalazione segnalazione

Responsabile del trattamento

Risultati immagini per titolare trattamento dati 679Responsabile del Trattamento, una delle peculiarità del Regolamento generale sulla protezione dei dati rispetto alla normativa previgente è, certamente, il ruolo del di questa figura.

L’avv. Cristina Virarelli, ha già parlato dei problemi di traduzione, composti grazie all’intervento dell’Autorità Garante, e non mi dilungherò di nuovo su questo, se non per ricordare che le traduzioni di pareri del Gruppo di lavoro dei Garanti (WP29), precedenti al Regolamento, recano ancora i termini “responsabile” e “incaricato” per indicare il “controller” e il “processor” termini che oggi vengono tradotti come “titolare” e “responsabile”. Nel corso di questa breve disamina, trovandomi a richiamare il parere 1/2010 del WP29 renderò sempre con “titolare” e “responsabile” i termini  “controller” e “processor”, sostituendo direttamente la differente e confusoria terminologia utilizzata nelle traduzioni ufficiali.

Il “nuovo” responsabile del trattamento

Il Regolamento generale sulla protezione dei dati non muta di una virgola la definizione di titolare e responsabile del trattamento rispetto alla direttiva 95/45/CE che lo ha preceduto.

Il titolare (“controller”)  era definito nella direttiva come “la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali (.…)”

Il Responsabile (“processor”) invece era indicato come “la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per conto del responsabile del trattamento”.

Nel Regolamento generale queste figure sono definite rispettivamente come:

«titolare del trattamento» (controller): la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (…).

«responsabile del trattamento» (processor): la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

La novità del Regolamento, pertanto, non si annida nelle definizioni, pressoché identiche alle precedenti, ma nella rivoluzione copernicana che, nel suo complesso, il Regolamento fa compiere alla tutela dei dati personali, facendola passare da un approccio basato su adempimenti calati dall’alto a un approccio basato sul rischio, e consegna la protezione dei dati nelle mani del titolare, il quale, grazie al principio di responsabilizzazione, (“accountability”) potrà, nei limiti e dentro i parametri delineati dal Regolamento, adottare le misure che ritiene più opportune e comprovare il conseguimento degli obiettivi che ha raggiunto nel rispetto dei principi che presiedono il trattamento (lecito) dei dati personali.

Tale nuovo impianto lambisce anche il ruolo del responsabile del trattamento, il quale è insignito di nuovi compiti, condivide in certa misura le responsabilità del titolare in ordine al risarcimento del danno a terzi, ed è oggetto di autonome sanzioni amministrative, a differenza di quanto avveniva con il codice privacy, ove la sanzione amministrativa era sempre diretta contro il titolare.

Non solo: la nomina a responsabile è obbligatoria e non più facoltativa.

L’individuazione del responsabile non avviene più, quindi, a discrezione del titolare, ma è un atto dovuto. Non solo: la designazione del responsabile emerge ex se dallo stato di fatto: il titolare e il responsabile regoleranno i loro rapporti contrattualmente, ma non sarà possibile forzare l’assetto contrattuale per definire i reciproci ruoli: l’assetto contrattuale rispecchierà, invece, il concreto “potere” che questi soggetti eserciteranno sul trattamento dei dati personali, prendendo o meno decisioni in ordine alle finalità e ai mezzi del trattamento stesso.

Le garanzie di affidabilità del responsabile, ove si esternalizzi un servizio, pertanto, dovranno essere valutate attentamente già in fase di affidamento, dato che, come già avveniva con il codice privacy, il trattamento potrà essere affidato dal titolare solo a chi presenti “garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.

Responsabile interno o responsabile esterno?

I primi commentatori del Regolamento hanno evidenziato come il ruolo del responsabile del trattamento tratteggiato nel Regolamento sia cucito addosso al solo Responsabile esterno, notando come vi siano i talune indicazioni che non hanno senso se trasferite all’interno del rapporto di lavoro – su tutte, a titolo esemplificativo, si riporta l’obbligo di predisporre una idonea contrattualistica che preveda anche che il responsabile “metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato” (art. 28 c. 3 lett. h del Regolamento).

Nel tempo, però, questa posizione prima piuttosto uniforme si è frastagliata e oggi vi sono autorevoli commentatori che ritengono che sia possibile anche configurare un responsabile interno.

Tali argomentazioni poggiano sia sul fatto che la figura del responsabile interno non è espressamente esclusa dalla normativa europea, sia su alcune interpretazioni letterali, sia, infine, su talune annotazioni organizzative.

Il dato letterale

Per ricavare l’inquadramento del responsabile all’interno della struttura del titolare si può fare riferimento al tenore letterale della traduzione italiana del Regolamento, dandone una lettura aderente al diritto interno, risultato che si ottiene enfatizzando  i termini ’”organismo” o “servizio”, che nel nostro Paese possono, in effetti, richiamare un qualche affidamento all’interno della struttura del titolare. E’ lecito domandarsi però se sia opportuno interpretare il dato letterale di una sola traduzione senza interrogarsi sul senso di tali espressioni nelle altre lingue ufficiali, e senza valutare il significato che possano avere acquisito sul piano europeo.

Anzi sul piano europeo si è affermata l’interpretazione opposta: l’ICO, ad esempio, ha richiamato la precedente definizione di responsabile contenuta nel “Data Protection Act” (il codice privacy del Regno Unito, per intenderci, che escludeva espressamente che il ruolo potesse di responsabile essere affidato a dipendenti del titolare) sostenendo che la formulazione del Regolamento (che pure non riporta espressamente l’esclusione dei dipendenti)  nulla  muta rispetto all’individuazione di titolare e responsabile ivi contenute (cfr. ICO GDPR guidance: Contracts and liabilities between controllers and processors: “a processor is a natural or legal person or organisation which processes personal data on behalf of a controller.

If you are not sure whether you are a controller or a processor, please refer to our guidance Data controllers and data processors. Although it is based on the Data Protection Act 1998 (DPA), the parts of the guidance setting out how to determine who is the controller and who is the processor are still relevant under the GDPR.”

Fonte: https://ico.org.uk/media/about-the-ico/consultations/2014789/draft-gdpr-contracts-guidance-v1-for-consultation-september-2017.pdf)

Neppure il CNIL, che ad oggi presiede il WP29, pare sposare un simile orientamento: nella guida ai responsabili che ha pubblicato nel settembre 2017 per agevolare l’applicazione del Regolamento (GUIDE DU SOUS-TRAITANT EDITION SEPTEMBRE 2017) non solo si riferisce espressamente alla sola figura del responsabile esterno, inquadrando i rapporti tra titolare e responsabile più volte in termini di fornitore e cliente, ma richiama anche, espressamente, il Parere 1/2010 (WP 169)  sui concetti di titolare e responsabile del trattamento, dimostrando di ritenerlo ancora attuale.

Il Parere 1/2010 del Gruppo di lavoro Art. 29

Il Parere del WP29 richiamato dal CNIL aveva già affrontato il problema dell’inquadramento del responsabile come soggetto interno o esterno, in particolare indagando se quel trattare i dati “per conto” del titolare possa includere anche i soggetti interni alla sua struttura (argomento che potrebbe utilizzarsi anche oggi, per sostenere la compliance al Regolamento di un ruolo interno).

Ebbene, diceva il WP29 che l’esistenza di un responsabile del trattamento dipende da una decisione presa dal titolare del trattamento. Quest’ultimo può decidere o di trattare i dati all’interno della propria organizzazione – ad esempio attraverso collaboratori autorizzati a trattare i dati sotto la sua diretta autorità-, o di delegare tutte o una parte delle attività di trattamento a un’organizzazione esterna, cioè, come indica la relazione della proposta modificata della Commissione, a una “persona giuridicamente distinta dal titolare ma che agisce per conto di quest’ultimo“.

E’ chiara, quindi, l’intenzione del legislatore, esternata nella relazione della Commissione richiamata dal WP29, e la mera trasposizione della definizione dalla Direttiva al Regolamento non può autorizzare a presumere che l’intenzione del legislatore sia mutata.

Concludeva quindi il WP29 “Il presente parere analizza anche il concetto di “responsabile del trattamento“, la cui esistenza dipende da una decisione presa dal titolare del trattamento. Quest’ultimo può decidere o di trattare i dati all’interno della propria organizzazione o di delegare tutte o una parte delle attività di trattamento a un’organizzazione esterna. Per poter agire come responsabile del trattamento occorrono pertanto due requisiti: da un lato essere una persona giuridica distinta (rectius: entità giuridica distinta – nella versione francese è “une entité juridique distincte” n.d.r.) dal titolare del trattamento, e dall’altro elaborare i dati personali per conto di quest’ultimo. Questa attività di trattamento può essere limitata a un compito o a un contesto molto specifico, oppure può lasciar spazio a un certo margine di discrezionalità sul modo di servire gli interessi del titolare del trattamento, permettendo al responsabile del trattamento di scegliere i mezzi tecnici e organizzativi più adeguati” (riporto anche il testo in inglese, per dare modo al lettore di valutare come il riferimento alla “persona giuridica” non vada inteso in senso tecnico: “This opinion also analyzes the concept of processor, the existence of which depends on a decision taken by the controller, who can decide either to process data within his organization or to delegate all or part of the processing activities to an external organization. Therefore, two basic conditions for qualifying as processor are on the one hand being a separate legal entity with respect to the controller and on the other hand processing personal data on his behalf. This processing activity may be limited to a very specific task or context or may accommodate a certain degree of discretion about how to serve the controller’s interests, allowing the processor to choose the most suitable technical and organizational means.”)

A livello europeo, pertanto, l’interpretazione lascia poco margine ai dubbi: la figura del responsabile interno non è data.

L’esperienza italiana

Per contro, l’Italia ha sempre ammesso il ruolo di responsabile interno.

Un disallineamento, rispetto al WP29, che affondava le radici in epoca ben precedente al parere del 2010, e che si basava sull’ampio margine di discrezionalità concesso dalla direttiva.

Discrezionalità che non sussiste con il Regolamento: ove agli Stati è concesso operare deroghe e personalizzazioni è espressamente indicato (e non sono poche ipotesi), si guardi, in proposito la definizione di titolare. Tale deroga non è presente, però, nella definizione di responsabile.

Trarre la configurabilità di un responsabile interno (con il carico di oneri, -mi si passi il gioco di parole- responsabilità e sanzioni che questi reca con sé in base al Regolamento), in via interpretativa sulla sola assenza di un divieto in tal senso appare, quindi, piuttosto azzardato.

Senza considerare il noto brocardo “Ubi lex voluit dixit, ubi noluit tacuit”: quando il legislatore ha inteso assegnare un ruolo a soggetti sia interni che esterni alla struttura del titolare lo ha detto espressamente, come nel caso del data protection officer (cfr art. 37 comma 6).

La guida del Garante  

Quanto detto sin qui basta a escludere la  configurabilità di un ruolo interno del responsabile?

Ad avviso di chi scrive basterebbe, se avessimo la certezza che il parere 1/2010 reso dal WP29 sarà mantenuto fermo una volta insediatosi il Board; innanzi tutto, quindi, occorrerebbe sapere se il ridetto parere sopravviverà, negli stessi termini,  al 25 maggio 2018: certo, a guardare le indicazioni che provengono dall’ICO e dal CNIL si potrebbe optare per il sì, ma non possiamo ancora dirlo con assoluta certezza. Vi sono indizi sul piano nazionale che facciano propendere, invece, per il mantenimento di questa figura? A guardar bene, in effetti, qualche dubbio viene… vi sono delle indicazioni pratiche che possono indurre questa convinzione  e ciò per due ordini di ragioni:

  • da un lato il Garante per la protezione dei dati personali ha annunciato di voler mantenere la figura dell’incaricato, e appare arduo a chi scrive immaginare strutture importanti composte di soli incaricati, senza responsabili. Dal punto di vista pratico, la figura di un soggetto sovraordinato agli incaricati potrebbe essere opportuna. E’ altamente probabile che, in assenza di “liberalizzazioni” sul punto (ad esempio lasciando libertà di assegnare ruoli di maggior o minore “responsabilità” agli incaricati, o eliminandoli del tutto, sulla scorta di altri paesi europei), l’esigenza di prevedere la figura del responsabile interno emerga dal basso, ovvero dalla presenza degli incaricati e dalle necessità organizzative che ne conseguono.
  • Dall’altro lato il Garante nella sintetica “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali”, che ha pubblicato sul proprio sito istituzionale, non ha evidenziato alcuna novità in ordine al ruolo del responsabile, e se l’Autorità avesse voluto prendere una posizione netta in merito avrebbe potuto farlo senza difficoltà: invece ha laconicamente affermato nel capitolo dedicato al titolare e al Responsabile, sotto il paragrafo “cosa non cambia” che “Il regolamento definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE (e, quindi, al Codice italiano)”.  Eppure il Codice parlava di responsabili come di soggetti “preposti dal titolare”, ammettendo pacificamente l’esistenza del responsabile interno, e dichiarava espressamente che la nomina era facoltativa. Inoltre le responsabilità definite dal Regolamento, ad avviso di chi scrive, non appaiono affatto così facilmente sovrapponibili a quelle della direttiva.

Tuttavia, se il Garante suggerisce una certa continuità tra i ruoli, evidentemente dobbiamo attenderci una continuità tra i ruoli: significa dunque che verrà ritenuto ammissibile il responsabile negli stessi termini del Codice italiano? Ossia un ruolo anche interno e facoltativo?

Che fare?

Come abbiamo visto sopra vi sono ragioni sistematiche, di matrice europea, che indurrebbero a preferire di non forzare l’interpretazione delle norme, in favore di una figura di cui buona parte dell’Europa è riuscita a fare a meno sino ad oggi senza inficiare la protezione dei dati. Dall’altra parte, però occorrerebbe da un lato che il Board restasse ancorato all’interpretazione offerta dal WP29, dall’altra che l’Italia trovasse il coraggio di “abbandonare la strada vecchia per la nuova” cosa che non è mai stata troppo nelle corde del nostro Paese. Non è impossibile, quindi, che l’Italia  mantenga l’impianto che le è più noto, ammettendo la permanenza del responsabile interno (almeno fino a che qualcuno non domandi un intervento chiarificatore sovranazionale).

Invero, il fatto che non sia giunta alcuna netta indicazione dall’Autorità su un aspetto tanto importante dal punto di vista organizzativo, se non un laconico riferimento al mantenimento dell’impianto pregresso in un’ottica di continuità, spinge a ritenere che non vi saranno mutamenti di rilievo sul punto: il passaggio da una figura sia “interna” sia “esterna” ad una solo “esterna”, e il passaggio da una figura facoltativa ad una obbligatoria avrebbero meritato un certo rilievo nel paragrafo della guida dedicato al “che cosa cambia”, ma non ve n’è traccia. Sono invece evidenziati i subresponsabili e gli obblighi di nomina del DPO e del rappresentante nello Stato.

Sarà quindi prudente, per le imprese, controllare le nomine di responsabili e incaricati, adeguando la contrattualistica relativa alla designazione del responsabile alle indicazioni offerte dal Regolamento, anche se, ove tale adempimento si rivolgesse all’interno della struttura del titolare, meriterebbero attenzione alcuni punti, da valutare in chiave giuslavoristica, afferenti le autonome responsabilità che si assume il dipendente, i nuovi compiti e poteri decisionali che sono connessi al ruolo di responsabile e la loro compatibilità con l’inquadramento e le mansioni già svolte dal dipendente (nonché rispetto alla retribuzione)  e la possibilità di incorrere  in autonome sanzioni, nonché le responsabilità in ordine al risarcimento del danno, per condotte assunte in qualità di dipendente, che, probabilmente, verranno prese in considerazione dal legislatore nella sua opera di armonizzazione sul piano del diritto interno (AGGIORNAMENTO: la nuova formulazione dell’articolo 29 del Codice privacy pare superare molte di queste discrasie, si veda “aggiornamento” in calce).

Perdurando l’incertezza e facendosi strada il sospetto malizioso che il legislatore nazionale abbia in mente di prendersi qualche licenza sul responsabile del trattamento, sarà più facile per i titolari, nel brevissimo tempo che ci separa dall’applicazione del Regolamento, revocare o modificare secondo la propria discrezione le nomine interne (comunque possibili fin tanto resta in vigore il Codice della privacy) ove si rivelassero superflue, che approntarle ex novo alla vigilia del 25 maggio 2018.

Accountability e tendenza alla burocratizzazione

E’ evidente che l’accountability e l’approccio basato sul rischio vanno in senso opposto rispetto alla burocratizzazione della privacy, che è stata la maggiore accusa da sempre rivolta alla nostra normativa nazionale. L’esperienza italiana sul punto, specialmente in ordine ai ruoli interni, non ha avuto un buon esito: un gran numero di imprese ha percepito la protezione dei dati personali come una serie di oneri burocratici da assolvere e non come un elemento da valorizzare.

Se il resto d’Europa lascia il titolare libero di gestire la propria organizzazione interna come meglio crede, permette alle imprese di competere anche sotto questo profilo: tanto più l’impresa sarà brava a proteggere i dati, tanto più sarà avvantaggiata sulla concorrenza.

L’Italia sembrava avere un discreto vantaggio in ordine all’applicazione del GDPR, date le molteplici somiglianze del proprio pregresso impianto normativo con il Regolamento, soprattutto in ordine all’acquisizione del consenso e alla tutela dei diritti dell’interessato, ma se non supera il proprio approccio tradizionale, accordando maggior fiducia ai titolari, rischia di vanificare l’esperienza maturata. L’indagine comparativa recentemente condotta dall’Autorità olandese, restituisce un’Italia fanalino di coda nella tutela dei dati personali, accanto alla Romania, mentre, come sempre, a guidare la volata, ci sono Germania e Olanda (“With the group of countries compared in this research, Germany is frontrunner in most aspects and Italy and Romania are at the other end of the spectrum. The Netherlands perform above average in most aspects”). Sarà bene che il legislatore nazionale rifletta attentamente in ordine alle procedure che intende aggiungere all’impianto regolamentare europeo  (anche al di là della mera riproposizione dei ruoli interni),  mantenendosi quanto più possibile in armonia con il resto dell’Unione, in modo da non relegare l’accountabilty ad una scialba funzione di precostituzione di documenti con sola funzione probatoria, che, mutilando nettamente la discrezionalità del titolare, finirebbe col ricondurre la responsabilizzazione nell’alveo sterile di  una piatta e blanda sfaccettatura della  responsabilità.

Continua a Leggere→