CORSO DI FORMAZIONE PRIVACY

La Disciplina del Regolamento UE n. 2016/679
SOMMARIO
1. GDPR, LA NORMATIVA
1.1 COSA CAMBIA NEL REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI
1.2 LA NORMATIVA ITALIANA
1.3. I PRINCIPI DEL REGOLAMENTO EUROPEO
– ACCOUNTABILITY
– BY DESIGN E BY DEFAULT
– VALUTAZIONE D’IMPATTO (INTRODUZIONE)
2. I RUOLI PRIVACY
– L’INTERESSATO
– TITOLARE DEL TRATTAMENTO
– RESPONSABILE DEL TRATTAMENTO
– AUTORIZZATO AL TRATTAMENTO
– DPO

1. Il GDPR LA NORMATIVA
Dal 25 maggio 2018 è divenuto pienamente applicabile in tutti gli Stati membri il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) – relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.

Dopo anni di proposte ed emendamenti si è giunti alla pubblicazione in Gazzetta ufficiale dell’Unione Europea del Regolamento UE 2016/679 che abroga la direttiva 95/46/CE.
L’iter che ha portato all’approvazione del Regolamento è stato lungo e travagliato, la necessità di adottare tale soluzione derivava dalla continua evoluzione del concetto di Privacy e protezione dei dati personali e quindi dall’esigenza di tutela dovuta al progresso tecnologico e alla necessità di controllare il crescente flusso di dati.
Si tratta, quindi, di una risposta alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini Ue.
Il Regolamento in questione è entrato in vigore il 24 maggio 2016, ma è divenuto operativo dal 25 maggio 2018, questo lasso di tempo è stato volutamente impiegato per favorire l’adeguamento alla normativa da parte delle imprese, ed è una legislazione self executing, ossia direttamente applicabile all’interno dei singoli Stati membri dell’Unione Europea. Gli scopi principali del GDPR sono quello di obbligare le aziende ad operare in maniera più trasparente nelle attività di raccolta e utilizzo dei dati personali, oltre a migliorare la protezione dei dati personali attraverso controlli preventivi atti a eliminare il pericolo di fughe di dati e violazioni.
Il GDPR si applica a chi effettua trattamento di dati, nell’ambito dello svolgimento di un’attività, quindi ai titolari ed ai responsabili del trattamento che si trovano nel territorio dell’Unione Europea e si applica, altresì, se questi soggetti non si trovano nell’Unione, ma effettuano trattamento di dati nei confronti di interessati che invece si trovano in UE. Da ultimo, al titolare del trattamento si applicherà la normativa in questione, anche se si trova al di fuori del territorio UE, ma in un luogo soggetto al diritto di uno Stato membro.
Il Regolamento si applica in tutti i casi in cui avviene trattamento di dati personali, sia esso effettuato in forma automatizzata, sia manuale; il trattamento automatizzato viene svolto attraverso l’uso esclusivo di mezzi tecnologici, senza il coinvolgimento umano, mentre il trattamento manuale può avvenire attraverso supporti cartacei o digitali.
All’art. 5 il GDPR, unitamente ai principi applicabili al trattamento di dati personali, il legislatore ha inserito il principio di responsabilizzazione nei confronti del titolare del trattamento, che deve essere necessariamente capace di giustificare le scelte effettuate all’interno del contesto di riferimento in cui il dato viene trattato, tramite la precisa adozione di politiche interne e meccanismi adeguati, pena la sua responsabilità con conseguenze sanzionatorie sull’impresa stessa.
Il GDPR mira a tutelare i dati personali, che si definiscono come le informazioni che identificano, o rendono identificabile una persona fisica e che sono idonei a fornire informazioni su caratteristiche, abitudini, stile di vita, relazioni personali, stato di salute e situazione economica di un soggetto. I dati personali si possono classificare in dati comuni, che forniscono informazioni dirette o indirette, al fine di identificare la persona, e possono essere nome, cognome e codice fiscale; mentre, i dati c.d. particolari, sono quelli che rivelano informazioni sulla sfera strettamente personale del soggetto, quali l’origine razziale, l’orientamento religioso, le convinzioni politiche, l’orientamento sessuale e dati sulla salute. Vi sono ulteriori categorie di dati che si classificano come giudiziari e sono quelli che rivelano l’esistenza di una condanna penale o provvedimenti giudiziari soggetti all’iscrizione nel casellario giudiziale o la qualità di imputato o indagato.
Da ultimo, si definiscono dati c.d. rischiosi quelli che possono determinare rischi o violazioni dei diritti e delle libertà fondamentali o della dignità dell’interessato, in relazione agli effetti che il relativo trattamento può determinare, ad esempio quelli collegati al rapporto di lavoro.
Il trattamento dei dati in questione è qualsiasi operazione effettuata, non necessariamente attraverso l’uso di strumenti informatici, e che riguarda l’utilizzo, la consultazione, la raccolta, la registrazione, la conservazione, l’elaborazione, la modifica, la diffusione, la comunicazione e la cancellazione dei dati personali, anche se non registrati in una banca dati.

1.1 COSA CAMBIA NEL REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI
In estrema sintesi l’approvazione del Regolamento Europeo ha:

  • introdotto il concetto di responsabilizzazione o accountability del titolare;
  • ha aumentato importi più elevati per le sanzioni amministrative pecuniarie che variano nel massimo a seconda delle disposizioni violate;
  • introducono concetti di “privacy by design”, nonché di approccio basato sul rischio e adeguatezza delle misure di sicurezza, di valutazione d’impatto e data breach;
  • Regole più rigorose per la selezione e la nomina di un responsabile del trattamento e di eventuali sub-responsabili;
  • introdotto la previsione in alcuni casi tassativi di nomina obbligatoria di un Responsabile della protezione dei dati (DPO);
  • introdotto regole più chiare su informativa e consenso;
  • ampliato la categoria dei diritti che spettano all’interessato;
  • stabilito criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue.

Le norme citate trovano applicazione nei confronti di tutte le imprese, anche al di fuori dell’UE, che offrono servizi o prodotti all’interno del mercato Ue.

1.2 LA NORMATIVA ITALIANA
Il D.lgs 101 del 2018 ha introdotto disposizioni per l’adeguamento della normativa nazionale italiana (Codice Privacy D.Lgs. 196/2003) alle disposizioni del GDPR. Il decreto legislativo ha infatti recepito le disposizioni del GDPR apportando le principali modifiche che si delineano di seguito:
– consenso dei minori prestato a società di informazione abbassato agli anni 14;
– non necessarietà del consenso per il trattamento di dati sanitari, biomedici e genetici, se questi sono gestiti per finalità di diagnosi, cura, ricerca scientifica, biomedica ed epidemiologica;
– individuazione di un elenco di trattamenti c.d. particolari per alcune categorie di dati che si possono definire di rilevante interesse pubblico, come ad esempio i registri dello stato civile, i registri pubblici relativi a beni immobili o mobili, gli archivi nazionali dei veicoli, ecc.;
– introduzione della figura del soggetto autorizzato o designato, a cui il responsabile o il titolare del trattamento possono delegare compiti e funzioni specifiche;
– regolamentazione dei criteri di applicabilità di sanzioni amministrative pecuniarie previste dal GDPR, con previsione di sanzioni di che possono arrivare fino a 10 milioni di euro – per i singoli e per le aziende o al 2% del fatturato globale annuo per violazioni attuate dai titolare e responsabili del trattamento. Le sanzioni più gravi possono arrivare anche a 20 milioni di euro o al 4% del fatturato globale annuo;
– introduzione di reati specifici riguardanti il trattamento dati, con applicazione di pene che vanno da 6 mesi a 6 anni di reclusione nei casi più gravi (es: trattamento illecito di dati, comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala, acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala, falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante, inosservanza dei provvedimenti del Garante;
– riconoscimento del diritto all’eredità del dato in caso di decesso, in favore di chi agire in tutela dell’interessato o per interessi meritevoli di tutela;
– possibilità di scelta del tipo di tutela da attuare in caso di violazioni, tra Reclamo al Garante oppure Ricorso all’Autorità giudiziaria competente;
– estensione e rafforzamento dei compiti e poteri del Garante, quali l’emanazione di provvedimenti sul trattamento di dati particolari, l’adozione di provvedimenti in relazione a – – – codici di condotta e regole deontologiche, la possibilità di agire in giudizio nei confronti del titolare del trattamento in caso di violazioni;
– introduzione di modalità semplificate per l’adempimento degli obblighi previsti dal GDPR per i titolari del trattamento di micro, piccole e medie imprese;
– introduzione della possibilità per chiunque, non solo per l’interessato, di rivolgere una segnalazione al Garante in caso di violazioni.

1.3. I PRINCIPI DEL REGOLAMENTO EUROPEO
ACCOUNTABILITY

Il Regolamento pone particolare attenzione al principio di Responsabilizzazione dei Titolari del Trattamento e dei Responsabili individuati nelle loro capacità di rendicontare le scelte effettuate all’interno del contesto di riferimento in cui il dato viene trattato.
La Responsabilizzazione, Accountability, consiste nell’adozione di comportamenti proattivi ed idonei a dimostrare l’adozione di misure finalizzate ad assicurare l’applicazione del Regolamento (artt. 23-25 e Capo IV del Regolamento).
In base a questo principio viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie ed i limiti del trattamento dei dati personali nel rispetto della normativa e dei criteri da essa indicati.
In particolare l’art. 24 GDPR dispone che “Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”
Nel Regolamento vengono indicati criteri specifici ai quali i Titolari ed i Responsabili del trattamento devono adeguarsi ed il primo fra questi è indicato dall’espressione “data protection by default and by design”.

BY DESIGN E BY DEFAULT
Il primo dei criteri indicati dal Regolamento è il concetto di protezione dei dati fin dalla progettazione e protezione per impostazione predefinita, nell’espressione inglese “Privacy by Design” e “Privacy By Default”.
Questi concetti erano già entrati nel panorama giuridico degli ultimi anni, in particolare durante la trentaduesima edizione dell’International Conference of Data Protection and Privacy Commissioners, e vengono ora enucleati all’art. 25 del Regolamento.
privacy by design, necessità di tutelare i dati fin dalla progettazione di un sistema ponendo particolare attenzione all’analisi dei rischi. In sostanza bisogna prevedere fin da subito la probabilità che un rischio si verifichi.
privacy by default, fornire come impostazione predefinita la massima tutela ai dati che vengono immessi in un sistema di modo che questi siano trattati in conformità a quanto previsto dalla normativa.
Questi criteri chiedono al titolare di prevedere la protezione della privacy ed il rispetto della normativa vigente ad origine, fin dall’ideazione e progettazione di un sistema.
Risulta quindi necessario tenere conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.

VALUTAZIONE D’IMPATTO
Altro criterio individuato dal Regolamento rispetto alla gestione degli obblighi dei titolari è il rischio inerente al trattamento.
Questo criterio prevede che il titolare analizzi, attraverso un processo di valutazione previsto dagli artt. 35-36 del Regolamento, il rischio di impatti negativi del trattamento sulle libertà ed i diritti degli interessati.
Per “rischio” si intende uno scenario descrittivo di un evento e delle relative conseguenze, che sono stimate in termini di gravità e probabilità» per i diritti e le libertà (Linee guida del Gruppo di lavoro Articolo 29 WP248rev.1).
Il Titolare deve individuare i rischi utilizzando alcuni elementi:
– origine;
– natura;
– gravità;
– probabilità;
impatto sui diritti e le libertà degli interessati.
In base alla tipologia di rischi evidenziati il Titolare dovrà quindi svolgere una valutazione di impatto e valutare quali misure tecniche e organizzative (di sicurezza) andare ad adottare per mitigare i rischi.
La valutazione di impatto è quella di dare al Titolare dei dati reali per decidere se iniziare il trattamento (a seconda che il rischio sia troppo elevato o possa essere mitigato da adeguate misure di sicurezza) oppure se consultare l’autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale. In questo caso l’autorità avrà il compito di indicare le misure da adottare e potrà, altresì, ricorrere alle misure correttive previste dal Regolamento, quali l’ammonimento del Titolare, la limitazione o il divieto al trattamento. L’autorità di controllo interviene sempre dopo che il Titolare avrà autonomamente scelto le modalità di trattamento dei dati, senza che si debba procedere ad una verifica preliminare, come invece si richiedeva in relazione alla normativa precedente.
Ciò posto, l’attività di controllo ed in particolare il Comitato europeo della protezione dei dati, garantisce uniformità nell’interpretazione della normativa e sulle modalità con cui operare, attraverso l’emanazione di linee guida e altri documenti di indirizzo in relazione agli adeguamenti necessari alla luce dello sviluppo tecnologico e dei sistemi di gestione di dati.

2. I RUOLI PRIVACY
Come già anticipato nei paragrafi precedenti il GDPR chiede, a tutti coloro che gestiscono dati personali altrui, di farlo rispettando alcuni principi:
1. chiarire le finalità del trattamento (ad esempio “invio di newsletter”, “invio di messaggi pubblicitari”).
La finalità deve essere chiara determinata e manifesta all’atto di raccolta dei dati; gli utilizzi che successivamente verranno fatti dei dati non devono essere incompatibili con quanto dichiarato al momento della raccolta. (Art.5 GDPR);
2. minimizzazione dei dati, ciò significa che si raccolgono solo ed esclusivamente i dati necessari ai fini della finalità dichiarata (se si compila un modulo di contatto per ottenere un’assistenza telefonica non sarà necessario fornire dati ad esempio riferibili al proprio nucleo familiare);
3. conservazione del dato per il tempo necessario per l’espletamento della finalità dichiarata (conservare dati per un periodo di tempo maggiore comporta anche dei rischi e delle responsabilità);
4. garantire il rispetto alla riservatezza riferito sia alle persone che forniscono i dati sia alle modalità di conservazione (conservare i dati in archivi fisici in stanze aperte al pubblico non è GDPR compliance).
Questi adempimenti spettano principalmente, almeno in una fase iniziale, al Titolare del Trattamento.
Per meglio comprendere il sistema privacy dobbiamo necessariamente proseguire analizzando insieme i ruoli individuati dalla normativa.

Il Titolare del Trattamento deve individuare correttamente l’organigramma privacy della sua azienda ed attività.
Sono diverse le figure soggettive che assumono rilevanza nel mondo della protezione dei dati personali.

L’INTERESSATO
L’interessato è la persona fisica identificata o identificabile in maniera diretta od indiretta con riferimento ai dati personali anagrafici, dati relativi all’ubicazione, dati caratteristici della sua identità fisica, fisiologica, genetica, economica etc.

TITOLARE DEL TRATTAMENTO
Il Titolare del Trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che singolarmente o insieme ad altri, determina le finalità ed i mezzi del trattamento di dati personali.
Il titolare coincide con l’ente nel suo complesso quando si parla di persona giuridica (società, ente, organizzazione).
Il primo indicatore di una possibile Titolarità è quando in capo al soggetto ci sono poteri decisionali che discendono da una norma di legge o di fatto.
I compiti del Titolare del Trattamento:
1. deve assicurarsi che il trattamento sia conforme al GDPR (rispetto dei principi, assunzione di misure di sicurezza);
2. deve informare l’interessato ed agevolarlo nell’esercizio dei diritti;
3. deve individuare correttamente l’organigramma privacy della sua attività;
4. deve formare i ruoli privacy presenti nel suo organigramma;
5. deve definire le modalità di gestione di tutti gli aspetti privacy da parte della sua organizzazione (Modello Operativo Privacy – MOP).

RESPONSABILE DEL TRATTAMENTO
Il Responsabile del Trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento (Art. 28 GDPR).
Il Responsabile Esterno tratta quindi i Dati per conto del Titolare del Trattamento fornendogli la sua organizzazione.
Questo soggetto deve attenersi alle finalità determinate dal titolare che gli devono essere rese chiare in una nomina.
Qualora il Responsabile Esterno non si attenesse alle istruzioni ed utilizzasse i dati in maniera differente rispetto alle finalità determinate allora verrebbe considerato un Titolare del Trattamento con tutti gli obblighi e le responsabilità che ne conseguono.
Alcuni esempi di Responsabili Esterni:
Il Commercialista;
Il Consulente del Lavoro.

AUTORIZZATO AL TRATTAMENTO
Gli autorizzati (incaricati interni) sono designati dal Titolare e vengono istruiti dallo stesso al trattamento dei dati. (Art. 29 GDPR).
Art. 2, quaterdecies Nuovo Codice Privacy – D.lgs 196/2003 aggiornato al D.lgs 101/2018
Attribuzione di funzioni e compiti a soggetti designati
1. Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.
2. Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta

In questi casi, quindi, il Titolare del Trattamento designa delle figure che incarica al trattamento dei dati in specifici ambiti, le forma e fornisce ore le indicazioni su come trattare i dati.

IL DPO o RPD
Il Responsabile della Protezione del Dati (Data Protection Officer) è una delle maggiori novità introdotte dal Regolamento europeo. La sua figura è prevista e disciplinata dall’art. 37 GDPR.
Vedremo questa figura nel dettaglio nei prossimi paragrafi.