Sommario
Come ben noto, il 25 maggio del 2018, è entrato in vigore in tutti i Paesi dell'Unione Europea il Regolamento Europeo 2016/679, conosciuto come GDPR, acronimo di General Data Protection Regulation, il quale ha modificato la disciplina relativa alla protezione dei dati personali.
La nuova normativa ha introdotto alcune novità per quanto riguarda la protezione dei dati personali, andando a sostituire, per quanto riguarda l'Italia, il vecchio D.lgs 196/2003, che è stato profondamente modificato dalla norma che ha recepito il GDPR, ossia il D.lgs 101/2018. In Europa invece vigeva la direttiva 95/46/CE che è stata completamente abrogata e sostituita dal nuovo GDPR.
Si sentiva l'esigenza, infatti, di dover dare un impulso ad una materia sempre più bisognosa di protezione, visto il progresso della tecnologia ed in particolare dei social network, che molto spesso ha portato ad una riduzione notevole del diritto alla privacy o riservatezza delle singole persone. L'evoluzione normativa ha imposto quindi l'adozione di cautele giuridiche, organizzative e tecniche necessarie per poter procedere correttamente con il trattamento dei dati personali.
Si è focalizzato il diritto al cittadino di essere padrone dei suoi dati personali, avendo così più potere decisionale sul loro trattamento, così come di avere diritto alla modifica e alla cancellazione degli stessi.
Vediamo ora quali sono le principali novità e i punti chiave introdotti dal Regolamento UE 2016/679.
Il Regolamento UE 2016/679 si rivolge a tutti i soggetti, chiamati "organizzazioni", che entrano in contatto con dati personali da parte degli utenti. Sono inclusi quindi tutte le amministrazioni pubbliche, le società di capitali e di persone, le associazioni e i liberi professionisti. Non è necessario che questi soggetti abbiano la loro sede nell'UE ma che queste trattino dati di persone residenti all'interno dell'UE. La normativa si applica anche a tutti i partner e soci delle varie organizzazioni che trattano i dati personali e che quindi vengono a contatto con i dati degli utenti.
La normativa si applica ai dati delle sole persone fisiche, che sono i soggetti interessati dal trattamento dei dati da parte delle organizzazioni. Inoltre, il GDPR non si applica al trattamento di dati personali effettuato da una persona fisica nell'ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un'attività commerciale o professionale.
Nel GDPR viene ampliata la definizione di dato personale e sensibile, in quanto non si fa più riferimento solo ai classici dati sensibili come indirizzo o numero di telefono, ma anche agli identificativi online come cookie, indirizzi IP, geolocalizzazione ed email.
Il Regolamento, infatti, traccia una nuova frontiera rispetto al concetto di dato, individuando 4 categorie:
Per trattamento dei dati personali si intende la maniera in cui i dati che fornisce l'utente verranno trattati dall'organizzazione che li riceve. Questo è il punto focale di tutto il GPDR.
Il Regolamento aggiunge il principio di responsabilizzazione e dovere di rendicontazione (accountability in inglese) del titolare del trattamento (di cui parleremo più avanti), il quale è obbligato a mettere in atto "misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare che il trattamento è effettuato conformemente al regolamento".
Il titolare del trattamento, quindi, tenuto conto della natura, del contesto e delle finalità del trattamento, dovrà garantire, ed essere in grado di dimostrare che il trattamento è effettuato non solo in maniera conforme alla normativa ma in maniera tale da non determinare rischi e quindi gravare sui diritti e le libertà degli interessati.
Sono stati introdotti concetti già presenti nel mondo anglosassone (privacy by design e privacy by default) per assicurare che il titolare del trattamento abbia messo in atto misure di sicurezza fin dal primo momento del trattamento dei dati in modo da limitare il più possibile i rischi, eventualmente procedendo ad una valutazione d'impatto preventiva, ed adottando le misure di sicurezza ritenute adeguate. Anche qui si nota la centralità del ruolo del titolare che opera da sé tutte queste valutazioni, salvo controlli successivi che verranno messi in essere dall'autorità di controllo e decide in autonomia le misure da adottare, e quindi le modalità e i limiti del trattamento, alla luce dei principi previsti dal regolamento.
Viene anche previsto l'obbligo della DPIA (Data Protection Impact Assessment) che rappresenta la valutazione del rischio conseguente a un ipotetico data breach, di cui parleremo successivamente.
Il nuovo Regolamento UE introduce una novità fondamentale, forse la più importante rispetto al passato, ovvero l'introduzione di una figura specifica all'interno delle aziende: il Data Protection Officer (DPO) o, in Italiano, il Responsabile della Protezione dei Dati (RPD). Questi può essere una figura sia interna che esterna all'azienda, che deve avere specifiche competenze, la quale sarà designata per far si che l'Azienda o la Pubblica Amministrazione, rispettino quanto previsto dal GDPR.
Il DPO verrà quindi ad affiancare il titolare del trattamento per le finalità previste dal GPDR. Ma andiamo con ordine per capire meglio come e quando questi deve essere nominato.
Ogni organizzazione, dovrà avere un titolare del trattamento. Questi è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri (contitolari), determina le finalità e i mezzi del trattamento di dati personali. Decide inoltre del trattamento dei dati, ne determina le finalità, come trattarli e ne è responsabile.
Il titolare è quindi, l'azienda, il libero professionista, il Presidente di un Ente, il Sindaco di un Comune, che ottiene i consensi per il trattamento dei dati personali. Il Titolare deve sempre definire la base giuridica sulla quale è consentito il trattamento dei dati personali. Il titolare del trattamento può essere affiancato da un Responsabile del trattamento, il quale è una figura che gestisce i dati per conto del titolare. Questa figura lavora a stretto contatto con il titolare del trattamento, ed ha un margine di manovra molto limitato.
A fianco del titolare e del responsabile del trattamento, in alcuni casi specifici previsti dal GDPR, può essere nominato un DPO.
Sono obbligate alla nomina di un DPO, in base all'art. 37 del GDPR:
a) Amministrazioni ed enti pubblici ad eccezione delle autorità giudiziarie.
b) Tutti i soggetti la cui attività principale consiste in trattamenti che per natura, oggetto o finalità richiedono il controllo regolare e sistematico degli interessati.
c) Tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.
La designazione del DPO riflette il nuovo approccio del GDPR, verso una responsabilizzazione del trattamento dei dati, essendo finalizzata a facilitare l'attuazione del regolamento da parte del titolare e del responsabile. Il ruolo del DPO è di tutelare i dati personali, non gli interessi del titolare del trattamento.
Il DPO, in base all'art. 38 del GDPR, e contrariamente a quanto previsto per il responsabile del trattamento, ha diritto a non ricevere alcuna istruzione per quanto riguarda l'esecuzione dei suoi compiti. Inoltre, il DPO non può essere rimosso o penalizzato dal titolare del trattamento per l'adempimento delle proprie funzioni.
In base all'articolo 39 del GPDR, i principali compiti del DPO sono:
a) Informare e assistere il Titolare del trattamento e i lavoratori nella corretta applicazione del Regolamento vigilare sulla corretta applicazione della disciplina privacy (regolamento – policy) attraverso attività di audit e di formazione/sensibilizzazione dei lavoratori.
b) Fornire, se richiesto, pareri in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliare i relativi adempimenti.
c) Fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all'esercizio dei loro diritti.
d) Cooperare con l'autorità di controllo
e) Gestire le richieste provenienti dall'Autorità Garante per la protezione dei dati personali (es. rispondendo alle note di chiarimenti) oppure le istanze presentate dal Titolare del trattamento (es. istanze di verifica preliminare ex art. 17 C.d.P.)
Altro elemento importante introdotto dal GDPR è l'informativa sulla privacy che deve ricevere il consumatore prima di fornire i dati. L'informativa è quindi una comunicazione che deve ricevere il cittadino, ancora prima di diventare utente o consumatore, per essere informato nella maniera in cui i suoi dati verranno trattati, e qual è la finalità del trattamento. In questa maniera, si presuppone che l'interessato abbia ricevuto delle informazioni esaustive e pertanto sia in grado di poter avere un proprio giudizio sul prestare o meno il consenso.
L'informativa è obbligatoria per tutti i soggetto che ricevono e trattano dati da parte di terzi.
In particolare, l'informativa deve comprendere, nei suoi punti principali, in base agli articolo 13 e 14 del Regolamento UE:
a) l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;
c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
d) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
e) l'intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un'organizzazione internazionale
E' obbligatorio inoltre, da parte del titolare del trattamento di dare ulteriori informazioni all'interessato, come ad esempio il periodo di conservazione dei dati, così come il diritto all'interessato a chiedere l'accesso ai dati e la modifica o la cancellazione degli stessi o il diritto alla portabilità dei dati. Deve fornire all'interessato tutte le modalità per esercitare tutti i suoi diritti.
Una volta ricevute tutte queste informazioni, l'utente dovrà prestare il suo consenso in maniera chiara e inequivocabile, libera e specifica rispetto all'informativa. In particolare, il consenso è definito "qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, che i dati personali che lo riguardano siano oggetto di trattamento"
Il consenso può essere revocato in qualsiasi momento senza che pregiudichi la liceità del trattamento basato sul consenso prima della revoca.
Una recentissima sentenza della Corte di Giustizia Europea, CGUE 29.07.2019 - C 40/17, ha stabilito che i cookies presenti una pagina internet, devono essere non solo accettati dall'utente, ma deve manifestare un consenso attivo, ossia la pagina internet di base dovrà essere senza cookies, e sarà l'utente a doverli attivare. Data la portata e la novità della sentenza, per ora pubblicata solo in inglese, si attendono novità da un punto di vista legislativo e pratico.
Un'altra novità importantissima del GPDR è sicuramente quella di fornire molti più diritti all'interessato, data la volontà da parte del legislatore europeo di voler porre al centro la persona e la titolarità dei suoi dati. Proprio per questo, l'interessato, oltre che ricevere l'informativa sul trattamento di cui abbiamo parlato nel paragrafo precedente, ha i seguenti diritti:
L'articolo 23 del Regolamento UE permette di poter limitare e restringere il diritto dell'interessato nell'interesse nazionale, sempre rispettando il principio di proporzionalità. In particolare qualora questa sia necessaria per salvaguardare:
a) la sicurezza nazionale;
b) la difesa;
c) la sicurezza pubblica;
d) la prevenzione, l'indagine, l'accertamento e il perseguimento di reati o l'esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica;
e) altri importanti obiettivi di interesse pubblico generale dell'Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell'Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale;
f) la salvaguardia dell'indipendenza della magistratura e dei procedimenti giudiziari;
g) le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate;
L'interessato può rivolgersi direttamente al titolare del trattamento per l'esercizio dei suoi diritti (interpello).
E' il titolare del trattamento che deve dare riscontro alla richiesta dell'interessato, entro un mese dall'esercizio del diritto. Il termine di un mese può essere esteso a 3 mesi in casi di particolare complessità. In questo caso il titolare del trattamento deve comunque avvertire l'interessato entro il mese. L'unico obbligo per l'interessato è di fornire i dati per la sua identificazione.
La risposta si deve fornire di regola in forma scritta, anche attraverso strumenti elettronici. Può essere orale solo se espressamente richiesta in tal senso dall'interessato. La risposta deve essere chiara, coincisa, e facilmente accessibile e comprensibile.
In caso di mancata risposta, o di risposta inadeguata, può rivolgersi all'autorità amministrativa (Garante) o giudiziaria per la tutela dei suoi diritti.
Nel caso in cui vi fosse una violazione dei dati dell'interessato (data breach), sia essa dolosa o accidentale, vi sarà sempre l'obbligo da parte del soggetto predisposto al trattamento dei dati di instaurare la procedura di notifica. Per data breach si intende, così come descritto dall'art.4 del Regolamento UE "la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati".
Quindi, ogni volta che ciò accada, si dovrà procedere con una notifica all'autorità entro 72 ore dalla violazione. L'unico caso in cui il titolare del trattamento può evitare di notificare è nel caso in cui "sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche".
In base all'articolo 33 del Regolamento UE, la notifica deve prevedere:
a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
c) descrivere le probabili conseguenze della violazione dei dati personali;
d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Il titolare dovrà comunicare all'interessato la violazione dei dati personali quando questa violazione sia suscettibile di rappresentare un rischio elevato per i diritti e le libertà delle persone.
Altra novità del GDPR sono le sanzioni, molto pesanti, imposte ai titolari del trattamento.
In breve, vi sono due tipi di violazioni, elencate all'art. 83 che comportano due forme differenti di sanzioni. La prima, prevede delle sanzioni che possono arrivare fino a 10 milioni di euro oppure al 2% del fatturato mondiale annuo della società se superiore. Per gli abusi più gravi si può arrivare fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente o 10 o 20 milioni di euro.
Regolamento (UE) 679/2016, così come introdotto in Italia tramite il D.Lgs 10 agosto 2018, n.101 "Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)."