Il 25/05/2018 sarà direttamente applicabile in tutti gli Stati membri dell’Unione europea il nuovo Regolamento UE 2016/679 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati”, cd. GDPR il quale abrogherà la Direttiva 95/46/CE ormai superata, modificando anche il D. Lgs. n. 196/2003, c.d. Codice della privacy.
La struttura di competenze a più livelli Consultmedia (collegata a questo periodico) ha predisposto per gli enti assistiti un pacchetto che comprende:
1) Modello Registro trattamento dati;
2) Lettera incarico DP;
3) Lettera incarico Responsabile trattamento dati;
4) Integrazione SIT per costante aggiornamento su evoluzione normativa e giurisprudenziale GDPR.
Per quanto riguarda l’adeguamento dei siti web, Consultmedia ha definito accordi con una software house che potrà fornire un plug-in relativo ai principali CMS.
Nel merito della vicenda, ricordiamo che il GDPR mira ad assicurare un’applicazione omogenea della normativa sulla privacy vigente in tutti gli Stati membri.
Il Regolamento muta e innova l’intera disciplina della protezione dei dati personali, prevedendo una lunga serie di diritti e tutele in capo all’interessato/soggetto passivo. Per contro, amplia notevolmente il novero degli obblighi per i titolari e i responsabili del trattamento, delineando un quadro stringente e oneroso.
In particolare, è accentuata la responsabilità del titolare e del responsabile attraverso il principio di accountability, permeato di obblighi relativi all’adozione di adeguate misure di sicurezza – tra cui la pseudonimizzazione e la cifratura dei dati – non solo durante o dopo il trattamento, bensì anche in una fase pregressa.
Tali misure devono essere poi costantemente monitorate e proporzionate ai rischi, connesse ad un’analisi e ad una capillare valutazione del rischio ex ante derivante dalle operazioni di trattamento.
Oltre a garantire l’efficacia delle misure adottate, il titolare del trattamento deve dimostrare, su richiesta, di aver intrapreso le predette azioni, ovvero l’adozione delle succitate misure di sicurezza e la valutazione preventiva del rischio.
Pubblicità
Strettamente collegate al principio di accountability e, quindi, alla valutazione delle misure di sicurezza per garantire la tutela dei diritti dell’interessato e dimostrare la conformità del trattamento alla normativa, sono, tra le altre, le seguenti nozioni:
1) privacy by design e privacy by default. Tra gli interventi ex ante che impongono al titolare una prima analisi cautelare dell’impatto del trattamento, l’art. 25 descrive le misure volte a garantire la protezione dei dati personali sin dall’inizio del trattamento – privacy by design – e per impostazione predefinita – privacy by default -. Nello specifico, il titolare è chiamato a valutare, dal momento della progettazione del trattamento, i possibili rischi per la riservatezza dei dati e l’autodeterminazione informativa del soggetto. Correlativamente, deve mettere in atto le misure di sicurezza adeguate[7]. Inoltre, come stabilisce il comma 2, “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità di trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica”;
2) data protection officer (DPO). Ex 37 ss., inserendosi nell’ambito del presidio del rischio, questa nuova figura professionale è caratterizzata da ampia autonomia, riferisce direttamente al vertice gerarchico del titolare o del responsabile del trattamento. Tale soggetto è altresì individuato più specificamente dal Gruppo “Articolo 29” (WP29), che ha adottato il 13/12/2016 le “Guidelines on Data Protection Officers (DPO)”. Si tratta di un soggetto che è incaricato di vigilare sul rispetto della normativa in materia di privacy e di fungere da punto di contatto con l’Autorità di controllo;
3) le nuove procedure che il titolare del trattamento deve rispettare, tra cui la valutazione di impatto sulla protezione dei dati (DPIA), la data breach notification e ancora l’adesione a meccanismi di certificazione della conformità delle misure adottate, per la cui trattazione si rimanda alle pagine successive.
Ogni trattamento deve trovare fondamento in un’idonea base giuridica. I parametri di liceità sono indicati all’art. 6 del Regolamento e coincidono, in linea di massima, con quelli previsti dal Codice privacy di cui al D. lgs. n. 196/2003.
Pubblicità
In particolare, si tratta delle seguenti condizioni di liceità
a) consenso, il quale deve essere manifestato attraverso una dichiarazione o un atto positivo inequivocabile. Per i dati sensibili e per decisioni basate su trattamenti automatizzati, compresa la profilazione, deve essere esplicito. Il consenso è valido solo se è effettivamente:
– libero: se si presenta, quindi, come manifestazione del diritto all’autodeterminazione informativa, al riparo da qualsiasi pressione e da qualsiasi imposizione di clausole, cui viene condizionata l’accettazione, che determinano un significativo squilibrio dei diritti e degli obblighi derivanti dal contratto;
– specifico: dev’essere comprensibile, riferito chiaramente e precisamente al campo d’applicazione e alle conseguenze del trattamento dei dati. Non può essere totale e riferirsi ad un insieme illimitato di attività di trattamento;
– informato: ossia basato sulla valutazione e comprensione dei fatti e sulle conseguenze di una determinata azione. L’interessato deve ricevere in modo chiaro e comprensibile informazioni precise e complete su tutti gli aspetti rilevanti. Questo implica la consapevolezza delle conseguenze del mancato assenso al trattamento in questione.
Non è necessariamente richiesta la forma scritta ai fini della validità. Il consenso dei minori è valido a partire dai 16 anni.
L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato.
Incombe in capo al titolare del trattamento l’onere di provare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.
N.B. Il consenso raccolto precedentemente al 25/05/2018 resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il Regolamento, se si vuole continuare a fare ricorso a tale base giuridica. In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato. Anche la formula utilizzata per chiedere il consenso deve presentarsi in maniera comprensibile, semplice e chiara;
b) esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) adempimento di un obbligo legale al quale è soggetto il titolare del trattamento;
d) interesse vitale dell’interessato o di un terzo;
e) esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) interesse legittimo prevalente di un titolare o di un terzo. Il titolare del trattamento deve effettuare il bilanciamento fra il proprio legittimo interesse e i diritti e le libertà fondamentali dell’interessato.
I principi applicabili al trattamento dei dati personali sono:
– liceità, correttezza e trasparenza;
– limitazione della finalità;
– minimizzazione dei dati;
– esattezza;
– limitazione della conservazione;
– integrità e riservatezza;
– responsabilizzazione, c.d. accountability.
I soggetti coinvolti nel trattamento sono:
1) soggetto passivo/interessato: è la persona fisica identificata o identificabile attraverso i c.d. “identificatori”.
Tra gli identificatori, il Regolamento si sofferma in particolare su quelli “online prodotti da dispositivi, applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, o marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare, se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utili per creare profili delle persone fisiche e identificarle”.
2) soggetti attivi:
– titolare del trattamento: definito dall’art. 4, comma 1, n. 7 come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”. È il soggetto che dà impulso alle operazioni e alle attività di raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica, estrazione, consultazione, uso, comunicazione, raffronto o interconnessione, limitazione, cancellazione o distruzione dei dati. Non è richiesta alcuna specifica attribuzione per legge. Con il termine mezzi si intendono non solo i mezzi tecnici per trattare i dati personali, ma anche le modalità attraverso le quali il trattamento è effettuato;
– responsabile del trattamento: “La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”. Nominato mediante contratto o altro atto giuridico conforme al diritto nazionale, svolge funzione strumentale rispetto all’attività del titolare. Tra i vari obblighi cui è tenuto ad adempiere, si ritrovano la tenuta del registro dei trattamenti svolti, l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti e la designazione del DPO;
– sub-responsabile: nominato dal responsabile previa autorizzazione scritta, specifica o generale, del titolare. Anche questa figura, sebbene nominata dal responsabile, dovrà eseguire le attività e le operazioni di trattamento per conto del titolare, nonché agire in via strumentale rispetto alle finalità dal medesimo determinate. Il responsabile del trattamento mantiene la totale responsabilità nei confronti del titolare anche nel caso in cui l’inadempienza degli obblighi in materia di protezione dei dati derivi dal sub-responsabile da lui nominato;
– contitolare: figura presente allorché due o più titolari determinino congiuntamente le finalità e i mezzi del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in relazione agli obblighi in materia di protezione dei dati personali, con particolare riguardo all’esercizio dei diritti dell’interessato, le modalità per fornire un’adeguata informativa agli interessati, ai sensi degli artt. 13 e 14, nonché il soggetto che sarà individuato come punto di contatto per gli interessati. Il contenuto essenziale dell’accordo è messo a disposizione dell’interessato;
– rappresentante: “La persona fisica o giuridica stabilita nell’Unione che, designata per iscritto dal titolare del trattamento o dal responsabile del trattamento, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del Regolamento”. Viene formalmente designato mediante mandato scritto quando il titolare o il responsabile del trattamento non sono stabiliti nell’Unione europea, ma le attività di trattamento sono connesse all’offerta di beni o alla prestazione di servizi o al controllo del comportamento degli interessati situati all’interno dell’Unione. La sua nomina tuttavia non è obbligatoria ove il trattamento sia occasionale, non includa il trattamento, su larga scala, di categorie particolari di dati personali o dati giudiziari, non presenti un rischio per i diritti e le libertà delle persone fisiche, il titolare sia un’autorità pubblica o un organismo pubblico. Esso agisce per conto e in luogo del soggetto rappresentato al fine di assolvere agli obblighi previsti dal Regolamento a carico di quest’ultimo.
Pubblicità
Esso, infine, rappresenta anche uno strumento di garanzia per gli interessati: questi ultimi possono, infatti, far riferimento a questa figura ove non sia possibile o sia eccessivamente oneroso rivolgersi al titolare o al responsabile del trattamento. La sua presenza non deresponsabilizza il titolare o il responsabile, i quali continuano ad essere imputabili in caso di inosservanza e violazione delle disposizioni del Regolamento;
– destinatario: “La persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi”;
– Data Protection Officer (DPO): responsabile della protezione dei dati personali, figura autonoma e indipendente la cui nomina è obbligatoria in alcuni casi.
- Pubblicità
Qualsiasi altra persona che agisce sotto l’autorità del titolare del trattamento o del responsabile, che ha accesso ai dati personali, può trattarli solo su istruzione del titolare o se è imposto dalla legge o degli Stati membri dell’UE;
3) soggetti con funzione di controllo: Garante per la protezione dei dati e Comitato europeo per la protezione dei dati personali.
Il Regolamento stabilisce che il titolare del trattamento debba fornire informazioni agli interessati relative al trattamento posto in essere.
Relativamente all’obbligo di informazione, ai sensi degli artt. 13 e 14, i contenuti dell’informativa sono elencati in modo tassativo. In particolare, nel caso in cui la raccolta dei dati avvenga presso l’interessato, il titolare, nel momento in cui tali dati vengono raccolti, fornisce all’interessato le seguenti informazioni:
a) l’identità e i suoi dati di contatto e, ove applicabile, del rappresentante e del responsabile della protezione dei dati (DPO);
b) le finalità del trattamento, nonché la base giuridica del trattamento;
c) gli eventuali destinatari o categorie di destinatari dei dati personali;
d) l’intenzione di trasferire i dati personali in Paesi terzi o ad organizzazioni internazionali e attraverso quali strumenti.
Il titolare del trattamento fornisce, inoltre, nel momento in cui i dati personali sono ottenuti, ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente, tra cui:
e) il periodo di conservazione dei dati o i criteri seguiti utilizzati per determinare tale periodo;
f) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali, la rettifica o la cancellazione degli stessi, la limitazione del trattamento che lo riguardano, il diritto di opporsi al trattamento e il diritto alla portabilità dei dati;
g) l’esistenza del diritto di revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento nel caso in cui lo stesso si fondi sul consenso espresso dell’interessato;
h) il diritto di presentare reclamo a un’Autorità di controllo;
i) la comunicazione dei dati personali risponde ad un obbligo legale o contrattuale oppure è da considerarsi un requisito necessario per la conclusione di un contratto, inoltre, se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
j) l’esistenza di un processo decisionale automatizzato – compresa la profilazione – e indicazioni sulla logica utilizzata da tali processi decisionali, oltre alle conseguenze previste per l’interessato.
Nel caso i dati non siano raccolti direttamente presso l’interessato, la suddetta informativa deve essere fornita entro un termine ragionevole che non deve superare un mese dall’ottenimento dei dati personali, oppure al momento della prima comunicazione con l’interessato o con terzi.
L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico. Il regolamento ammette l’utilizzo di icone standardizzate in combinazione, però, con l’informativa estesa.
Si hanno casi di esclusione dell’obbligo di informativa quando:
a) l’interessato già dispone di tali informazioni;
b) la comunicazione risulta impossibile o implicherebbe uno sforzo sproporzionato;
c) i dati personali devono rimanere riservati, conformemente a un obbligo di segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri o ad un obbligo di segretezza previsto per legge.
Gli adempimenti previsti dal Regolamento, ossia le fasi di adeguamento delle aziende suddivise in step, sono:
1) mappatura dei trattamenti;
2) individuazione dei ruoli, delle responsabilità e dei compiti;
3) definizione e attuazione degli adempimenti per priorità d’azione e definizione di misure di sicurezza adeguate;
4) definizione di una procedura di data breach;
5) definizione di policy e procedure organizzative interne;
6) documentazione delle attività di trattamento per provare la conformità al Regolamento.
I) Mappatura – Tenuta del registro dei trattamenti.
Ai sensi dell’art. 30: “Ogni titolare del trattamento e, ove applicabile, il suo rappresentanti tengono un registro delle attività di trattamento svolte sotto la propria responsabilità”. Tale registro deve contenere le seguenti informazioni:
a)) i riferimenti del titolare del trattamento e, ove applicabile, del contitolare, del rappresentante e del responsabile della protezione dei dati (DPO);
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e dei dati personali trattati;
d) le categorie di destinatari a cui i dati sono stati o saranno comunicati, anche soggetti di Paesi terzi od organizzazioni internazionali;
e) il flusso di dati, in caso di trasferimento di dati extra UE;
f) il tempo di conservazione per ciascuna categoria di dati;
c) una descrizione delle misure di sicurezza tecniche e organizzative adottate per minimizzare i rischi.
Il registro deve avere forma scritta, anche elettronica[32], e deve essere esibito su richiesta al Garante per la protezione dei dati personali.
Tale obbligo non si applica alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano presenti un rischio per i diritti e le libertà dell’interessato, non sia occasionale o includa il trattamento di categorie particolari di dati, o dati relativi a condanne penali e a reati;
II) Individuazione dei ruoli, delle responsabilità e dei compiti
Il titolare del trattamento è tenuto a:
– implementare opportune misure di sicurezza, “tenendo conto della natura dell’oggetto, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche”
– dimostrare la conformità delle operazioni di trattamento rispetto ai principi sanciti dal Regolamento, adempiendo a tutte le procedure di assessment previste dal Regolamento e aderendo ad un meccanismo di certificazione o a codici di condotta approvati.
Il Regolamento stabilisce che il soggetto può richiedere al titolare il risarcimento dei danni subiti da un trattamento; in tal caso il titolare è tenuto a risponderne direttamente e interamente.
Il responsabile del trattamento tratta i dati per conto del titolare. I trattamenti eseguiti dal responsabile sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. L’atto di designazione deve sancire precisi doveri in capo al responsabile, tra cui:
– trattare i dati personali eseguendo le istruzioni fornite dal titolare;
– assicurare che le persone autorizzate a trattare i dati si siano impegnate a rispettare vincoli di riservatezza;
– implementare e mantenere tutte le misure tecniche e organizzative adeguate;
– assistere il titolare del trattamento per la gestione delle richieste di diritto di accesso e per gli altri obblighi imposti;
– assistere il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli artt. da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
– su richiesta del titolare cancellare o restituire tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancellare le copie esistenti;
– fornire al titolare qualsiasi informazione necessaria per dimostrare il rispetto del Regolamento;
– tenere un registro delle categorie di attività di trattamento dei dati personali svolte per conto del titolare;
– cooperare con l’Autorità di controllo;
– avvertire il titolare del trattamento immediatamente dopo aver riscontrato il verificarsi di una violazione dei dati;
– designare un Responsabile della protezione dei dati (DPO) nei casi in cui è richiesto.
Il responsabile della protezione dei dati (DPO), ex art. 37, viene designato dal titolare e dal responsabile del trattamento e ha funzione di informazione, di consiglio e di controllo interno. Questa nuova figura introdotta dalla normativa europea agisce in modo indipendente e riferisce direttamente ai vertici. La sua nomina è obbligatoria ogniqualvolta:
a) il trattamento sia effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni;
b) le attività principali del titolare o del responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedano il monitoraggio regolare e sistematico degli interessati su larga scala;
c) le attività principali del titolare o del responsabile del trattamento consistano nel trattamento, su larga scala, di categorie particolari di dati personali o di dati giudiziari.
Al di là di questi casi tassativi, il titolare del trattamento può comunque valutare l’opportunità di nominarlo.
Ai sensi dell’art. 39, il DPO è incaricato di:
a) informare e consigliare il titolare o il responsabile del trattamento sugli obblighi concernenti il Regolamento;
b) sorvegliare l’osservanza del Regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati, nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e a sorvegliarne lo svolgimento;
d) cooperare con l’Autorità di controllo;
e) fungere da punto di contatto per l’Autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’art. 36 ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
Pubblicità
Responsabilità del DPO: il controllo del rispetto del Regolamento non significa che il DPO sia personalmente responsabile in caso di inosservanza. Il Regolamento chiarisce che il rispetto delle norme in materia di protezione dei dati fa parte della responsabilità d’impresa del titolare del trattamento, non del DPO. In caso di inadempimenti derivanti da colpa o dolo del DPO, il titolare o il responsabile potrà avanzare pretese risarcitorie a titolo di responsabilità contrattuale.
Assenza di conflitti di interesse: il DPO può essere un soggetto interno o esterno all’azienda. Il regolamento consente al DPO di svolgere anche altri compiti e funzioni, a condizione che il titolare del trattamento o il responsabile del trattamento si assicurino che tali compiti e funzioni non diano adito a un conflitto di interessi. Ciò significa che il DPO non può rivestire all’interno dell’organizzazione del titolare o del responsabile del trattamento un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Le Linee Guida delle Autorità Garanti forniscono alcuni esempi di soggetti che, per il ruolo che rivestono in azienda, non possono essere nominati DPO:
– amministratore delegato;
– responsabile operativo;
– direttore finanziario;
– direttore sanitario;
– responsabile marketing;
– responsabile HR;
– responsabile IT.
Definire e attuare gli adempimenti e determinare le misure di sicurezza adeguate
Dopo aver mappato i trattamenti è necessario identificare per ciascuno di questi le attività da effettuare per essere conformi al Regolamento. Le procedure di assessment sono suddivise secondo moduli scalari per priorità in base ai rischi per i diritti e le libertà dei soggetti.
Tali procedure di assessment vengono di seguito elencate ed esaminate.
Analisi generica del potenziale impatto sui dati personali
Ai sensi dell’art. 32, intitolato “Sicurezza del trattamento”: “1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
2) Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati”.
L’articolo richiama l’attenzione anche sulla possibilità di aderire a specifici codici di condotta approvati dall’Autorità Garante competente o a schemi di certificazione approvati da appositi organismi qualificati e riconosciuti per dimostrare la conformità ai requisiti stabiliti dalla disposizione e attestare l’adeguatezza delle misure di sicurezza adottate.
Valutazione d’impatto sulla protezione dei dati (DPIA).
Ai sensi dell’art. 35:
“1.) Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua prima di procedere al trattamento, una valutazione d’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.
2) Il titolare del trattamento, allorquando svolge una valutazione d’impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati.
3) La valutazione d’impatto è richiesta in particolare nei casi seguenti:
a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
b) il trattamento, su larga scala, di categorie particolari di dati personali o dati giudiziari;
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
4) L’autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati[39].
5) L’autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d’impatto sulla protezione dei dati. L’autorità di controllo comunica tali elenchi al comitato (…).”
La valutazione d’impatto deve contenere:
a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
c) una valutazione dei rischi per i diritti e le libertà degli interessati;
d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente Regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
La valutazione d’impatto deve essere periodicamente aggiornata, in particolar modo tutte le volte che vi sia un mutamento significativo circa la natura, la finalità o le modalità di trattamento, compresa l’introduzione di nuove tecnologie.
Consultazione preventiva
Ai sensi dell’art. 36: “Il titolare del trattamento, prima di procedere al trattamento, consulta l’autorità di controllo qualora la valutazione d’impatto sulla protezione dei dati a norma dell’art. 35 indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio.”
Si ricorre a questo strumento qualora si verifichino due condizioni:
– quando, a seguito della valutazione d’impatto, emerge che il trattamento presenti comunque un rischio elevato;
– quando le misure per mitigare il rischio sono impraticabili per il titolare a causa della tecnologia prevista e dei costi di attuazione.
In questi casi, dunque, occorre un parere preventivo delle Autorità di controllo per valutare la situazione alla luce degli interessi in gioco. L’Autorità di controllo fornisce, entro 8 settimane[40] dal ricevimento della richiesta di consultazione, un parere scritto al titolare e al responsabile del trattamento.
Al momento di consultare l’Autorità di controllo il titolare del trattamento comunica:
a) le rispettive responsabilità del titolare, dei contitolari e dei responsabili del trattamento;
b) le finalità e i mezzi del trattamento;
c) le misure e le garanzie previste per proteggere i diritti e le libertà degli interessati;
d) ove applicabile, i dati di contatto del responsabile della protezione dei dati (DPO);
e) la valutazione d’impatto sulla protezione dei dati;
f) ogni altra informazione richiesta dall’Autorità di controllo.
4) Definire la procedura di data breach, disciplinata dagli artt. 33 e 34 del Regolamento.
Nel caso si verifichi una violazione dei dati personali, da intendersi come “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”, il Regolamento prevede due obblighi di notifica, uno nei confronti dell’Autorità di controllo e l’altro nei confronti degli interessati.
Nel primo caso – notifica al Garante – il titolare del trattamento notifica la violazione all’Autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, soltanto se ritiene probabile che da tale violazione derivino rischi per i diritti e le libertà delle persone fisiche.
La notifica deve almeno:
– descrivere la natura della violazione dei dati personali, compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione, nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
– comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
– descrivere le probabili conseguenze della violazione dei dati personali;
– descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Qualora e nella misura in cui non sia possibile fornire tempestivamente tutte le informazioni richieste, gli elementi mancanti possono essere forniti in fasi successive senza ingiustificato ritardo.
Il titolare è tenuto a documentare qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.
Nel secondo caso – notifica agli interessati – essa è obbligatoria e da effettuarsi senza ingiustificato ritardo, solo nel caso in cui la violazione presenti un rischio elevato per i diritti e le libertà delle persone fisiche.
Anche in presenza di tale elevato rischio, tuttavia, non si darà luogo alla comunicazione quando è soddisfatta una delle seguenti condizioni:
– il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
– il titolare ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
– detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede a una comunicazione pubblica.
Definizione di policy e procedure organizzative interne
Per garantire un alto livello di protezione dei dati personali è indispensabile porre in essere delle procedure interne che comprendano:
– il rispetto del principio della protezione dei dati già in fase di progettazione;
– la formazione e la sensibilizzazione dei soggetti interni che trattano dati personali;
– la gestione dei reclami e delle richieste di esercizio dei diritti da parte degli interessati;
– la prevenzione e la gestione di violazioni dei dati personali.
Documentazione delle attività di trattamento per provare la conformità al Regolamento
È fondamentale la raccolta e la custodia della documentazione necessaria. Tutte le attività e i documenti posti in essere in ogni fase del trattamento dovranno essere riesaminati e aggiornati regolarmente per assicurare una protezione dei dati permanente. In particolare, si fa riferimento a
– documentazione attestante i trattamenti di dati personali svolti;
– documentazione attestante il rispetto dei diritti e delle libertà dei soggetti interessati;
– documentazione che definisce i ruoli e le responsabilità in materia di protezione dei dati personali;
– comprova delle misure di sicurezza tecniche implementate.
Regime sanzionatorio per l’illecito trattamento dei dati personali
Gli illeciti in ambito privacy possono essere di natura civile, amministrativa e penale. Il Regolamento disciplina le sanzioni amministrative, rimettendo ai singoli Stati membri la disciplina delle sanzioni penali.
Ai sensi dell’art. 83, comma 1, le sanzioni amministrative pecuniarie sono inflitte dall’Autorità di controllo e devono essere effettive, proporzionate e dissuasive.
Le sanzioni pecuniarie possono essere comminate in aggiunta o in luogo delle misure di cui all’art. 58, comma 2, lett. da a) a h) e j) del Regolamento.
È possibile dividere e distinguere due livelli sanzionatori:
– sanzioni amministrative pecuniarie fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore;
– sanzioni amministrative pecuniarie fino 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Per maggiori informazioni: Consultmedia rif. dr.ssa Gloria Siri tel. 0331/452183 [email protected]. (G.S. per NL)
