Il Regolamento Ue 2016/679 o GDPR - General Data Protection Regulation
Avv. Barbara Bussiglieri
Il testo del regolamento è stato pubblicato sulla G.U. Europea il 4 maggio 2016 e sarà attuativo, senza necessità di una legge di recepimento nazionale, il 25 maggio 2018 in tutta l'Unione Europea. Il regolamento si compone di 99 articolo e di 173 considerando. Le finalità sono l'uniformità normativa e il rafforzamento della protezione dei dati personali dei cittadini e dei residenti nell'UE.
Si passeranno in rassegna gli articoli più significativi del testo normativo.
L'art. 6 descrive ed elenca le condizioni di liceità del trattamento. È necessario che il consenso sia libero, espresso ed informato. Non è ammesso il silenzio assenso. Non è richiesta la forma scritta (che si consiglia), ma è necessario un consenso dimostrabile. È richiesto il consenso dei genitori per i minori di 16 anni.
Gli artt. 13 e 14 definiscono il contenuto dell'informativa. L'informativa, in linea di massima deve essere raccolta prima dell'utilizzo dei dati e deve contenere i seguenti requisiti: la finalità del trattamento nonché la sua base giuridica; i dati di contatto del titolare del trattamento (o suo rappresentante) e dell'eventuale responsabile della protezione dei dati; l'eventuale trasferimento dei dati in paesi terzi; il periodo di conservazione dei dati; l'eventuale ricorso alla profilassi (processo decisionale automatizzato); i diritti dell'interessato (accesso, ratifica, cancellazione e portabilità dei dati, limitazione del trattamento, revoca del consenso, presentazione reclami, ecc.). Nel caso in cui i dati non vengano raccolti direttamente dall'interessato, l'informativa deve essere fornita entro un mese, ovvero al momento della comunicazione. Il considerando 58 chiarisce che, l'informativa deve essere concisa, facilmente accessibili e di facile comprensione e deve essere utilizzato un linguaggio chiaro e semplice. È consigliata la forma scritta (anche se non obbligatoria) e preferibilmente nel formato elettronico (specie per i servizi on-line). L'esonero dell'informativa si ha nei seguenti casi: quando l'informativa risulta impossibile o necessita di uno sforzo sproporzionato, quando vi sono fini specifici come l'archiviazione di pubblico interesse, la ricerca scientifica o storica, la raccolta di dati statistici, ecc.
L'art. 12 dispone che "Il Titolare del trattamento adotta misure appropriate per fornire all'interessato tutte le informazioni e le comunicazioni relative al trattamento in forma concisa, intellegibile e facilmente accessibile...". La risposta, qualunque essa sia, alle richieste dell'interessato deve pervenire entro un mese, il termine può essere prorogato di due mesi. La risposta deve essere scritta e deve essere gratuita, potrà essere onerosa nel caso in cui la richiesta sia manifestatamente infondata o eccessiva (pluri richieste).
L'art. 15 descrive il diritto di accesso, il quale consiste nel diritto dell'interessato ad ottenere da parte del titolare del trattamento una copia dei dati oggetto del trattamento ed un insieme di informazioni, come ad es. la sua finalità, la categoria di dati conservati, i destinatari, il periodo di conservazione, l'informativa al diritto di rettifica, cancellazione, limitazione e/o opposizione del trattamento dei dati, ecc.
L'art. 16 delinea il diritto di rettifica da parte dell'interessato, il quale può richiede al titolare del trattamento la correzione dei dati inesatti senza ingiustificato ritardo.
L'art. 17 si occupa del diritto alla cancellazione, ovvero il cosiddetto diritto all'obblio. Detto diritto, nel regolamento in esame viene rinforzato rispetto alle normative previgenti, poiché oltre al diritto dell'interessato di richiedere la cancellazione dei dati in qualsiasi momento e, indipendentemente da detta richiesta, l'obbligo del titolare del trattamento di disporne la cancellazione dopo il tempo strettamente necessario alla loro conservazione; sussiste da parte del titolare del trattamento l'ulteriore obbligo di chiedere a tutti gli altri titolari, di cancellare i dati da qualsiasi link, copia o riproduzione, nell'eventualità egli li abbia resi pubblici e abbia ricevuto una richiesta di cancellazione.
La limitazione del trattamento dei dati è regolata dall'art. 18, il quale dispone che l'interessato ha diritto di limitare il trattamento dei propri dati in determinate ipotesi come: nel caso in cui i dati siano inesatti per il periodo della loro correzione, nel caso che il trattamento sia illecito, nel caso in cui benché il titolare del trattamento non ne abbia più bisogno vi siano specifiche necessità dell'interessato, ed infine, nel caso in cui sia necessario verificare il legittimo utilizzo dei dati per il periodo appunto della verifica.
Il diritto alla portabilità viene disciplinato dall'art. 20, e prevede la possibilità dell'interessato, previa richiesta al titolare del trattamento, di ricevere in un formato strutturato i propri dati per poterli poi trasmettere ad un diverso titolare. Si pensi a quando si decide di cambiare il proprio gestore di telefonia senza dover cambiare il proprio numero di telefono. I dati portabili sono solo quelli trattati con il consenso dell'interessato o sulla base di un contratto sottoscritto. Inoltre, l'interessato può richiede che il trasferimento venga fatto direttamente dal vecchio titolare al nuovo titolare sempre che ciò sia tecnicamente fattibile.
Gli articoli che seguono, evidenziano una innovazione peculiare del Regolamento europeo e cioè la cosiddetta "responsabilizzazione" (accountability) del titolare e del responsabile del trattamento. Il regolamento, infatti, lascia ai soggetti sopra menzionati la libertà di scegliere e adottare gli strumenti che reputano più idonei per la messa in sicurezza dei dati trattati. Tuttavia, in caso di data breach e/o di verifiche da parte delle autorità competenti sarà onere del titolare e del responsabile dimostrare che i mezzi di sicurezza prescelti siano stati la soluzione più idonea a garantire la sicurezza e la protezione dei dati trattati (principio di proporzionalità tra il livello di rischio di violazione dei dati e la tipologia degli strumenti di sicurezza adottati).
L'art. 4 definisce il titolare del trattamento dei dati (data controller) come "La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente od insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali, quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione Europea o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o dagli Stati membri". Il titolare del trattamento è colui che mette in atto le misure tecniche ed organizzative adeguate per garantire, e in caso di necessità essere in grado di dimostrare, che il trattamento dei dati viene effettuato nel rispetto del regolamento (privacy by desing). In sostanza, il titolare del trattamento è colui che decide come e perché devono essere trattati i dati ed è anche colui che risponde giuridicamente dell'ottemperanza degli obblighi di legge. Infine, è possibile la presenza di contitolari del trattamento i quali attraverso un accordo interno determinano le rispettive competenze, in tal caso l'interessato può comunque esercitare i propri diritti nei confronti di ogni titolare (art. 26).
Il responsabile del trattamento dei dati (data processor) è invece la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento (art. 4). Il responsabile del trattamento è designato dal titolare del trattamento attraverso un contratto scritto o atto giuridico il cui contenuto è indicato nell'art. 28. Il responsabile del trattamento può: trattare i dati solo su istruzioni scritte del titolare, garantisce che il personale autorizzato al trattamento dei dati sia vincolate ad obblighi legali di riservatezza, assiste il titolare con misure tecniche ed organizzative adeguate, assiste il titolare nel garantire gli obblighi previsti dal regolamento, deve cancellare o restituire al titolare tutti i dati trattati al termine della sua prestazione lavorativa, deve mettere a disposizione del titolare tutte le informazioni necessarie per dimostrare il rispetto del regolamento, deve contribuire alle attività di revisione disposte dal titolare o da altro soggetto da questi incaricato. Il responsabile del trattamento non può designare altri responsabili se non previa autorizzazione scritta del titolare del trattamento, i designati hanno gli stessi obblighi del responsabile che li ha nominati. Il responsabile iniziale risponde nei confronti del titolare dell'operato degli altri responsabili da lui incaricati.
Art. 30. Il registro delle attività di trattamento contiene le seguenti informazioni: i dati del titolare del trattamento e dei contitolari, del suo rappresentante e del responsabile della protezione dei dati; le finalità del trattamento; le categorie di interessati e il tipo di dati trattati; i destinatari dei dati; l'eventuale trasferimento di dati in paesi terzi; i termini di cancellazione dei dati; la descrizione dei sistemi di sicurezza. Il registro è tenuto in forma scritta, anche elettronica, dal titolare del trattamento o dal suo rappresentante. Il registro è obbligatorio per le imprese e le organizzazioni in due casi: che abbiano più di 250 dipendenti o nel caso in cui il trattamento dei dati presenti rischi per i diritti e le libertà degli interessati.
La sicurezza del trattamento è onere del titolare e del responsabile del trattamento i quali pongono in essere misure tecniche ed organizzative adeguate al livello di rischio (art. 33). Nell'eventualità si verifichi una violazione dei dati (data breach) il titolare del trattamento deve darne comunicazione, entro 72 ore dalla venuta a conoscenza della violazione, all'autorità di controllo competente (per l'Italia è il Garante della privacy), salvo che detta violazione non presenti rischi per i diritti e le libertà degli interessati. La comunicazione deve specificare il tipo di violazione, le possibili conseguenze e i provvedimenti adottati. Il titolare deve, altresì, comunicare il suddetto evento anche agli interessati senza ingiustificato ritardo (art. 34).
Quando un tipo di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare prima del trattamento dovrà effettua una valutazione dell'impatto sulla protezione dei dati. La valutazione di impatto è finalizzata ad individuare, descrivere e valutare i potenziali rischi del trattamento per i diritti e le libertà degli interessati. All'esito della valutazione il titolare potrà decidere se trattare o no i dati, ovvero quali mezzi di sicurezza utilizzare per ridurre il rischio, ovvero consultare l'autorità di controllo (art. 35 e 36). Il responsabile della protezione dei dati (DPO data protection officer) è un esperto delle norme in materia di privacy e viene nominato dal titolare e dal responsabile del trattamento (art. 37). Il DPO può essere alle dipendente del titolare ovvero essere un consulente esterno che sottoscrive un contratto di servizi. La sua nomina è obbligatoria quando: il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell'esercizio delle loro funzioni); i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; il trattamento riguarda categorie particolari di dati su larga scala. L'art. 39 descrive i compiti del DPO: informare e fornire consulenza al titolare o al responsabile del trattamento; sorvegliare l'osservanza del regolamento; fornire un parere in merito alla valutazione d'impatto sulla protezione dei dati; cooperare con l'autorità di controllo; fungere da punto di contatto per l'autorità di controllo.
Gli artt. 40-43 (codici di condotta e certificazione) sono disposizioni ancora non attuate.
Un punto focale del regolamento è il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali (artt. 44-50). "Qualunque trasferimento di dati personali oggetto di un trattamento o destinati ad essere oggetto di un trattamento dopo il trasferimento, verso un paese terzo o un'organizzazione internazionale, ha luogo soltanto se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni previste nel presente capo" (capo V del regolamento). La Commissione Europea è colei che decide se un paese terzo garantisca o no un livello di protezione adeguata dei dati. Sulla G.U. Europea e sul sito web è pubblicato periodicamente un elenco aggiornato dei paesi terzi che garantiscono, appunto, un idoneo livello di protezione. Pertanto, il trasferimento di dati ai paesi presenti nell'elenco non richiede particolari autorizzazioni. Nel caso in cui, invece, la Commissione non si sia espressa su un paese terzo, il titolare o il responsabile del trattamento dovrà fornire garanzie adeguate di natura contrattuale o pattizia per poter trasmettere i dati a paesi terzi. In conclusione, in mancanza di una decisione della Commissione o di garanzie adeguate da parte del titolare non è ammesso il trasferimento di dati, salvo che si verifichino specifiche condizioni (l'interessato abbia espressamente acconsentito; il trasferimento: sia necessario per l'esecuzione di un contratto tra l'interessato e il titolare e tra il titolare e una persona fisica o giuridica a favore dell'interessato, sia necessario per importanti motivi di interesse pubblico, per accertare esercitare o difendere un diritto in sede giudiziaria, per tutelare gli interessi vitali dell'interessato, sia effettuato a partire da un registro che mira a fornire informazioni al pubblico). Gli articoli che seguono dal 51 al 99, disciplinano le autorità di controllo le quali dovranno vigilare sul rispetto del regolamento. Ogni Stato membro dovrà prevederne almeno una. Questa autorità avrà piena autonomia. Alle autorità di controllo sono attribuiti compiti di sorveglianza, sensibilizzazione pubblica, consulenza alle istituzioni nazionali, decisione dei reclami, collaborazione con le autorità degli altri Stati membri, istruttorie ecc. Viene istituito il Comitato europeo per la protezione dei dati quale organismo dell'Unione dotato di personalità giuridica (art. 68). Infine, il Regolamento si conclude con la disciplina dei reclami (artt. 77 e ss).
(Avv. Barbara Bussiglieri)
(Barbara Bussiglieri)
LaPrevidenza.it, 23/04/2018