Regolamento UE 679/2016: le principali novità in materia di privacy per le imprese e le pubbliche amministrazioni - DirICTo
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Innovative Legal & ICT Counsel
Regolamento UE 679/2016: le principali novità
in materia di privacy per le imprese e le
pubbliche amministrazioni
Opuscolo informativo
a cura di Gianluca Satta
Fondato e diretto da Massimo Farina
www.diricto.it
info@diricto.it
Il Network raggruppa esperti e studiosi, di tutta l’Italia, in materia di Diritto dell’Informatica e di
Informatica Giuridica, con il fine di sviluppare attività di studio, ricerca e approfondimento
nell'ambito delle tematiche di interesse comune per il mondo giuridico e informatico.Edizione: Dicembre 2017
Autore: Gianluca Satta
Licenza d’uso: Creative Commons Attribuzione - Non Commerciale -
Condividi allo stesso modo 4.0 (CC BY-NC-SA 4.0) - Internazionale
Il presente lavoro è soggetto a integrazioni e modifiche alla luce dell’evoluzione
della riflessione a livello nazionale ed europeo e della normativa in materia.
1Sommario
Regolamento UE 679/2016: le principali novità in materia di privacy per le imprese e le pubbliche
amministrazioni ......................................................................................................................................... 2
Introduzione .......................................................................................................................................... 3
Quando si applica il Regolamento privacy? ......................................................................................... 4
L’organizzazione delle figure privacy .................................................................................................... 4
Il principio di accountability (“responsabilizzazione”) ......................................................................... 5
L’informativa e il consenso .................................................................................................................. 6
I diritti dell’interessato ........................................................................................................................... 7
Il diritto di accesso ........................................................................................................................................... 7
Il diritto di rettifica ........................................................................................................................................... 8
Il diritto alla cancellazione (“diritto all’oblio”) ................................................................................................ 8
Il diritto di limitazione di trattamento ............................................................................................................. 8
Il diritto di opposizione ................................................................................................................................... 8
La portabilità dei dati. ........................................................................................................................... 9
Gli adempimenti interni: il registro dei trattamenti. ........................................................................... 10
Le misure di sicurezza. ........................................................................................................................ 10
La valutazione di impatto sulla protezione dei dati personali............................................................ 11
Il Responsabile della protezione dei dati personali (DPO) ............................................................... 12
I requisiti del DPO ........................................................................................................................................ 13
I compiti del DPO ......................................................................................................................................... 13
La posizione del DPO ................................................................................................................................... 14
La violazione dei dati personali (data breach) .................................................................................... 14
Responsabilità e sanzioni..................................................................................................................... 15
Gianluca Satta
Avvocato del foro di Cagliari, consulente e cultore della materia presso la cattedra di Diritto
dell’Informatica e delle Nuove Tecnologie dell’Università degli Studi di Cagliari. Componente del
Direttivo del network DirICTo e collaboratore per le attività di ricerca del Laboratorio “ICT4 Law &
Forensics” del Dipartimento di Ingegneria Elettrica ed Elettronica dell'Università degli Studi di Cagliari.
2Regolamento UE 679/2016: le principali novità in
materia di privacy per le imprese e le pubbliche
amministrazioni
particolare del diritto alla protezione dei dati
Introduzione personali, diversi all’interno di ciascun Stato
Il 24 maggio 2016, quattro anni dopo la sua europeo, ostacolando la libera circolazione dei
presentazione ufficiale da parte della dati personali all’interno dell’Unione. Inoltre, le
Commissione Europea, è entrato in vigore il divergenze nell’attuazione e nell’applicazione
Regolamento (UE) 2016/679. della direttiva 95/46/CE, hanno rappresentato
Il Regolamento Generale in materia di un freno all’esercizio delle attività economiche
Protezione dei Dati Personali (di seguito su scala europea, in grado di falsare la
“Regolamento Generale” o “RGDP”) contiene concorrenza e impedire alle autorità nazionali
al suo interno l’insieme delle disposizioni di adempiere agli obblighi loro derivanti dal
normative in materia di protezione delle diritto dell’Unione.
persone fisiche con riguardo al trattamento dei Per queste ragioni, si è ritenuto necessario
dati personali e, insieme alla Direttiva (UE) intervenire attraverso l’emanazione del
2016/680, fa parte del cosiddetto “Pacchetto di Regolamento (UE) 2016/679, in grado di
protezione dei dati” elaborato ed approvato produrre i propri effetti direttamente all’interno
dall’Unione Europea. degli ordinamenti degli Stati Membri, senza
Fino ad oggi, il quadro normativo europeo in necessità di alcun atto di recepimento.
materia di protezione dei dati personali era Il Regolamento Generale in materia di privacy
costituito principalmente dalla Direttiva si applicherà a partire dal 25 maggio 2018.
95/46/CE (cosiddetta “direttiva madre”) e L‘obiettivo del legislatore europeo, infatti, è
dall’insieme degli atti di recepimento di ciascun quello di garantire a tutti i destinatari delle
ordinamento degli Stati Membri. Nel nostro norme del Regolamento Generale (dagli Stati
Paese, la Legge 31 dicembre 1996, n. 675 è Membri, ai privati ed alle pubbliche
stato il primo testo normativo adottato in amministrazioni) un tempo di due anni, a
attuazione della direttiva madre, partire dalla data di entrata in vigore, per
successivamente abrogato e sostituito dal D. l’adeguamento alle nuove disposizioni
Lgs. 30 giugno 2003, n. 196 (Codice della normative.
Privacy).
Nei prossimi mesi, quindi, tutte le imprese e le
La “direttiva madre” insieme alle disposizioni pubbliche amministrazioni dovranno attivarsi
attuative di ciascun Stato Membro, ha per allineare le proprie attività e i processi
contribuito a creare livelli di protezione dei interni ai nuovi obblighi previsti dal RGDP
diritti e delle libertà delle persone fisiche, in entro il 25 maggio 2018.
3Quando si applica il L’organizzazione delle
Regolamento privacy? figure privacy
Riferimenti: art. 2, art. 3 RGDP Riferimenti: artt. 24, 26, 28 e 29 RGDP
Il Regolamento si applica a tutti i trattamenti di La normativa in materia di protezione dei dati
dati personali, automatizzati e non, effettuati da personali, analogamente alla precedente
soggetti (titolari o responsabili del trattamento) direttiva madre (Direttiva 95/46/CE), prevede
che svolgono le proprie attività nell’Unione. una distribuzione dei ruoli e un’organizzazione
Inoltre, il Regolamento trova applicazione di tipo gerarchico/piramidale.
anche nei confronti dei soggetti non stabiliti Preliminarmente, è opportuno distinguere gli
nell’Unione che, per offrire beni o fornire
“interessati” dalle altre figure coinvolte; questi,
servizi o per svolgere attività di monitoraggio di infatti, rappresentano le persone fisiche cui si
comportamenti, trattano dati personali di riferiscono i dati personali oggetto del
interessati che si trovano nel territorio europeo. trattamento.
Sotto un profilo soggettivo, gli obblighi e i In cima alla piramide si trova il titolare del
principi in materia di privacy si applicano, trattamento, ovverosia il soggetto giuridico a cui
quindi, sia ai soggetti privati (persone fisiche e/o spetta decidere le finalità e i mezzi trattamento.
giuridiche) sia alle autorità pubbliche Quasi sempre questa figura corrisponde con il
(pubbliche amministrazioni), i quali possono soggetto giuridico (ad esempio, la società o la
assumere il ruolo di titolari o di responsabili del pubblica amministrazione) che, nello
trattamento. svolgimento di una determinata attività (da cui
Per trattamento si intende “qualsiasi operazione ne consegue la finalità del trattamento), richiede
o insieme di operazioni, compiute con o senza o necessita di utilizzare i dati personali degli
l’ausilio di processi automatizzati e applicate a interessati.
dati personali o insiemi di dati personali, come Il responsabile del trattamento è definito come
la raccolta, la registrazione, l’organizzazione, la “la persona fisica o giuridica, l’autorità pubblica,
strutturazione, la conservazione, l’adattamento il servizio o altro organismo che tratta dati
o la modifica, l’estrazione, la consultazione, personali per conto del titolare del
l’uso, la comunicazione mediante trasmissione, trattamento”. Si tratta di una figura che opera
diffusione o qualsiasi altra forma di messa a sulla base di una delega del titolare; egli è tenuto
disposizione, il raffronto o l’interconnessione, a compiere solo le operazioni che il titolare del
la limitazione, la cancellazione o la distruzione”. trattamento ha lui delegato. La figura del
In termini più sintetici, è possibile considerare responsabile del trattamento è, per questo
trattamento ogni operazione che implica un motivo, soggetta al potere di controllo del
semplice contatto con un dato personale. titolare e per questo si colloca nel gradino più
in basso.
4Il responsabile del trattamento può essere sia
interno che esterno all’organizzazione del
Il principio di accountability
titolare. Nel primo caso, ad esempio, può (“responsabilizzazione”)
trattarsi di un dipendente del titolare che svolge
Riferimenti: artt. 5, 23, 25 RGDP
mansioni di tipo manageriale o di
coordinamento di un’area, al quale sono Secondo il principio di responsabilizzazione, il
delegati una parte dei compiti spettanti al titolare del trattamento ha l’esclusiva
titolare del trattamento, per essere eseguiti con competenza per il rispetto dei principi e delle
riferimento all’area a questi assegnata. Nel regole previste dal Regolamento e, allo stesso
secondo caso, invece, il responsabile è esterno tempo, deve essere in grado di comprovarne il
quando il titolare del trattamento, necessitando corretto adempimento.
l’acquisizione di un servizio da un fornitore Tutto l’impianto normativo del Regolamento è
esterno, delega quest’ultimo a svolgere le basato sul principio di accountability di titolari e
operazioni di trattamento necessarie per la responsabili. Si tratta di una grande novità in
fornitura del servizio richiesto; tra i casi più materia di protezione dei dati personali, in
frequenti, vi è l’impiego di professionisti esterni quanto ai titolari viene affidato il compito di
per l’espletamento di pratiche di natura fiscale decidere autonomamente le modalità, le
o contabile. garanzie e i limiti del trattamento dei dati
All’ultimo livello della scala gerarchica, si personali – nel rispetto delle disposizioni
trovano tutti i soggetti che svolgono specifiche normative e alla luce di alcuni criteri specifici
attività di trattamento su autorizzazione del indicati nel Regolamento.
titolare o del responsabile del trattamento. Alcune tra le principali espressioni del principio
Nella precedente impostazione del Codice di responsabilizzazione del titolare del
della Privacy, questi soggetti erano individuati trattamento sono:
come “incaricati del trattamento”. Nel nuovo
Regolamento questa figura, pur non essendo - Il criterio della “data protection by design
più espressamente prevista, è pienamente and by default ”
compatibile con la struttura e la filosofia del - Il bilanciamento fra legittimo interesse del
regolamento, in particolare alla luce del titolare o del terzo e diritti e libertà
principio di "responsabilizzazione" di titolari e dell'interessato
responsabili del trattamento che prevede
- La valutazione dei rischi inerenti il
l'adozione di misure atte a garantire
trattamento
proattivamente l'osservanza del regolamento
nella sua interezza. - L’adozione di misure tecniche e
organizzative idonee a mitigare tali rischi
In virtù di questa impostazione innovativa, il
titolare dovrà adoperarsi per documentare e
motivare adeguatamente ogni attività e
adempimento, in modo tale da essere sempre
5in grado di dimostrare che tali scelte siano richiesta dell’interessato, l’informativa può
coerenti, corrette e pertinenti. Per queste essere data oralmente. Il nuovo Regolamento,
ragioni, la nuova figura del Responsabile per la inoltre, prevede la possibilità che l’informativa
protezione dei dati personali (Data Protection sia fornita attraverso l’utilizzo di icone
Officer – DPO) costituisce il fulcro del standardizzate, così realizzando una forma di
processo di attuazione del principio di informativa “stratificata”.
“responsabilizzazione”.
Salvo casi particolari, di regola nell’informativa
devono essere indicate almeno:
- l’identità e i dati di contatto del titolare del
L’informativa e trattamento;
il consenso - i dati di contatto del responsabile della
protezione dei dati (DPO);
Riferimenti: artt. 6, 7, 13, 14 RGDP
- le finalità del trattamento cui sono destinati i
Salvo alcuni casi eccezionali, di regola
dati personali nonché la base giuridica del
l’informativa e la richiesta di consenso
trattamento (es. disposizione di legge,
rappresentano due adempimenti fondamentali
regolamento, contratto, convenzione, ecc.);
che ogni titolare deve mettere in atto prima di
procedere al trattamento dei dati - il periodo di conservazione dei dati personali
dell’interessato. oppure, se non è possibile determinarlo, i
In particolare, affinché il trattamento sia coretto criteri utilizzati per determinare tale periodo;
e trasparente è necessario che l’interessato sia - l’esistenza del diritto dell’interessato di
informato dell’esistenza del trattamento e delle chiedere al titolare del trattamento l’accesso
sue finalità. Il titolare del trattamento deve, ai dati personali e la rettifica o la
quindi, fornire all’interessato eventuali ulteriori cancellazione degli stessi o la limitazione del
informazioni necessarie ad assicurare un trattamento che lo riguardano o di opporsi al
trattamento corretto e trasparente, prendendo loro trattamento, oltre al diritto alla
in considerazione le circostanze ed il contesto portabilità dei dati;
specifici in cui i dati personali sono trattati
- quando il trattamento sia basato sul consenso
L’informativa è sempre dovuta e deve essere espresso dall’interessato, l’esistenza del
fornita nel momento in cui i dati personali sono diritto di revocare il consenso in qualsiasi
ottenuti dall’interessato. L’informativa deve momento;
essere concisa, trasparente, intelligibile e
- il diritto di proporre reclamo a un’autorità di
facilmente accessibile e deve essere redatta con
controllo;
un linguaggio semplice e chiaro, in particolare
nel caso di informazioni destinate ai minori. - l’indicazione se la comunicazione di dati
personali rappresenta un obbligo legale o
L’informativa può essere fornita per iscritto o
contrattuale oppure un requisito necessario
con altri mezzi idonei, anche elettronici. Solo su
per la conclusione di un contratto, e se
6l’interessato ha l’obbligo di fornire i dati
personali nonché le possibili conseguenze
I diritti dell’interessato
della mancata comunicazione di tali dati. Riferimenti: artt. 12, 15, 16, 17, 18, 21, 22 RGDP
Il consenso dell’interessato rappresenta uno dei Prima di esaminare nello specifico i singoli
fondamenti di liceità del trattamento previsti dal diritti, è opportuno tracciare brevemente le
Regolamento. Il consenso è rappresentato dalla regole fondamentali previste dal Regolamento
libera manifestazione della volontà per quanto concerne il rapporto del titolare del
dell'interessato con cui egli accetta trattamento con l’interessato, poste a tutela dei
espressamente un determinato trattamento dei diritti di quest’ultimo. In particolare, il titolare
propri dati personali, previa informativa da deve sempre comunicare con l’interessato
parte del titolare del trattamento. In quanto mediante un linguaggio semplice e chiaro, in
libera manifestazione di volontà, il consenso forma concisa, trasparente, intelligibile, e
può essere sempre revocato dall’interessato in garantendo un facile accesso alle sue
qualsiasi momento. comunicazioni e l’esercizio dei diritti da parte
Il consenso, quando è richiesto dell’interessato.
obbligatoriamente, deve essere sempre Il titolare, ricevuta una richiesta da parte
preceduto dall’informativa e deve riferirsi ad dell’interessato, non può rifiutarsi di soddisfarla
una specifica operazione di trattamento; inoltre, e deve fornire le informazioni relative a tutte le
non può essere implicito o dedotto da azioni da lui intraprese riguarda la richiesta. Il
comportamenti dell’interessato. titolare deve garantire la risposta senza ritardo
Quando il trattamento riguarda categorie e, in ogni caso, non oltre un mese dal
particolari di dati personali (quali, ad esempio, ricevimento della richiesta (salvo l’applicazione
dati sulla salute, dati biometrici o genetici, dati del termine di due mesi nei casi previsti dal
sulla vita e orientamento sessuale, dati sulle Regolamento).
convinzioni religiose o sull’appartenenza Il diritto di accesso
sindacale od opinioni politiche) il consenso
deve essere anche esplicito. Con l‘esercizio di questo diritto, l’interessato ha
il diritto di ottenere dal titolare del trattamento
Per il consenso non è prevista la forma scritta, la conferma che sia o meno in corso un
né una forma di documentazione per iscritto. trattamento di dati personali che lo riguardano
Tuttavia, la forma scritta è l’unica forma idonea e in tal caso, di ottenere l’accesso ai dati
a rappresentare l'inequivocabilità del consenso personali e a tutte le informazioni
e il suo essere “esplicito”. Inoltre, non va corrispondenti alle indicazioni obbligatorie
dimenticato che il titolare deve essere sempre in dell’informativa (es. finalità del trattamento,
grado di dimostrare che l'interessato ha prestato categorie di dati personali oggetto del
il consenso a uno specifico trattamento. trattamento, eventuali destinatari dei dati, il
periodo di conservazione dei dati, e così via).
Rispetto al passato, con l’esercizio di questo
diritto l’interessato ha sempre il diritto di
7ricevere una copia dei dati personali oggetto di Con la limitazione del trattamento, il titolare
trattamento. può esclusivamente conservare il dato e può
trattare i dati personali solo con il consenso
Il diritto di rettifica
dell’interessato o per finalità di tutela di un
Con questo diritto, l’interessato può ottenere diritto in sede giudiziaria o per motivi di
dal titolare del trattamento la rettifica o interesse pubblico. Tra i casi previsti dal
l’integrazione dei dati personali inesatti o regolamento, in particolare, la limitazione può
incompleti che lo riguardano senza essere richiesta quando: l’interessato contesta
ingiustificato ritardo. l’esattezza dei dati personali, per il periodo
Il diritto alla cancellazione (“diritto all’oblio”) necessario al titolare del trattamento per
verificare l’esattezza di tali dati personali; il
In virtù di tale diritto, in presenza di trattamento è illecito e l’interessato non intende
determinate condizioni, l’interessato può ottenere la cancellazione; il titolare del
ottenere dal titolare del trattamento la trattamento non ha più bisogno dei dati
cancellazione dei dati personali che lo personali, ma questi ultimi sono necessari
riguardano senza ingiustificato ritardo. A titolo all’interessato per l’accertamento, l’esercizio o
esemplificativo, la cancellazione può essere la difesa di un diritto in sede giudiziaria; infine,
richiesta quando: i dati personali non sono più quando l’interessato si è opposto al trattamento,
necessari rispetto alle finalità per le quali sono nell’attesa della verifica in merito all’eventuale
stati raccolti; l’interessato revoca il consenso e prevalenza dei motivi legittimi del titolare del
non sussiste altro fondamento giuridico per il trattamento rispetto a quelli dell’interessato.
trattamento; l’interessato si oppone al
trattamento; i dati personali sono stati trattati Il diritto di opposizione
illecitamente. La cancellazione, inoltre, può Secondo questo diritto, l’interessato può
essere richiesta quando i dati personali sono formulare richiesta di opposizione in qualsiasi
stati raccolti relativamente all’offerta di servizi momento, per motivi connessi alla sua
della società dell’informazione (quali, l’offerta situazione particolare, al trattamento dei dati
di beni e servizi online a distanza). personali che lo riguardano ai sensi dell’articolo
Il cosiddetto “diritto all'oblio" si configura come 6, paragrafo 1, lettere e) o f), compresa la
un diritto alla cancellazione dei propri dati profilazione sulla base di tali disposizioni. In
personali in forma rafforzata. Infatti, è previsto seguito all’opposizione, il titolare del
l'obbligo per i titolari, che hanno reso pubblici i trattamento deve astenersi dal trattare i dati
dati personali dell'interessato (ad esempio, personali salvo che egli dimostri l’esistenza di
mediante pubblicazione su un sito web) di motivi legittimi cogenti per procedere al
cancellare tali dati e di informare della richiesta trattamento che prevalgono sugli interessi, sui
di cancellazione altri titolari che trattano i dati diritti e sulle libertà dell’interessato oppure per
personali cancellati, compresi qualsiasi link, l’accertamento, l’esercizio o la difesa di un
copia o riproduzione degli stessi. diritto in sede giudiziaria. Qualora i dati
personali siano trattati per finalità di marketing
Il diritto di limitazione di trattamento diretto, l’interessato ha il diritto di opporsi in
8qualsiasi momento al trattamento dei dati
personali che lo riguardano effettuato per tali
La portabilità dei dati.
finalità, compresa la profilazione nella misura in Riferimenti: art. 20 RGDP
cui sia connessa a tale marketing diretto.
Il diritto alla portabilità dei dati consiste nella
Alla luce delle regole esaminate, al fine di possibilità per l’interessato di ricevere i dati
ridurre gli oneri a carico del titolare e per personali che lo riguardano forniti a un titolare
agevolare l’esercizio dei diritti da parte del trattamento in un formato strutturato, di uso
dell’interessato, è opportuno prevedere dei comune e leggibile da dispositivo automatico e
meccanismi, anche automatizzati per richiedere nel diritto di trasmettere tali dati a un altro
e, se del caso, ottenere gratuitamente, in titolare del trattamento senza impedimenti da
particolare l’accesso ai dati, la loro rettifica e parte del titolare del trattamento, anche
cancellazione e per esercitare il diritto di mediante trasmissione diretta quando
opposizione. Tali misure, ad esempio, tecnicamente possibile.
potrebbero consistere in soluzioni tecnologiche
In altri termini, la portabilità dei dati
atte a consentire agli interessati di consultare
rappresenta una forma di diritto di accesso
direttamente, da remoto e in modo sicuro, i
particolare, potenziata per accrescere il
propri dati personali. Con riferimento al diritto
controllo degli interessati sui propri dati. Infatti,
di limitazione, invece, potrebbe essere utile
l’esercizio di tale diritto consente all’interessato
prevedere modalità tecniche per
di effettuare facilmente il passaggio da un
“contrassegnare” il dato personale oggetto della
fornitore di servizi all’altro, garantendo
limitazione, per il periodo in cui sussiste tale
maggiori diritti e un controllo più ampio sui dati
condizione.
personali da parte dell’interessato.
Quando l’interessato formula richiesta di
La portabilità può riguardare solo i dati
rettifica, cancellazione o limitazione, il titolare
personali riferiti all’interessato e solo quelli che
del trattamento è tenuto a comunicare
sono stati forniti dallo stesso, e l’esercizio di tale
l’esercizio di tali diritti a ciascuno dei destinatari
diritto non deve ledere i diritti e le libertà altrui.
cui sono stati trasmessi i dati personali, salvo
che ciò si riveli impossibile o implichi uno Tutti i titolari del trattamento che ricadono nel
sforzo sproporzionato. campo di applicazione di questo diritto, quindi,
devono adottare tutte le misure necessarie per
Infine, oltre ai diritti sin qui illustrati, va
consentire all’interessato di ottenere i dati
evidenziato il diritto dell’interessato a non
richiesti in un formato interoperabile, in modo
essere sottoposto a una decisione basata
tale da consentire ad altri titolari del trattamento
unicamente sul trattamento automatizzato,
di utilizzarli nei propri sistemi. Inoltre, sarebbe
compresa la profilazione, che produca effetti
opportuno mettere a disposizione degli
giuridici che lo riguardano o che incida in modo
interessati idonei strumenti per consentire agli
analogo significativamente sulla sua persona.
stessi di scegliere i dati che desiderano
trasmettere e ricevere escludendo (se del caso)
i dati di altri interessati.
9Come si può notare, il registro delle attività di
Gli adempimenti interni: trattamento riprende, per contenuto e forma,
il registro dei trattamenti. quello del Documento Programmatico sulla
Sicurezza (DPS) già previsto nel Codice della
Riferimenti: art. 30 RGDP Privacy e poi abrogato a partire dal 2012 e,
Il registro delle attività di trattamento è un essendo un documento riepilogativo, come il
documento scritto, anche in formato vecchio DPS, la sua funzione è quella di
elettronico, nel quale sono presenti una serie di facilitare la cooperazione tra il
informazioni obbligatorie che riguardano le titolare/responsabile del trattamento e
attività di trattamento eseguite dal titolare del l’Autorità di controllo.
trattamento.
L’obbligo di tenuta del registro, previsto a carico
di tutti i titolari o responsabili del trattamento, Le misure di sicurezza.
non si applica nei confronti delle imprese o
Riferimenti: art. 32 RGDP
organizzazioni che contano meno di 250
dipendenti, a condizione che il trattamento Il titolare del trattamento, a partire dal
effettuato non presenti alcun rischio per i diritti momento in cui ha in carico i dati personali
e le libertà dell’interessato, il trattamento sia di dell’interessato, ha il dovere di garantirne la
carattere occasionale, oppure il trattamento non sicurezza.
riguarda categorie particolari di dati (sensibili), Nel Regolamento non sono previste
o i dati personali relativi a condanne penali e a espressamente e tassativamente le misure di
reati il registro è sempre obbligatorio (a sicurezza, come avveniva in passato con
prescindere dal numero di dipendenti). l’allegato B del Codice della Privacy (con le
Nel registro devono essere indicati cosiddette “misure minime di sicurezza”), bensì
obbligatoriamente: il nome e i dati di contatto sono previsti dei criteri e dei principi per la
del titolare del trattamento (ove applicabile, del determinazione delle misure di sicurezza.
contitolare, del rappresentante del titolare e del Come si è detto, in forza del principio di
responsabile della protezione dei dati), le responsabilizzazione dei titolari del trattamento,
finalità del trattamento, la descrizione delle spetta a questi ultimi mettere in atto misure
categorie di interessati e delle categorie di dati tecniche e organizzative adeguate per garantire
personali, le categorie di destinatari a cui i dati un livello di sicurezza adeguato al rischio,
personali sono stati o saranno comunicati, tenuto conto dello stato dell’arte, dei costi di
eventuali trasferimenti di dati personali verso un attuazione, della natura, dell’oggetto, del
paese terzo o un’organizzazione internazionale, contesto e delle finalità del trattamento e del
i termini ultimi previsti per la cancellazione rischio di varia probabilità e gravità per i diritti
delle diverse categorie di dati e, infine, una e le libertà delle persone fisiche.
descrizione generale delle misure di sicurezza Da ciò si può agevolmente comprendere come,
tecniche e organizzative adottate a tutela dei dati per una corretta individuazione delle misure di
personali.
10sicurezza da adottare, sia fondamentale riservatezza, l’integrità, la disponibilità e la
effettuare la valutazione dei rischi. Tale attività, resilienza dei sistemi e dei servizi di trattamento.
necessaria per l’individuazione delle cosiddette
“misure idonee di sicurezza” durante la vigenza
del vecchio Codice della Privacy, con il
Regolamento ha acquisito maggiore importanza
La valutazione di impatto
e rilevanza in quanto, non essendo più presente sulla protezione dei dati
la distinzione tra misure minime e misure
idonee di sicurezza, rappresenta il punto di
personali
partenza per sviluppare ogni tipo di misura Riferimenti: art. 35 RGDP
tecnica e organizzativa per garantire la sicurezza
La valutazione di impatto (o “Data Protection
dei dati personali.
Impact Assessment” – DPIA) è un
Per una corretta attività valutativa, il titolare adempimento interno previsto quando il
dovrebbe innanzitutto individuare quali sono i trattamento, in particolare se eseguito mediante
rischi inerenti alla propria attività di l’uso di nuove tecnologie, può presentare un
trattamento, quando possono sorgere e gli rischio elevato per i diritti e le libertà delle
eventi che costituiscono il fattore di rischio. Una persone fisiche. La valutazione del rischio, in
volta effettuata la valutazione dei rischi, sarà questo caso, deve essere effettuata tenendo
possibile individuare le misure tecniche e conto di una serie di fattori: la natura, l’oggetto,
organizzative adeguate. il contesto e le finalità del trattamento.
A mero titolo esemplificativo, per misure Il Regolamento prevede un elenco, sebbene
organizzative si intende: la formazione del non esaustivo, di casi e condizioni in presenza
personale, l’adozione di piani di evacuazione, di dei quali è necessario procedere alla valutazione
registri degli accessi in determinati luoghi, l’uso di impatto. In particolare, la DPIA è prevista:
di un sistema di allarme e, infine, l’introduzione
- quando il trattamento comporta una
di una procedura finalizzata a verificare e
valutazione sistematica e globale di aspetti
valutare regolarmente l’efficacia delle misure
personali relativi a persone fisiche, basata su
tecniche e organizzative stesse, anche
un trattamento automatizzato, compresa la
coinvolgendo altre figure (quali il DPO,
profilazione, e sulla quale si fondano
l’amministratore di sistema, i responsabili del
decisioni che hanno effetti giuridici o
trattamento interni). Nell’ambito delle misure
incidono in modo analogo significativamente
tecniche, invece, si possono individuare: la
su dette persone fisiche (ad esempio,
pseudonimizzazione e la cifratura dei dati
trattamento automatizzati volti a definire il
personali, l’adozione di un sistema di
profilo o la personalità dell'interessato, o ad
autenticazione e di autorizzazioni, procedure di
analizzare abitudini o scelte di consumo,
backup, data recovery e continuità operativa,
ovvero a monitorare l'utilizzo di servizi).
utilizzo di sistemi di protezione informatica
(quali antivirus e firewall) e tutte le altre misure - quando il trattamento riguarda categorie
in grado di assicurare su base permanente la particolari di dati personali (“sensibili”) o di
11dati relativi a condanne penali e a reati (ad responsabile della protezione dei dati (DPO) in
esempio, trattamenti di dati genetici, dati merito a tale scelta.
biometrici, dati relativi alla salute e alla vita
sessuale, trattamenti di dati “giudiziari”)
- quando il trattamento consente la Il Responsabile della
sorveglianza sistematica su larga scala di una
zona accessibile al pubblico (ad esempio, la
protezione dei dati
videosorveglianza per il controllo sistematico personali (DPO)
del traffico autostradale).
Riferimenti: artt. 37, 38, 39 RGDP
Per agevolare il lavoro di valutazione, l’Autorità
di controllo è incaricata di redigere e rendere La figura del Responsabile della protezione dei
pubblico un elenco delle tipologie di trattamenti dati personali (o Data Protection Officer -
soggetti al requisito di una valutazione d’impatto DPO) non va confusa con quella del
sulla protezione dei dati e un elenco dei responsabile del trattamento dei dati personali
trattamenti per i quali non è previsto tale inquadrata nell’organizzazione gerarchico-
adempimento. piramidale.
Nei casi in cui è obbligatoria, la DPIA deve Il DPO è nominato dal titolare o dal
essere effettuata prima di procedere al responsabile del trattamento. La sua nomina è
trattamento dei dati personali da sottoporre alla obbligatoria quando:
valutazione. Nel documento contenente la a) il trattamento è effettuato da un’autorità
valutazione di impatto è necessario inserire: la pubblica o da un organismo pubblico;
descrizione sistematica dei trattamenti previsti e b) le attività principali del titolare del
delle finalità del trattamento, la valutazione trattamento o del responsabile del
della necessità e proporzionalità dei trattamenti trattamento consistono in trattamenti che,
in relazione alle finalità, la valutazione dei rischi per loro natura, ambito di applicazione e/o
per i diritti e le libertà degli interessati e, infine, finalità, richiedono il monitoraggio regolare
le misure previste per affrontare i rischi, e sistematico degli interessati su larga scala;
includendo le garanzie, le misure di sicurezza e c) le attività principali del titolare del
i meccanismi per garantire la protezione dei dati trattamento o del responsabile del
personali e dimostrare la conformità al trattamento consistono nel trattamento, su
regolamento, tenuto conto dei diritti e degli larga scala, di categorie particolari di dati
interessi legittimi degli interessati e delle altre personali: dati “sensibili” e dati “giudiziari”.
persone in questione.
Dal punto di vista organizzativo, un gruppo
Quando il titolare non intende procedere alla imprenditoriale può nominare un unico
valutazione di impatto, in virtù del principio di responsabile della protezione dei dati e, qualora
responsabilizzazione, è tenuto a documentare la il titolare o il responsabile del trattamento sia
scelta della mancata conduzione della DPIA, un’autorità pubblica o un organismo pubblico,
allegando o annotando l’opinione del può essere designato un unico responsabile
12della protezione dei dati per più autorità strumento per valutare il possesso di un livello
pubbliche o organismi pubblici, tenuto conto adeguato di conoscenze. In secondo luogo, il
della loro struttura organizzativa e dimensione DPO deve essere in grado di adempiere alle sue
funzioni in piena indipendenza e in assenza di
Sotto il profilo contrattuale, il DPO può essere
conflitti di interesse.
un soggetto interno, dipendente del titolare o
del responsabile del trattamento, oppure può I compiti del DPO
essere nominata una figura esterna
Il Responsabile della protezione dei dati, in
all’organizzazione, inquadrata sulla base di un
particolare, ha il compito di:
contratto di servizi.
- sorvegliare l’osservanza del regolamento,
Quando il titolare o il responsabile del
valutando i rischi di ogni trattamento alla
trattamento non è tenuto alla nomina del DPO,
luce della natura, dell’ambito di
ma sceglie di nominare un Responsabile della
applicazione, del contesto e delle finalità;
protezione dei dati personali, deve comunque
osservare tutte le regole previste da - collaborare con il titolare/responsabile,
Regolamento per la sua nomina. Per le laddove necessario, nel condurre una
medesime ragioni, in forza del principio di valutazione di impatto sulla protezione dei
responsabilizzazione che impone al titolare di dati (DPIA);
adottare misure tecniche ed organizzative per
- informare e sensibilizzare il titolare o il
essere in grado di dimostrare che il trattamento
responsabile del trattamento, nonché i
è svolto conformemente al Regolamento, è
dipendenti di questi ultimi, riguardo agli
sempre opportuno documentare le valutazioni
obblighi derivanti dal regolamento e da altre
compiute all’interno dell’azienda o dell’ente per
disposizioni in materia di protezione dei
stabilire l’applicabilità o meno dell’obbligo di
dati;
procedere alla nomina del DPO, così da poter
dimostrare che nell’analisi sono stati valutati - cooperare con il Garante e fungere da punto
correttamente tutti i fattori pertinenti. di contatto per il Garante su ogni questione
connessa al trattamento;
I requisiti del DPO
- supportare il titolare o il responsabile in ogni
Il soggetto nominato Responsabile della attività connessa al trattamento di dati
protezione dei dati deve garantire il rispetto di personali, anche con riguardo alla tenuta di
specifici requisiti. In primo luogo, il DPO deve un registro delle attività di trattamento .
possedere un'adeguata conoscenza della
normativa e delle prassi di gestione dei dati Al fine di consentire al DPO di espletare i
personali, anche in termini di misure tecniche e propri compiti, il titolare del trattamento deve
organizzative o di misure atte a garantire la pubblicare i dati di contatto (non
sicurezza dei dati. A tal fine, non sono richieste necessariamente i dati identificativi) del
attestazioni formali o l'iscrizione ad appositi albi responsabile della protezione dei dati e, allo
professionali; tuttavia, la partecipazione a corsi stesso tempo, deve comunicarli all’autorità di
di formazione può rappresentare un utile controllo.
13Inoltre, il titolare o il responsabile del qualunque avvenimento che mette a rischio i
trattamento devono mettere a disposizione del dati personali in possesso del titolare del
Responsabile della protezione dei dati le risorse trattamento (ad esempio, un accesso non
umane e finanziarie necessarie autorizzato ai dati con conseguente sottrazione
all’adempimento dei suoi compiti e assicurarsi di dati, la cancellazione, la sopravvenuta
che il DPO sia tempestivamente e indisponibilità dei dati, e così via).
adeguatamente coinvolto in tutte le questioni
Quando il titolare del trattamento subisce una
riguardanti la protezione dei dati personali. violazione dei dati personali e, secondo la sua
La posizione del DPO valutazione, è probabile che sia presente un
rischio per i diritti e le libertà delle persone
La nomina del DPO deve essere effettuata in
fisiche, procede alla notifica della violazione
modo tale da garantire sempre che il soggetto
all’Autorità di controllo.
nominato operi in totale indipendenza e,
pertanto, non riceva alcuna istruzione per La notifica deve essere effettuata dal titolare del
quanto riguarda l’esecuzione delle sue funzioni. trattamento senza ingiustificato ritardo
Inoltre, nel caso in cui al DPO sono attribuiti (ovverosia, non appena ne ha notizia),
altri compiti e/o funzioni, il titolare o il comunque entro 72 ore dal momento in cui ne
responsabile del trattamento devono assicurarsi è venuto a conoscenza. Se effettuata oltre le 72
che tali compiti e funzioni non diano origine ad ore il titolare dovrà motivarne il ritardo.
un conflitto di interessi. In linea di principio, ciò La notifica all’Autorità di controllo deve
significa che non potrà essere designato come contenere almeno: la descrizione della natura
DPO un soggetto che si trova in una posizione della violazione dei dati personali compresi, ove
tale da incidere sulla determinazione delle possibile, delle categorie e del numero
finalità o sugli strumenti del trattamento di dati approssimativo di interessati in questione
personali. nonché delle categorie e del numero
approssimativo di registrazioni dei dati
personali in questione; la comunicazione del
La violazione dei dati nome e dei dati di contatto del responsabile
della protezione dei dati (DPO) o di altro punto
personali (data breach) di contatto presso cui ottenere più
informazioni; la descrizione delle probabili
Riferimenti: art. 33 e art. 34 RGDP
conseguenze della violazione dei dati personali;
Il Regolamento definisce la violazione dei dati la descrizione delle misure adottate o di cui si
personali come “la violazione di sicurezza che propone l’adozione da parte del titolare del
comporta accidentalmente o in modo illecito la trattamento per porre rimedio alla violazione
distruzione, la perdita, la modifica, la dei dati personali e anche, se del caso, per
divulgazione non autorizzata o l’accesso ai dati attenuarne i possibili effetti negativi.
personali trasmessi, conservati o comunque
In caso di violazione di dati personali, il titolare
trattati”. In altri termini, la violazione dei dati
non è tenuto solamente alla notifica verso
personali (cosiddetta “Data breach”) consiste in
14l’Autorità di controllo, ma deve altresì Le sanzioni amministrative pecuniarie previste
comunicare tale violazione agli interessati, dal Regolamento si articolano in due grandi
ovverosia a tutti i soggetti ai quali i dati oggetto scaglioni: le meno severe possono arrivare fino
della violazione si riferiscono. a dieci milioni di euro, o per le imprese fino al
2% del fatturato mondiale annuo se superiore,
La comunicazione del “data breach” verso gli
mentre le più severe fino a venti milioni di euro,
interessati, deve essere effettuata negli stessi
o per le imprese fino al 4% del fatturato
termini della notifica all’Autorità di controllo e
mondiale annuo.
deve contenere almeno: il nome e dei dati di
contatto del responsabile della protezione dei La competenza ad infliggere le sanzioni
dati (DPO) o di altro punto di contatto presso amministrative è attribuita alle Autorità di
cui ottenere più informazioni; la descrizione controllo nell’ambito del territorio del rispettivo
delle probabili conseguenze della violazione dei Stato membro. Per stabilire l’ammontare delle
dati personali; la descrizione delle misure sanzioni devono essere valutati una serie di
adottate o di cui si propone l’adozione da parte parametri, tra i quali: la natura, la gravità e la
del titolare del trattamento per porre rimedio durata della violazione; il carattere doloso o
alla violazione dei dati personali e anche, se del colposo della violazione; le misure adottate dal
caso, per attenuarne i possibili effetti negativi. titolare o dal responsabile del trattamento per
attenuare il danno subito dagli interessati; il
Tuttavia, la comunicazione all’interessato non è
grado di responsabilità del titolare o del
richiesta quando i dati oggetto della violazione
responsabile del trattamento tenendo conto
erano sottoposti a misure tecniche e
delle misure tecniche e organizzative da essi
organizzative tali da renderli incomprensibili a
messe in atto; eventuali precedenti violazioni
chiunque, quando il titolare ha
pertinenti; il grado di cooperazione con
tempestivamente introdotto misure tali da
l’autorità di controllo; le categorie di dati
evitare rischi elevati sui dati personali e, infine,
personali interessate dalla violazione.
se la comunicazione richiede uno forzo
sproporzionato (in tal caso si procede ad una Nell’ambito dei propri poteri correttivi, oltre a
comunicazione in forma pubblica). quello di irrogare sanzioni amministrative,
dinnanzi ad una violazione delle norme previste
dal Regolamento, le Autorità di controllo
Responsabilità e sanzioni possono: rivolgere avvertimenti e ammonimenti
al titolare o al responsabile del trattamento,
Riferimenti: artt. 82, 83, 84 RGDP ingiungere di soddisfare le richieste
dell’interessato o di conformare i trattamenti
Com’è noto, rispetto al passato, una delle più
alle disposizioni del regolamento, imporre una
rilevanti novità del Regolamento (UE)
limitazione provvisoria o definitiva al
2016/679 è rappresentata dall’elevato
trattamento, incluso il divieto di trattamento,
inasprimento delle sanzioni amministrative
ordinare la rettifica, la cancellazione di dati
pecuniarie.
personali o la limitazione del trattamento,
15revocare la certificazione e ordinare la
sospensione dei flussi di dati verso l’estero.
Le conseguenze derivanti da un illecito
trattamento di dati personali non si limitano
esclusivamente ad una responsabilità di natura
amministrativa, ma possono comportare altresì
l’insorgere di una responsabilità sia di tipo civile
che penale. Per quanto riguarda la
responsabilità civile, questa consiste nel diritto
dell’interessato di ottenere, in presenza di
determinate condizioni, il risarcimento del
danno cagionato dalla condotta dell’autore della
violazione (in genere, il titolare o il responsabile
del trattamento); per la responsabilità penale,
invece, si applicano i principi e le norme di
diritto penale vigenti in ciascuno Stato membro.
16Puoi anche leggere
