Il 25-05-2018 entra in vigore il nuovo Regolamento Privacy (GDPR da General Data Protecion Regulation), e nonostante la mancanza di alcune norme attuative in Italia, si tratta di norme immediatamente applicabili. A parte alcuni aspetti, di seguito evidenziati, ciò che rileva ai fini del corretto trattamento dei dati è che nessuna norma indica quali strumenti concreti adottare o quali prodecure seguire: si lascia al singolo un compito molto importante, ossia la daterminazione nel caso concreto delle strategie e delle misure che, in relazione a quella realtà, riescano a garantire la tutela del dato personale. Per questo motivo il GDPR non lascia spazio a modelli standard, generici e predefiniti.
Attenso che il GDPR riguarda il trattamento dei dati personali, occorre precisare che per “dati personali” si intende qualsiasi informazione che identifica una persona fisica, come il nome e cognome, l’indirizzo di casa, l’indirizzo e-mail personale, il numero della carta d’identità, l’indirizzo Ip, il numero di un badge aziendale. Il GDPR riguarda il trattamento (come sotto definito) di dati personali di persone fisiche in modo non occasionale.
QUALI SONO I PRINCIPI DA OSSERVARE? Considerando che il GDPR non identifica procedure specifiche, cosa è necessario fare? Occorre conoscere i principi di riferimento, e adottare le procedure per rispettarli. Ad esempio: il datore di lavoro che conserva la documentazione relativa ai rapporti di lavoro in essere (buste paga, lettere di assunzione e licenziamento …) in un archivio situato nella sala d’attesa del proprio ufficio, o comunque in luoghi facilmente accessibili a terzi, non ha posto in essere le misure idonee per il corretto trattamenti dei dati del personale.
Quali sono i principi?
– Liceità del trattamento: Il trattamento è lecito quando ricorre almeno una delle seguenti condizioni: a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottare su richiesta dello stesso; c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica; e) il trattamento è necessario per l’esecuzione di un compito di ineresse pubblico o conesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento f) il trattamento è necessario per il perseguimento di un legittimo interesse del titolare del trattamento o di terzi, a condizionie che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.
Affinchè il trattamento dei dati sia lecito è possibile distinguere i casi in cui sia richiesto il consenso dell’interessato, dai casi in cui non sia richiesto: nei casi da b) ad e), come individuati sopra, il trattamento può avvenire anche senza il consenso esplicito dell’interessato. Ad esempio, nel caso di una compravendita immobiliare è evidente che l’interesse alla conclusione del contratto comprende anche il consenso al trattamento dei dati inerenti (caso b), oppure nel caso in cui il l’interessato sia in pericolo di vita risulta evidente che la tutela degli interessi vitali di questo prevalga sul consenso (ad esempio il medico che accede alla cartella clinica del paziente in pericolo di vita), caso c).
In tutti gli altri casi il trattamento dei dati personali può avvenire solamente dopo aver ottenuto il consenso dell’interessato (nelle forme idonee).
– Finalità dei dati: la raccolta dei dati (che rappresenta anch’essa una forma di trattamento) non può avvenire a caso, ma deve avvenire per determinate finalità che devono essere previamente portate a conoscenza dell’interessato. In determinati casi la comunicazione può essere effettuata al Garante della Privacy.
– Minimizzazione dei dati: si possono trattare solo i dati necessari delle finalità. Ad esempio: non ha senso che un albergatore (che non fornisca servizi di colazione e pasti) acquisisca (tratti) i dati relativi ad eventuali intolleranze alimentari dei propri clienti.
– Correttezza dei dati: Il trattamento deve avvenire in modo trasparente nei confronti dell’interessato e consentirgli un esatta conoscenza degli scopi (determinati, espliciti e legittimi).
– Conservazione dei dati: i dati devono essere conservati in una forma tale che ne permetta l’identificazione dell’interessato. Sotto il profilo temporale è necessario che vengano conservato per un tempo non superiore a quello necessario al conseguimento delle finalità del trattamento.
– Riservatezza e integrità: Occorre adottare tutte le misure necessarie affinche i dati personali siano protetti, ossia in modo da evitare o limitare il rischio di dispersione, distruzione accidentale, perdita e trattamenti non autorizzati.
CONSENSO, INFORMATIVA E DIRITTI DELL’INTERESSATO. Perché sia lecito, il trattamento di dati personali dovrebbe fondarsi sul consenso dell’interessato o su altra base legittima prevista per legge dal presente regolamento o dal diritto dell’Unione o degli Stati membri … (Considerando n. 40). Il consenso al trattamento dei dati rappresenta uno dei cardini della normativa. Il trattamento dei dati può avvenire, ordinariamente, se vi è il consenso dell’interessato, espresso nei modi previsti dalla legge e sul presupposto della conoscenza dei propri diritti. Per consenso si intende qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento. Il consenso deve essere inequivocabile, ossia non dovranno esservi dubbi circa il rilascio da parte dell’interessato del consenso al trattamento dei dati. Deve essere libero, ossia deve valutare se acconsentire o meno al trattamento senza nessun condizionamento o vincolo. Deve inoltre essere specifico per quella determinata finalità di trattamento. Il consenso può inoltre dirsi informato quando l’interessato è posto nelle condizioni di conoscere quali dati vengono trattati, con quali modalità, per quali finalità, oltre a quali diritti gli sono riconosciuti dalla legge. Il consenso deve essere espresso in maniera verificabile. Il titolare deve essere infatti in grado di dimostrare che il trattamento è avvenuto con il consenso dell’interessato. L’interessato deve avere la possibilità di revocare il consenso in qualsiasi momento, e ciò può avvenire con le stesse modalità con cui è stato rilasciato.
L’informativa: secondo un generale principio di trasparenza, il titolare deve fornire (in modo conciso, intellegibile, facilmente accessibile e con un lignaggio semplice e chiaro) una serie di dati all’interessato, affinché questi comprenda non solo la portata e le conseguenze del trattamento dei dati che lo riguardano ma anche i diritti che gli spettano proprio in relazione al trattamento per il quale gli viene richiesto in consenso.
Le informazioni da fornire all’interessato vengono individuate in modo tassativo, distinguendo i casi in cui la raccolta dei dati avvenga presso l’interessato o meno.
– In caso di raccolta presso l’interessato occorre indicare: a) l’identità e i riferimenti del titolare del trattamento; b) Identità e i dati di contatto del responsabile (se c’è). c) Le finalità e la base giuridica del trattamento d) Se il trattamento si basa sul legittimo interesse, l’indicazione di quest’ultimo. Si tratta del caso in cui il titolare (che ricordiamo essere il soggetto che in forma sostanziale tratta i dati di altri) tratta dati personali di terzi in forza di un interesse ritenuto legittimo, e che va pertanto esplicitato. e) I destinatari dei dati; f) l’intenzione di trasferire i dati in un Paese terzo. L’informativa dovrà inoltre riportare il periodo di conservazione o i criteri utilizzati per la determinazione del periodo; il diritto di accesso e le possibilità di rettificare o cancellare i dati, di limitare il trattamento che riguarda l’interessato o di opporsi allo stesso, e il diritto alla portabilità; Il diritto di revocare in ogni momento il consenso, non pregiudicando il alcun modo la liceità del trattamento antecedente alla revoca; il diritto di proporre reclamo all’autorità; se la comunicazione dei dati rappresenta un obbligo legale o contrattuale e se sussiste in capo all’interessato un obbligo di comunicazione; l’esistenza di un processo decisionale automatizzato.
COSA E’ NECESSARIO FARE?
L’art. 24 del Regolamento, nel disciplinare la responsabilità del titolare del trattamento prevede espressamente che” “Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nocche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al presente regolamento, Dette misure sono riesaminate e aggiornate qualora necessario.” Il titolare deve mettere in atto non solo una serie di misure tecniche e organizzative che siano in grado di garantire il rispetto del Regolamento stesso in relazione al trattamento dei dati personali che pone in essere, ma gli vene fatto obbligo di dimostrarlo.
Il titolare del trattamento come sotto definito rimane l’unico soggetto responsabile legalmente, e destinatario delle sanzioni, in caso di mancato rispetto delle norme introdotte dal GDPR. La figura del responsabile riguarda un soggetto che tratta dati unicamente per conto del titolare, che dovrà essere da questi nominato.
I Registri delle attività di trattamento: I registri delle attività di trattamento hanno la finalità di documentare le attività svolte e le misure adottate da parte del titolare e del responsaibile, al fine di poter dimostrare all’Autorità di aver adempiuto correttamente il proprio obbligo di protezione di dati. L’art. 30, par. 5 del regolamento, prevede espressamente l’obbligatorietà ai titolari e responsabili di imprese o organizzazioni con più di 250 dipendenti, a meno che l’impresa o l’organizzazione con meno di 250 dipendenti non ponga in essere trattamenti a rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale, o includa il trattamento di categorie particolari di dati (art. 9, par. 1) o i dati personali relativi a condanne penali e a reati i cui all’art. 10. I “cosiddetti” dati particolari (art. 9) appartengono ad una categoria specifica, individuata dall’art. 9 del regolamento e attinenti all’origine raziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. Vige un regime generale di divieto di trattamento di tali dati, salvo ipotesi specifiche, prima fra le quali quella in cui l’interessato esprima il consenso al trattamento. Benché l’obbligo di tenuta dei registri ( c’è ne sono due, uno per il titolare e uno per il responsabile, qualora vi sia) sia piuttosto raro, nulla vieta di redigerlo volontariamente, anche al fine di dimostrare in sede di verifica ciò che è stato fatto per l’osservanza delle norme in tema di GDPR.
Art. 4: Titolare del trattamento: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”; si tratta del soggetto che tratta i dati in piena autonomia.
Art. 4 Consenso: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.
Art. 4: Responsabile del trattamento: “la pesona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”. E’ il soggetto, esterno o interno all’organizzazione che, in modo indipendente e autonomo, tratta i dati per conto del titolare, che rimane l’unico soggetto a poter decidere il come e il perchè del trattamento stesso.
Art. 14 Consenso: Qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile, con il quale l’interessato dimostri
Art 4: Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
Art 4 Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza
l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali,
come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione,
l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
Art. 19 (ex Dati sensibili): Dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona;
Art. 10 (ex Dati Giudiziari): dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza
Art. 12 Informativa all’interessato: 1.Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni [..] relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato.
Art. 13 Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato: 1.In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo
rappresentante;
b) i dati di contatto del responsabile della protezione dei dati (DPO), ove applicabile;
c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi
perseguiti dal titolare del trattamento o da terzi;
e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.
g) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
h) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
i) qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
l) il diritto di proporre reclamo a un’autorità di controllo;
m) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un
requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
n) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui
all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica
utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per
l’interessato.
Studio Trequadrini - Tritto 