Analizziamo le disposizioni previste dal nuovo Regolamento UE 2016/679.
Oggetto e finalità
In base all’articolo 1 del Regolamento, ad essere protetti sono solo i diritti e le libertà fondamentali delle persone fisiche, restano pertanto escluse le persone giuridiche.
Il Regolamento trova applicazione esclusivamente nell’ambito delle attività commerciali e professionali; pertanto quando il trattamento dei dati è effettuato da una persona fisica in ambito personale o domestico, oppure quando il trattamento dei dati è effettuato dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali non trova applicazione.
Dato personale
L’articolo 4 definisce “dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Principi applicabili al trattamento di dati personali
In base all’articolo 5 del Regolamento 2016/679 i dati personali devono essere:
- trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
- raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;
- adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
- esatti e, se necessario, aggiornati; devono quindi essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
- conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
- trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
Trattamento lecito
Il trattamento è lecito (articolo 6 Regolamento 679/2016) e rispetta quindi le condizioni di cui al precedente punto sub a) – solo se l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità oppure:
- il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
- il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
- il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
- il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
- il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi. A differenza del passato il bilanciamento fra legittimo interesse del titolare o del terzo e diritti e libertà dell’interessato non spetta all’Autorità ma è compito dello stesso titolare. Trova così espressione il nuovo principio di “responsabilizzazione”.
Trattamento di dati sensibili
Nel caso in cui il trattamento riguardi dati sensibili, l’articolo 9 del Regolamento richiede che l’interessato presti il suo consenso “esplicito”. Il consenso non deve essere fornito per iscritto, ma si ritiene che la forma scritta sia l’unica a garantirne l’inequivocabilità.
Intermediari Fiscali
Per quanto riguarda gli intermediari fiscali, i dati sensibili con i quali questi ultimi più frequentemente si confrontano sono: le scelte per la destinazione dell’8 del 5 e del 2 per mille.
Per quanto riguarda i dati sensibili “il consenso per il trattamento da parte degli intermediari viene acquisito attraverso la sottoscrizione della dichiarazione e con la firma apposta per la scelta dell’otto per mille dell’Irpef, del cinque per mille e del due per mille dell’Irpef”.
Avuto riguardo, invece, alle altre fattispecie, giova precisare che il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche appena richiamate; “In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento, se si vuole continuare a fare ricorso a tale base giuridica.
In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (art. 7.2), per esempio all’interno di modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara (art. 7.2)” (Garante Privacy, Guida all’applicazione del Regolamento Europeo in materia di protezione dei dati personali, febbraio 2018).
I rischi da valutare subito
Sono tenuti a redigere la «valutazione di impatto privacy» (la sigla inglese è Dpia: data privacy impact assessment) i datori di lavoro che:
• sono in possesso di dati sensibili di lavoratori (ad esempio dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o l’appartenenza sindacale, dati relativi alla salute o alla vita sessuale) «su larga scala»;
• conservano dati personali di soggetti vulnerabili (minori, soggetti in condizioni di minorata capacità fisica o psichica e così via).
Valutazione di impatto privacy
La valutazione di impatto privacy, prevista dall’articolo 35 del Regolamento Ue/2016/679, è una procedura che mira a descrivere il trattamento dei dati per valutarne la necessità, la proporzionalità e i relativi rischi, per adottare misure idonee a gestirli.
La Dpia deve essere condotta prima di procedere al trattamento e non può essere un documento “statico”, ma “dinamico”, in continua evoluzione e riesame. Questo comporta la necessità di una rivisitazione della valutazione a intervalli regolari e continuativi.
La Dpia può essere effettuata sia dal titolare dei dati sia da soggetti interni o esterni all’organizzazione. La responsabilità resta comunque al titolare del trattamento. Nello svolgere l’attività di valutazione, il titolare si consulta con il responsabile della protezione dei dati, qualora sia stato nominato (il cosiddetto Dpo, data protection officer) e con i responsabili del trattamento.
La valutazione di impatto privacy è sempre obbligatoria?
La Dpia è obbligatoria ogni qualvolta il trattamento dei dati comporta rischi elevati per i diritti e le libertà dei soggetti.
Non c’è l’obbligo se i trattamenti dei dati personali:
• non presentano rischi rilevanti per i diritti e le libertà delle persone;
• sono già stati sottoposti a verifica da parte delle autorità di controllo;
• sono compresi nell’elenco facoltativo o fanno riferimento a norme o regolamenti per la cui definizione è stata condotta una Dpia.
Come deve essere redatta la Dpia?
Il documento in questione dovrà contenere:
• la descrizione dei trattamenti previsti e delle relative finalità;
• la valutazione della necessità e proporzionalità del trattamento;
• la valutazione dei rischi per i diritti e le libertà delle persone fisiche e le misure previste per la gestione di questi rischi. L’azienda dovrà inoltre dimostrare la conformità dei trattamenti rispetto al Gdpr.
Punti cardine nella valutazione di impatto
CHE COSA È LA «DPIA» | Procedura per prevenire rischi La valutazione d’impatto sulla protezione dei dati personali (in inglese data protection impact assesment, Dpia) è una procedura attraverso la quale l’azienda può valutare i rischi cui sono sottoposti i trattamenti dei dati, per poter mettere a punto tutte le misure necessarie ad attenuare questi rischi. |
A CHE COSA SERVE | Conformità alle regole Ue Lo scopo della Dpia è valutare se il trattamento dei dati da parte del titolare è conforme al nuovo Regolamento europeo sulla Privacy, in vigore dal 25 maggio. Vista l’utilità della procedura, il gruppo di lavoro europeo dei Garanti della privacy suggerisce di valutarne l’adozione per tutti i trattamenti dei dati (non solo nei casi in cui il Regolamento ne prevede l’obbligatorietà). |
QUANDO FARLA | Pesa la variazione del rischio La valutazione deve essere eseguita prima di ogni trattamento di dati. Per i trattamenti che siano già in corso, la procedura è necessaria solo se variano i rischi cui sono sottoposti i dati, tenendo conto della natura, dell’ambito di applicazione, del contesto e della finalità del trattamento. |
CHI DEVE FARLA | Responsabilità al titolare La valutazione di impatto privacy ricade sotto la responsabilità del titolare del trattamento dei dati personali, che può farsi aiutare anche da consulenti esterni all’azienda o da organismi esperti di informatica all’interno dell’impresa stessa (ad esempio il responsabile It dell’azienda). La responsabilità della procedura comunque è del titolare. |
OBBLIGATORIETÀ | Trattamenti da valutare La Dpia è obbligatoria quando il trattamento può comportare un rischio elevato per i diritti delle persone coinvolte. I garanti della Privacy hanno individuato una serie di situazioni chiave (trattamento di dati su larga scala, monitoraggio continuo, trattamento di dati sensibili o giudiziari o di natura strettamente personale) in presenza di almeno due delle quali la Dpia è da fare. |
CONSEGUENZE | Sanzione fino a 10 milioni La mancata esecuzione della valutazione di impatto privacy nei casi di obbligatorietà o l’errata valutazione possono comportare l’applicazione di una sanzione pari nel massimo a 10 milioni di euro oppure, nel caso dell’impresa, fino al 2% del fatturato globale dell’anno precedente, in base a quale dei due importi sia quello superiore (articolo 83 paragrafo 4 lettera a del Regolamento 679/2016) |
Schema sintetico degli obblighi/adempimenti/cautele di spettanza del titolare del trattamento
Di seguito uno schema sintetico degli obblighi/adempimenti/cautele di spettanza del titolare del trattamento in base alle norme del GDPR – Regolamento UE 2016/679 (relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali).
REGOLAMENTO UE 2016/679: GLI OBBLIGHI/ADEMPIMENTI/CAUTELE DEL TITOLARE |
Adempimento |
Capo, articolo |
I principi applicabili al trattamento dei dati personali I dati debbono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. Le finalità devono essere determinate, esplicite e legittime; i dati: adeguati, pertinenti, esatti ed aggiornati, oltre che limitati a quanto necessario rispetto alle finalità, e comunque da trattare in modo da garantirne un’adeguata sicurezza. |
II – 5 |
Acquisizione del consenso da parte dell’interessato e casistica di esonero dal relativo obbligo Ciascun titolare deve distinguere i casi in cui per eseguire un trattamento è richiesto il (previo) consenso dell’interessato, da quelli in cui non è necessario acquisirlo. La richiesta del consenso deve essere presentata in modo distinto da altre richieste, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Quando per un trattamento è necessario il consenso, il titolare deve essere in grado di dimostrare che il consenso è stato effettivamente prestato. |
II – 6, 7 |
Il consenso dei minori a fronte di servizi ICT Nei casi in cui è richiesto il consenso, il trattamento di dati relativo all’offerta diretta di servizi della società dell’informazione ai minori è lecito se il minore che ha prestato il consenso ha compiuto 16 anni. In caso di minori di 16 anni, deve essere acquisito il consenso di colui/coloro che ha/hanno la responsabilità genitoriale del minore e il titolare deve adoperarsi in ogni modo ragionevole, in considerazione delle tecnologie disponibili, per verificare la detta circostanza. |
II – 8 |
Trattamento di particolari categorie di dati E’ formalizzato il divieto generale del trattamento dei dati corrispondenti a quelli attualmente definiti ‘sensibili’, oltre che dei dati genetici e biometrici. Dopodiché sono disposte specifiche eccezioni al divieto, come quelle relative alle ipotesi in cui: l’interessato ha prestato il consenso; i dati sono trattati per eseguire un contratto di lavoro e per le connesse esigenze di sicurezza/protezione sociale; i dati sono trattati a fini di tutela di un interesse vitale dell’interessato; i dati personali sono stati resi pubblici dall’interessato, ecc. |
II – 9 |
Trattamento di dati relativi a condanne penali e reati Il trattamento dei dati personali sostanzialmente corrispondenti a quelli oggi definiti ‘giudiziari’ deve avvenire, alternativamente, sotto il controllo della autorità pubblica ovvero previa autorizzazione proveniente da norme dell’Unione e del singolo Stato membro che prevedano garanzie appropriate per i diritti e le libertà degli interessati. |
II – 10 |
Trasparenza nella gestione dei trattamenti Il titolare è tenuto ad adottare misure appropriate per fornire all’interessato tutte le informazioni/comunicazioni relative ai trattamenti gestiti dalla propria organizzazione, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. Il titolare è tenuto ad agevolare l’esercizio dei diritti da parte dell’interessato e, in particolare, a fornire un riscontro alla richiesta del medesimo senza ingiustificato ritardo e comunque entro un mese dal ricevimento della medesima (prorogabile di due mesi ove necessario, tenuto conto della complessità e del numero delle richieste). |
III – 12 |
Informativa all’interessato Adempimento basilare per qualsiasi titolare, si giova necessariamente di una buona capacità di analisi (in particolare) dei flussi dei trattamenti. L’informativa richiesta dal Regolamento UE è più ricca di informazioni di quella attuale e la sua redazione è operazione niente affatto banale: per esempio, il titolare deve esplicitarvi il periodo di conservazione dei dati personali, ovvero i criteri utilizzati per determinare tale periodo. Non in ultimo, il linguaggio dell’informativa deve essere semplice e chiaro. Si distinguono le due fattispecie in cui la comunicazione delle informazioni è da correlare alla raccolta dei dati presso l’interessato ovvero presso un soggetto diverso. |
III – 13, 14 |
Il rispetto dei diritti dell’interessato Il Regolamento formalizza un ampio catalogo di diritti che spettano all’interessato. Si tratta del diritto di accesso, del diritto di rettifica, del diritto alla cancellazione (più noto come diritto all’oblio), diritto di limitazione del trattamento, diritto alla portabilità dei dati, diritto di opposizione al trattamento, con gli eventuali connessi obblighi di notifica/comunicazione gravanti sul titolare. |
III – 15, 16, 17, 18, 20, 21 |
Il particolare caso dei processi decisionali automatizzati E’ riconosciuto il diritto dell’interessato a non essere sottoposto ad una decisione basata unicamente su un trattamento automatizzato dei dati che produca effetti giuridici che lo riguardano o che comunque incida significativamente sulla sua persona (tra le operazioni contemplate dalla norma campeggia la profilazione come definita dall’art. 4.1, n. 4). Ilcorrelativo divieto non si applica ove la decisione si basi sul consenso esplicito dell’interessato, sia necessaria per l’esecuzione di un contratto con l’interessato, ovvero sia autorizzata dal diritto dell’Unione o del singolo Stato membro. |
III – 22 |
Misure di sicurezza adeguate Il titolare del trattamento deve adottare misure tecniche e organizzative adeguate al fine di garantire, ed essere in grado di dimostrare, la conformità del trattamento al Regolamento, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. Le dette misure debbono essere periodicamente riesaminate e aggiornate. |
IV – 24, 32 |
Privacy by design (fin dalla progettazione) Tenendo conto delle specifiche caratteristiche del trattamento e dei connessi profili di rischio per i diritti e le libertà delle persone fisiche, all’atto del trattamento ovvero di determinare i mezzi del medesimo il titolare adotta misure tecniche e organizzative adeguate, in modo da attuare efficacemente i principi di protezione dei dati e da garantire nel trattamento i requisiti del Regolamento e la tutela dei diritti degli interessati. |
IV – 25.1 |
Privacy by default (per impostazione predefinita) Il titolare del trattamento attua misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ciascuna finalità del trattamento. Obbligo che vale per la quantità dei dati raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità ai dati stessi. |
IV – 25.2 |
Contitolarità del trattamento Nel caso in cui due o più titolari operano come contitolari del trattamento (determinando congiuntamente finalità e mezzi del medesimo), concordano in modo trasparente, mediante un contratto, la ripartizione delle responsabilità del trattamento, con particolare riguardo all’esercizio dei diritti degli interessati e ai connessi obblighi informativi. Il contenuto essenziale dell’accordo deve essere messo a disposizione degli interessati. |
IV – 26 |
Nomina del Rappresentante del titolare Laddove si applichi l’art. 3.2 (trattamento di dati personali relativi ad interessati che si trovano nell’Unione da parte di titolare/responsabile non stabilito nell’UE), il titolare/responsabile designa per iscritto un proprio rappresentante nell’Unione. Il rappresentante è l’indefettibile interlocutore della competente autorità di controllo e degli interessati, per tutte le questioni riguardanti il trattamento. |
IV – 27 |
Nomina del Responsabile del trattamento Il titolare può nominare un responsabile che effettui il trattamento per suo conto. Il titolare ha la responsabilità di scegliere per tale incarico un soggetto/organismo che presenti garanzie sufficienti per mettere in atto le prescritte misure tecniche e organizzative adeguate. Il Regolamento stabilisce un numero cospicuo di requisiti minimi di contenuto del contratto tra titolare e responsabile del trattamento. |
IV – 28 |
Obbligo di istruzione da parte del Titolare Il titolare del trattamento deve previamente istruire tutti coloro che siano autorizzati ad accedere ai dati personali, compreso il responsabile del trattamento. |
IV – 29 |
Adozione del Registro delle attività di trattamento E’ adempimento obbligatorio per il titolare del trattamento con almeno 250 dipendenti o che, anche al di sotto di tale soglia dimensionale, effettui un trattamento che possa presentare un rischio per i diritti e le libertà degli interessati che non sia occasionale o che includa dati sensibili, genetici, biometrici, giudiziari. Cuore del documento è una mappa dettagliata di tutti i trattamenti effettuati dall’organizzazione del titolare. |
IV – 30 |
Obbligo di cooperazione con l’autorità di controllo Il titolare è tenuto a cooperare con l’autorità di controllo, quando quella gliene faccia richiesta. |
IV – 31 |
Notificazione di una violazione dei dati Rientra tra gli obblighi del titolare anche la notifica all’autorità di controllo (Garante) senza ingiustificato ritardo – e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza -, di ogni violazione della sicurezza dei dati personali che presenti un rischio per i diritti e le libertà delle persone fisiche. |
IV – 33 |
Comunicazione di una violazione dei dati all’interessato Quando la violazione della sicurezza dei dati presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare deve darne notizia all’interessato senza ingiustificato ritardo. La norma fissa i requisiti di contenuto della comunicazione, che deve essere redatta con un linguaggio semplice e chiaro. Altresì la norma individua i casi in cui la detta comunicazione non è richiesta (per semplicità, quando il titolare ha adottato misure tali da scongiurare il rischio o quando la comunicazione richiederebbe sforzi sproporzionati. |
IV – 34 |
Redazione della Valutazione d’impatto sulla protezione dati e consultazione dell’autorità di controllo Si tratta di un ulteriore adempimento che grava sul titolare che debba iniziare un trattamento molto rischioso per i diritti e le libertà delle persone fisiche. Ciò si può verificare, in particolare, quando sia implicato l’uso di nuove tecnologie, ovvero in considerazione di altre caratteristiche (natura, oggetto, contesto, finalità) del trattamento. Quando la valutazione di impatto indichi che il trattamento presenta un rischio elevato, prima di procedere al trattamento il titolare è tenuto a consultare l’autorità di controllo. |
IV – 35, 36 |
Nomina di un Responsabile della Protezione dei Dati (Data Protection Officer – DPO) La nomina del DPO è adempimento obbligatorio quando il titolare del trattamento: a) è autorità/organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali); b) effettua trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; c) effettua come attività principali trattamenti su larga scala di dati sensibili, genetici, biometrici, giudiziari. Il DPO ha compiti di informazione, formazione, consulenza e sorveglianza dell’adempimento della disciplina ‘privacy’. E’ anche l’interlocutore dell’autorità di controllo. |
IV, 37-39 |
Adesione a codici di condotta/sistemi di certificazione Si tratta di adempimenti volontari del titolare mediante i quali può implementare importanti misure di sicurezza dei trattamenti e dimostrare la conformità delle attività di trattamento ai requisiti stabiliti dal Regolamento. |
IV – 40-42 |
Cautele per il trasferimento dei dati in Paesi terzi Il trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale deve essere effettuato nel rispetto di specifiche condizioni affinché non sia pregiudicato il livello di protezione delle persone fisiche garantito dal Regolamento. |
V – 44, 45, 46, |
Obbligo di risarcimento del danno Il titolare è tenuto a risarcire il danno materiale o immateriale cagionato da una violazione del Regolamento. Egli è esonerato da tale responsabilità soltanto se dimostra che l’evento dannoso non gli è in alcun modo imputabile. |
VIII – 82 |
Fonte: Ecnews.it, Altalex.it e Ilsole24ore.