GDPR: nuova guida applicativa dal Garante privacy

In occasione del quinto compleanno del Regolamento Europeo per la protezione dei dati personali 679/2016, che è pienamente operativo dal 25 maggio 2018, il Garante della Privacy ha redatto una nuova guida pratica per l’applicazione del GDPR: uno strumento di consultazione utile e concreto per chi opera in qualità di Titolare del trattamento sia nel settore pubblico sia nel privato.
Per l’approfondimento si consiglia il volume: Compendio breve sulla privacy -Guida alla lettura del GDPR con esempi e casi pratici

1. La guida pratica

La Guida è pensata in particolare per le piccole e medie imprese ed offre una panoramica sui principali aspetti che le imprese e i soggetti pubblici devono tenere presenti per garantire il pieno rispetto del Regolamento, fornendo indicazioni in merito ai principi fondanti della materia di protezione dei dati, dalla liceità del trattamento (la scelta delle basi giuridiche) all’informativa, dai diritti degli interessati alle varie figure coinvolte nelle operazioni di trattamento, dall’approccio basato sul rischio, alle misure di accountability per il trasferimento dei dati all’esterno, si tratta di un vademecum completo per non perdersi nel labirinto di una materia complessa e delicata. In particolare, viene prestata attenzione ai contenuti, ai tempi e alle modalità con cui il titolare deve fornire l’informativa all’interessato, valutare le circostanze in cui deve notificare al Garante privacy e agli interessati una violazione dei dati personali, nonché designare il Responsabile della protezione dei dati (DPO).
La Guida ricorda che, con il GDPR, la protezione dei dati non è più solo un obbligo formale, ma diventa parte integrante delle attività di un’organizzazione. Il principio di responsabilizzazione (“accountability“) sottolinea che il titolare dei dati deve adottare comportamenti proattivi e dimostrabili per garantire il rispetto della normativa.
Il Regolamento UE ha introdotto anche nuovi diritti riconosciuti alle persone, come il diritto alla portabilità dei dati personali da un titolare del trattamento a un altro, compresi i social network, e il diritto all’oblio, che permette alle persone di richiedere la cancellazione delle informazioni personali quando non sono più necessarie per le finalità per cui sono state raccolte.
La Guida fornisce inoltre un approfondimento sugli strumenti legali che regolano il trasferimento dei dati personali verso Paesi al di fuori dell’Unione Europea.
È importante sottolineare che la Guida contiene richiami puntuali alle Linee guida europee e fa riferimento anche alla legislazione nazionale. Inoltre, ogni capitolo offre utili raccomandazioni per facilitare l’applicazione pratica delle disposizioni del Regolamento.

2. Legittimità del trattamento: le basi giuridiche

Ogni trattamento di dati personali deve avere una base giuridica adeguata per essere considerato lecito. L’articolo 6 del GDPR elenca i seguenti fondamenti di liceità del trattamento:

1. Consenso dell’interessato: il trattamento dei dati personali è lecito se l’interessato ha espresso il proprio consenso in modo libero, specifico, informato e inequivocabile. Il consenso può essere revocato in qualsiasi momento.
2. Adempimento di obblighi contrattuali: il trattamento dei dati personali può essere necessario per l’esecuzione di un contratto o per l’adempimento di misure precontrattuali richieste dall’interessato.
3. Obblighi di legge cui è soggetto il titolare: se il trattamento dei dati personali è necessario per adempiere a un obbligo legale al quale il titolare del trattamento è soggetto, il trattamento è considerato lecito.
4. Salvaguardia degli interessi vitali: il trattamento dei dati personali può essere necessario per proteggere gli interessi vitali dell’interessato o di un’altra persona fisica.
5. Interesse pubblico o esercizio di pubblici poteri: il trattamento dei dati personali può essere necessario per l’esecuzione di un compito svolto nell’interesse pubblico o nell’esercizio di pubblici poteri conferiti al titolare del trattamento.
6. Interesse legittimo prevalente: il trattamento dei dati personali può essere lecito se è necessario per il perseguimento di un interesse legittimo del titolare del trattamento o di un terzo, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali.

Il titolare del trattamento deve valutare attentamente quale base giuridica sia appropriata per ogni specifico trattamento di dati personali, tenendo conto delle circostanze specifiche e dei diritti delle persone interessate. Inoltre, in alcuni casi, potrebbero essere richieste basi giuridiche aggiuntive per trattamenti particolari, come il trattamento di categorie speciali di dati personali (dati sensibili) o il trasferimento di dati personali verso paesi terzi.
Qualora la scelta ricada sul consenso, esso deve essere libero, specifico, informato, revocabile, la sua richiesta deve essere separata da altre clausole e deve essere effettuata con linguaggio semplice ed alla portata di tutti. Per quanto invece riguarda l’interesse legittimo del Titolare, è obbligatorio effettuare un giudizio di bilanciamento, su cui il Regolamento offre alcuni criteri (considerando 47) e soprattutto appare utile fare riferimento al documento pubblicato dal Gruppo “Articolo 29” sul punto (WP217) e alle indicazioni fornite dalla Corte di giustizia dell’Ue in proposito (sentenze nelle cause C-13/16 e C-708/18).

3. Informativa

Documento di accountability fondamentale, l’informativa, oltre a dover contenere tutti gli elementi di cui all’art. 13 del Regolamento (i dati di contatto del titolare e del suo rappresentante, quelli del Responsabile della protezione dei dati, le finalità e base giuridica del trattamento; eventuali destinatari o categorie di destinatari a cui i dati possono essere destinati e Paesi terzi verso cui avviene il trasferimento, quali strumenti attuano il trattamento, il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo; la possibilità di revocare in qualsiasi momento il consenso al trattamento; l’esistenza del diritto per l’interessato di chiedere l’accesso ai dati personali che lo riguardano, la rettifica, la cancellazione, la limitazione del trattamento o di opporsi allo stesso, nonché il diritto alla portabilità dei dati; il diritto di presentare un reclamo a un’Autorità di controllo) deve essere scritta in maniera semplice e chiara e fornita prima di iniziare ogni trattamento.
È ammessa la possibilità di redigere un’informativa “stratificata” e l’utilizzo di icone associate ai contenuti informativi per semplificare la comunicazione con gli interessati. Questo approccio consente di presentare le informazioni in modo più chiaro e accessibile, consentendo agli interessati di avere una visione sintetica delle principali informazioni attraverso le icone, con la possibilità di accedere a informazioni più dettagliate se necessario. Il Garante per la protezione dei dati personali ha fornito diversi modelli di icone associati a specifici contesti (come videosorveglianza, banche, ecc.) nei suoi provvedimenti. Questi modelli possono essere utilizzati come riferimenti per la creazione delle icone e consentono una maggiore coerenza nella comunicazione delle informazioni.
Inoltre, il Garante ha reso disponibile un data set di icone sul proprio sito web (www.gpdp.it/informativechiare) che può essere utilizzato come risorsa per l’adozione di icone adeguate. Il GDPR sottolinea anche l’importanza dell’uso di strumenti elettronici per garantire la massima diffusione delle informative e semplificare la loro prestazione. Ciò significa che i titolari del trattamento devono utilizzare mezzi elettronici, come siti web o e-mail, per fornire le informazioni in modo efficace ed efficiente.
È importante anche rispettare i tempi previsti per la fornitura delle informative. Sebbene il termine massimo per fornire l’informativa sia di 1 mese, l’articolo 14, paragrafo 3, lettera a del GDPR sottolinea che il termine deve essere “ragionevole”. Pertanto, i titolari del trattamento devono garantire che le informative siano fornite tempestivamente, tenendo conto delle circostanze specifiche e del contesto in cui sono raccolti i dati personali.
Quando i dati personali non sono stati raccolti direttamente dagli interessati, spetta al titolare del trattamento valutare se l’informazione richiesta risulta sproporzionata o richiede uno sforzo eccessivo. Tuttavia, è importante fare riferimento alle Linee guida del Gruppo “Articolo 29” (ora Comitato europeo per la protezione dei dati) e del Comitato europeo per la protezione dei dati (EDPB) in materia di trasparenza, che contengono numerosi esempi e indicazioni operative per aiutare i titolari del trattamento a fornire informative chiare ed efficaci.

Potrebbero interessarti anche:

• GDPR-Il titolare e il responsabile del trattamento dati
• Videosorveglianza urbana, accesso e privacy: una “quadra” nel GDPR?
• Il GDPR protegge tutti i diritti fondamentali: anche quelli dei DPO

4. I diritti degli interessati

Stilare una procedura per consentire l’esercizio dei diritti degli interessati è un elemento fondamentale per dimostrare la propria accountability.  
l Regolamento generale sulla protezione dei dati (GDPR) stabilisce tempi e modalità per la risposta alle richieste di esercizio dei diritti da parte degli interessati. In linea generale, il termine per rispondere a una richiesta di esercizio dei diritti è di 1 mese dalla ricezione della richiesta. Tuttavia, questo termine può essere esteso fino a 3 mesi in casi particolarmente complessi. È importante notare che il titolare del trattamento deve comunque fornire un riscontro preliminare all’interessato entro 1 mese, anche se la risposta completa richiede più tempo. Questo vale anche in caso di diniego della richiesta.
L’esercizio dei diritti da parte dell’interessato è, di norma, gratuito. Tuttavia, possono esserci eccezioni a questa regola. Il titolare del trattamento può valutare l’eventuale addebito di un contributo solo in caso di richieste manifestamente infondate, eccessive o ripetitive. Nel caso del diritto di accesso, ad esempio, possono essere addebitati costi amministrativi se l’interessato richiede più “copie” dei dati personali.
Il riscontro fornito all’interessato deve avvenire principalmente in forma scritta, inclusi gli strumenti elettronici che facilitano l’accessibilità. Solo se richiesto dall’interessato stesso, la risposta può essere fornita oralmente. È importante che il riscontro sia non solo intelligibile, ma anche conciso, trasparente e facilmente accessibile. Inoltre, il linguaggio utilizzato deve essere semplice e chiaro per favorire la comprensione da parte dell’interessato.
Il titolare del trattamento deve adottare misure tecniche e organizzative per agevolare l’esercizio dei diritti da parte dell’interessato. Anche se è il titolare del trattamento a dover fornire il riscontro in caso di richiesta di esercizio dei diritti, il responsabile del trattamento ha il dovere di collaborare con il titolare ai fini dell’esercizio dei diritti degli interessati. Il titolare del trattamento ha il diritto di richiedere informazioni necessarie per identificare correttamente l’interessato, e quest’ultimo ha il dovere di fornirle secondo modalità adeguate.
È possibile che siano previste deroghe ai diritti riconosciuti dal GDPR, ma queste deroghe devono essere basate su disposizioni normative nazionali o in ambiti specifici indicati nel GDPR stesso, come il diritto alla cancellazione o “oblio” (art. 17, par. 3), trattamenti effettuati a scopi giornalistici (art. 85) o trattamenti a fini di ricerca scientifica, storica o statistica (art. 89). Per ulteriori approfondimenti su queste deroghe, si possono consultare anche l’articolo 2-undecies e l’articolo 2-duodecies del Codice Privacy.

5. I soggetti del trattamento

Titolari, Responsabili esterni (che devono essere debitamente nominati ed istruiti dal Titolare), autorizzati dal Titolare (i dipendenti dell’organizzazione del Titolare), ognuno deve avere un proprio ruolo preciso all’interno delle operazioni di trattamento.
I titolari del trattamento dei dati dovrebbero valutare attentamente se si trovano in situazioni di contitolarità, ovvero se condividono la responsabilità del trattamento con altri soggetti. In caso di contitolarità, è obbligatorio stipulare un accordo interno conformemente all’articolo 26 del GDPR. È importante individuare un “punto di contatto per gli interessati” al fine di facilitare l’esercizio dei diritti previsti dal Regolamento. Inoltre, devono verificare che i contratti o altri atti giuridici che regolano attualmente i rapporti con i responsabili del trattamento siano conformi alle disposizioni dell’articolo 28, paragrafo 3. Se necessario, devono essere apportate le modifiche o integrazioni necessarie, in particolare se si intende designare sub-responsabili del trattamento come descritto in precedenza.
Il responsabile del trattamento può dimostrare le “garanzie sufficienti” richieste dall’articolo 28, paragrafi 1 e 4, aderendo a codici di condotta o a schemi di certificazione. Il Garante per la protezione dei dati personali ha approvato alcuni codici di condotta conformi al GDPR presentati da associazioni di categoria. Per quanto riguarda gli schemi di certificazione, l’intervento del Garante ha consentito di definire i requisiti aggiuntivi per l’accreditamento degli organismi di certificazione, mentre l’EDPB ha delineato i contenuti essenziali e i criteri per la valutazione degli schemi di certificazione conformi al GDPR da parte delle autorità di protezione dei dati.

6. Approccio basato sul rischio

Il Regolamento sottolinea l’importanza della “responsabilizzazione” dei titolari e dei responsabili del trattamento dei dati personali (principio di accountability), che è il fondamento di tutto l’approccio del GDPR.  La responsabilizzazione richiede l’adozione di comportamenti proattivi che dimostrino l’effettiva attuazione di misure volte a garantire l’applicazione del Regolamento (articoli 23-25, in particolare, e l’intero Capo IV). Spetta ai titolari del trattamento prendere autonomamente decisioni sulle modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e secondo alcuni specifici criteri indicati nel Regolamento.
Un primo criterio importante è quello dell’”approccio basato sul rischio” (risk-based approach) e delle misure di “accountability”. Questo implica che il trattamento dei dati personali deve essere configurato fin dall’inizio, prevedendo le garanzie necessarie per soddisfare i requisiti del Regolamento e proteggere i diritti degli interessati. È necessario tenere conto del contesto generale in cui avviene il trattamento e dei potenziali rischi per i diritti e le libertà degli interessati.
In altre parole, i titolari del trattamento devono adottare un approccio proattivo nel considerare e affrontare i rischi associati al trattamento dei dati personali, integrando misure di protezione sin dall’inizio del processo di progettazione del trattamento (data protection by design) e garantendo che tali misure siano attuate in modo predefinito (data protection by default). Ciò significa che le garanzie di protezione dei dati devono essere incorporate sin dalle fasi iniziali dei progetti e dei sistemi, e non possono essere aggiunte successivamente come un’opzione aggiuntiva.
In sostanza, il principio della responsabilizzazione richiede che i titolari del trattamento dimostrino di aver adottato misure adeguate per garantire la conformità al Regolamento e la protezione dei dati personali degli interessati, tenendo conto del contesto e dei rischi specifici associati al trattamento dei dati.
Secondo l’articolo 25 del Regolamento, l’analisi preventiva e l’impegno dei titolari del trattamento devono avvenire prima di avviare effettivamente il trattamento dei dati personali, sia nel momento di determinare i mezzi del trattamento che durante il trattamento stesso. Questo richiede un’attività specifica e dimostrabile da parte dei titolari.
Il Comitato europeo per la protezione dei dati (EDPB) ha fornito linee guida operative sull’articolo 25 del Regolamento, intitolate “Protezione dei dati fin dalla progettazione e per impostazione predefinita” (Linee guida 4/2019), adottate il 20 ottobre 2020. Queste linee guida forniscono indicazioni pratiche per i titolari e i responsabili del trattamento.
Uno dei criteri fondamentali per la gestione degli obblighi dei titolari è il rischio associato al trattamento dei dati. Il rischio deve essere inteso come il potenziale impatto negativo sulle libertà e i diritti degli interessati (considerando 75-77). È necessario analizzare questi impatti attraverso una valutazione di impatto sulla protezione dei dati (DPIA), come previsto negli articoli 35 e 36 del Regolamento. Durante questa valutazione, si devono considerare i rischi noti o evidenziabili e le misure tecniche e organizzative, inclusa la sicurezza, che il titolare del trattamento ritiene necessario adottare per mitigare tali rischi. A tal proposito, le Linee guida del Gruppo “Articolo 29” forniscono ulteriori indicazioni sulla valutazione di impatto sulla protezione dei dati.
Dopo aver condotto la valutazione di impatto, il titolare del trattamento può autonomamente decidere se avviare il trattamento, avendo adottato misure adeguate per mitigare il rischio in modo sufficiente, oppure può consultare l’Autorità di protezione dei dati per ottenere indicazioni su come gestire il rischio residuale. L’Autorità non ha il compito di “autorizzare” il trattamento, ma può indicare eventuali ulteriori misure che il titolare deve implementare per affrontare il rischio residuo. Se necessario, l’Autorità può adottare misure correttive previste dal Regolamento, che vanno dall’ammonimento al titolare fino alla limitazione o al divieto di trattamento (articolo 58).
In sintesi, la responsabilità dei titolari del trattamento include l’adozione di misure preventive, come la valutazione di impatto sulla protezione dei dati, per identificare e mitigare i rischi associati al trattamento dei dati personali, dimostrando così l’assunzione di un approccio proattivo e responsabile alla protezione dei dati.

7. Trasferimento dati verso paesi extra UE

L’ultimo punto della guida tratta il delicato tema del trasferimento dei dati all’estero, che è vietato, a meno che non siano presenti specifiche garanzie per la protezione dei dati. Queste garanzie sono elencate in ordine gerarchico:

• Adeguata protezione riconosciuta tramite decisione della Commissione europea: La Commissione europea può adottare una decisione di adeguatezza riguardo a un Paese terzo, stabilendo che offre un livello di protezione dei dati adeguato, simile a quello dell’UE. Se un Paese terzo è considerato adeguato, i trasferimenti di dati personali verso quel Paese possono avvenire senza ulteriori misure di sicurezza.
• Garanzie adeguate fornite dai titolari o responsabili del trattamento: In assenza di una decisione di adeguatezza, i titolari o responsabili del trattamento possono fornire garanzie adeguate tramite clausole contrattuali standard, approvate dalla Commissione europea, o utilizzando norme vincolanti d’impresa (Binding Corporate Rules, BCRs). Le clausole contrattuali standard sono clausole predefinite che stabiliscono obblighi di protezione dei dati per le parti coinvolte nel trasferimento.
• Deroghe al divieto di trasferimento: In assenza di decisioni di adeguatezza o altre garanzie adeguate, possono essere utilizzate deroghe al divieto di trasferimento in situazioni specifiche. Queste deroghe sono descritte nell’articolo 49 del GDPR e includono il consenso esplicito dell’interessato al trasferimento, l’esecuzione di un contratto tra l’interessato e il titolare del trattamento, motivi di interesse pubblico o l’esercizio di azioni legali.

È importante sottolineare che il trasferimento di dati personali verso Paesi terzi deve essere valutato attentamente e che le misure di protezione dei dati devono essere adeguate a garantire un livello di protezione equivalente a quello offerto all’interno dell’UE. I titolari del trattamento sono responsabili di assicurare che i trasferimenti di dati personali siano conformi alle disposizioni del GDPR.

Volume consigliato

Questo manuale, grazie al suo taglio editoriale, intende rivolgersi non soltanto a professionisti e cultori della disciplina, ma anche a coloro che, nelle Pubbliche Amministrazioni e nelle imprese, si trovano a dover affrontare la materia e, altresì, a coloro che devono sostenere prove concorsuali.