Regolamento generale sulla protezione dei dati (GDPR), in vigore dal 25 maggio

Scarica PDF Stampa
di Federico Lione e Giorgia Andriani, presso Studio legale Lione Sarli

A partire dal prossimo 25 maggio entrerà in vigore il Regolamento UE 2016/679, noto come GDPR – acronimo di General Data Protection Regulation – che sostituirà il nostro Codice in materia di protezione dei dati personali (D. Lgs.196/2003). Questo regolamento è di grande interesse poiché riguarda una materia, la c.d. privacy, della quale tutti parliamo spesso ma di cui non sempre conosciamo il contenuto. Nella società odierna le informazioni inerenti ad ogni aspetto della nostra vita, anche il più intimo, vengono letteralmente “disperse” nelle varie banche dati e nel web, gestite da soggetti terzi (spesso a noi ignoti) “sfuggendo” alla nostra sfera di controllo. È bene dunque conoscere i nuovi strumenti predisposti dal diritto europeo sulla gestione e la sicurezza dei dati.

Soffermiamoci sugli aspetti più significativi della normativa in esame.

Dati  personali

È opportuno prendere le mosse dall’elemento centrale del regolamento, cioè dal concetto di dato personale. Ai sensi dell’art. 4 par. 1 si definisce dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile ( interessato) ;il regolamento precisa ancora che  si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

È bene precisare che tale elencazione è meramente esemplificativa e non esaustiva. Peraltro, particolarmente attenzionato è il dato ricavato attraverso l’identificazione tecnologica tra cui l’ubicazione attraverso I.P.

A ciò si aggiunga la particolare cura in relazione a dati genetici, biometrici e relativi allo stato di salute. Tali dati unitamente a quelli giudiziari rientrano pienamente tra i dati personali particolari.

Trattamento del dato

Il regolamento così definisce il concetto di trattamento qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

Fondamentale è il concetto di profilazione che viene definito come qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;

Alla luce della suddetta definizione, una catena di negozi che acquisisce informazioni o pone in essere delle azioni al fine di meglio comprendere interessi, preferenze, luoghi frequentati o possibilità di spesa di un soggetto sta ponendo in essere un’attività di profilazione.

Consenso

Un aspetto cruciale nel trattamento dei dati personali è quello relativo al consenso a tale trattamento. Come già previsto dal nostro codice privacy, è necessario acquisire il consenso della persona al trattamento dei suoi dati. Qualora si disponga di dati per cui precedentemente non è stato dato o richiesto il consenso sarà opportuno contattare l’interessato e chiedere il consenso espressamente. All’art. 7, par. 2, il regolamento precisa poi che se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.

Principio di responsabilizzazione

Si tratta di una delle più importanti novità del GDPR. In base a tale principio, il titolare del trattamento[1], ovvero il soggetto che acquisisce i dati degli utenti, mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento (art. 24, par. 1). È anche il soggetto competente a garantire e comprovare il rispetto dei principi inerenti al trattamento dei dati personali, sanciti al par. 1 dell’art. 5 (ad es. liceità, correttezza e trasparenza, imitazione della finalità, minimizzazione dei dati ecc.).

Sostanzialmente sono tre i profili salienti del  principio di responsabilizzazione:

  • La necessità di adottare politiche e attuare misure adeguate per attuare i principi di protezione dei dati;
  • La necessità di dimostrare, su richiesta, che sono state adottate misure appropriate ed efficaci
  • La trasparenza, intesa come garanzia della completa accessibilità alle informazioni, in primo luogo per gli utenti del servizio.

È altresì consigliabile che non soltanto il soggetto per cui è obbligatorio (ex art 30 del Regolamento) ma anche i soggetti che raccolgano, anche occasionalmente dati personali, tengano dei registri in cui annottare ogni passaggio in relazione ai dati ricevuti e archiviati.

Inoltre, dovranno essere rispettati dei codici di condotta (artt. 40 e ss.), informare i consumatori in caso di violazione e, in ipotesi, richiedere l’ausilio di un Data Protecion Officier, D.P.O., di cui si dirà infra.

Il regolamento tende a non imporre misure specifiche, essendo il Titolare del trattamento il soggetto che, in considerazione dello stato dell’arte tecnologico e dei costi di attuazione, valuterà quali misure adottare; tuttavia tale soggetto sarà anche gravato dalle sanzioni in ipotesi di misure insufficienti.

E’ sicuramente auspicabile un sistema di pseudonimizzazione dei datti, di minimizzazione del trattamento, sistemi di cifratura e in grado di garantire la riservatezza e l’integrità del dato.

A livello organizzativo è invece opportuno statuire una distribuzione delle responsabilità tra i dipendenti del titolare e, ovviamente, un codice comportamentale supportato da adeguata formazione.

Volume consigliato

La tutela della privacy in ambito sanitario

L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro gravanti, volti alla cura e alla protezione dei dati personali dei loro assistiti. In particolare, l’Autore, dopo aver illustrato le caratteristiche principali dei dati sanitari, necessarie per poter individuare quali informazioni rientrano in detta categoria, si dedica all’esame di tutte le disposizioni che incidono sul loro trattamento: dal codice privacy fino al GDPR, passando per le linee guida adottate dal Garante nel corso degli anni in tema di dossier sanitario, siti web dedicati alla salute, referti on-line, indagini di customer satisfaction nonché per la normativa in tema di fascicolo sanitario elettronico. Il trattamento dei dati in ambito sanitario, in considerazione della delicatezza delle informazioni che riguardano lo stato di salute degli interessati, è sempre stato estremamente pericoloso. L’opera si rende ancor più utile oggi, in un mondo in cui anche nell’ambito sanitario i dati personali assumono un’importanza fondamentale e vengono trattati attraverso diversi strumenti tecnologici ed elettronici, rientrando la protezione di tali dati tra i principali adempimenti che i professionisti e le strutture sanitarie debbono curare per poter fornire le proprie prestazioni senza preoccupazioni di incorrere in responsabilità.Pier Paolo Muià Si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di responsabilità medica, diritto di internet, privacy e IP. È autore di numerose pubblicazioni sulle principali riviste giuridiche nazionali e collabora stabilmente con il portale giuridico Diritto.it. È stato relatore in diversi convegni, anche per ordini professionali medici.

Pier Paolo Muià | 2018

20.00 €  19.00 €

Il Responsabile del trattamento

Il regolamento affianca al titolare del trattamento, il responsabile del trattamento, ovvero  la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento (data processor)  e prevede inoltre che tra ogni data controller (l’azienda o ente pubblico titolare del trattamento) che intende esternalizzare un trattamento di dati personali, e il data processor (il fornitore di servizi esternalizzati, sia esso un outsourcer tradizionale o un cloud service provider) vengano stipulati accordi puntuali e specifici in merito al trattamento dei dati.

L’art. 28, par. 3, del GDPR dispone che l’accordo vincolante per il responsabile del trattamento debba prevedere in particolare:

  • l’obbligo di trattare i dati solo in conformità alle istruzioni – che dovranno essere adeguatamente documentate – ricevute dal titolare, anche in ipotesi di trasferimento dei dati al di fuori dell’Unione Europea.
  • l’obbligo di garantire che le persone fisiche autorizzate alle attività di trattamento siano vincolate da obblighi di riservatezza, contrattualmente assunti o stabiliti per legge.
  • l’obbligo di adottare le misure richieste ai sensi dell’art. 32 del Regolamento, vale a dire le misure tecniche e organizzative a protezione dei dati ritenuti idonee a garantire un livello di sicurezza adeguato al rischio insito nel trattamento.

In ipotesi di ricorso al subappalto sarà necessaria la previa autorizzazione scritta da parte del titolare.

Inoltre il responsabile dovrà imporre al subresponsabile gli stessi obblighi di cui all’art. 28, par.3, del GDPR contenuti nell’accordo tra il primo e il titolare del trattamento, in particolare sotto il profilo delle misure di sicurezza adeguate al trattamento.

Il responsabile avrà inoltre l’obbligo di assistere il titolare, mediante misure tecniche e organizzative adeguate, e nella misura in cui ciò sia possibile, nel dar seguito alle eventuali richieste degli interessati (accesso, rettifica, cancellazione, portabilità, opposizione).

Tenendo conto della natura del trattamento e delle informazioni a sua disposizione, l’obbligo di assistere il titolare consiste:

– nell’assicurare protezione ai dati attraverso misure tecniche e organizzative adeguate, ai sensi dell’art. 32 del Regolamento.

– nel notificare all’Autorità eventuali data breaches (violazioni dei dati) occorsi, ai sensi dell’art. 33 del Regolamento;

– nel comunicare agli interessati gli eventuali data breaches occorsi, nei casi previsti dall’art. 34 del Regolamento;

– nell’effettuare la valutazione di impatto (impact assessment) richiesta dall’art. 35 del Regolamento;

– nel consultare l’Autorità, qualora la valutazione di impatto effettuata indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio.

Inoltre, in capo al responsabile del trattamento vi sono i seguenti obblighi:

  • l’obbligo di cancellazione o restituzione dei dati, su scelta del titolare, al momento della cessazione del rapporto, salvo che la legge non imponga specifici obblighi di conservazione.
  • l’obbligo di mettere a disposizione del titolare tutte le informazioni necessarie a dimostrare il rispetto degli obblighi di cui al presente elenco.
  • l’obbligo di consentire al titolare di effettuare attività di audit, direttamente o per il tramite di terze parti all’uopo incaricate.

La figura del data protection officer (D.P.O.)

Oltre al titolare del trattamento e al responsabile del trattamento, il GDPR introduce anche la figura del data protection officer o D.P.O. (art. 37 e ss.), cioè il Responsabile della Protezione, una figura parzialmente nuova e, allo stato, molto nebulosa. La normativa GDPR prevede l’obbligatorietà della nomina del D.P.O. per:

  • tutte le Pubbliche Amministrazioni, ivi ricomprese le aziende private che effettuano funzioni pubblicistiche o esercitano pubblici poteri;
  • per le aziende che effettuano attività di monitoraggio regolare e sistematico di dati su larga scala (geolocalizzazione per finalità statistiche, analisi sui consumi e sulle preferenze, analisi dei dati per pubblicità mirata)
  • per chi tratta dati concernenti reati e condanne penali.

È opportuno precisare che l’elenco non ha pretese di esaustività e quindi dovrà essere la singola impresa a valutare l’opportunità, in base al proprio tipo di attività, della nomina del D.P.O. Tuttavia, la designazione di un D.P.O. può indubbiamente costituire una misura importante per dimostrare l’adeguamento e la compliance del titolare del trattamento in relazione a quanto previsto dal GDPR.

A differenza del titolare e del responsabile del trattamento, il Responsabile della Protezione non può essere una persona giuridica dovendo, necessariamente, trattarsi di persona fisica, inoltre dovrà possedere i seguenti requisiti;

  1. possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali;
  2. adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse;
  3. operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio.

L’impresa dovrà dotarlo di strutture, mezzi tecnici ed economici e team proporzionali al suo incarico.

I compiti del D.P.O. sono previsti agli articoli 37 e 39 del GDPR e tra i più rilevanti vi è il dovere di fornire informazioni e consigli nei confronti dei Titolare del Trattamento e dei suoi dipendenti in merito alla normativa dell’Unione e dei singoli Stati in materia, verificare l’attuazione delle suddette normative, fungere da punto di contatto sia nei confronti dell’Autorità Garante della Privacy sia nei confronti degli utenti, comunicare il proprio parere in relazione alla V.I.P (valutazione di impatto sulla protezione dei dati). Inoltre, pur non rientrando nei compiti normativamente previsti, potrà essergli affidato il registro delle attività di trattamento.

Il D.P.O. potrà essere anche un dipendente dell’azienda ma ciò potrebbe creare dei problemi in relazione al conflitto di interessi. Infatti, il Titolare del trattamento dovrà dimostrare l’indipendenza della figura scelta, quindi è assolutamente consigliabile scegliere una figura terza regolamentando il rapporto come contratto di servizi

Considerazioni conclusive

Il titolare del trattamento dovrà selezionare con cura il proprio responsabile che dovrà, a sua volta, avere delle idonee competenze e garanzie anche sotto il profilo del personale dipendente.

Ciò premesso è altrettanto opportuno che il titolare del trattamento formi il proprio personale, possibilmente con l’ausilio di professionisti tra cui anche l’eventuale responsabile del trattamento e – laddove possibile – tenga un registro del trattamento e rediga dei codici di condotta.

Inoltre, ribadita la necessità sia della formazione del personale sia di un’analisi mirata per accertare le misure opportune in proporzione all’azienda (analisi diversa dalla V.I.P) si consiglia l’adozione di codici di condotta.

Appare altresì essenziale richiedere all’utente il consenso espresso al trattamento del dato in apposita schermata del sito web, possibilmente inserendo un autonomo bottone, senza confonderla, o inserirla, con altre differenti voci.
Qualora il dato sia stato acquisito precedentemente richiedere nuovamente il consenso al trattamento.
Inoltre, sarà opportuno rivedere le indicazioni fornite all’utente circa l’uso del dato poiché il Titolare del trattamento è tenuto ad indicare chiaramente ed espressamente per quali scopi tratterà il dato.

[1] Art 4. Comma 7 del G.D.P.R. la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.

Volume consigliato 

La tutela della privacy in ambito sanitario

L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro gravanti, volti alla cura e alla protezione dei dati personali dei loro assistiti. In particolare, l’Autore, dopo aver illustrato le caratteristiche principali dei dati sanitari, necessarie per poter individuare quali informazioni rientrano in detta categoria, si dedica all’esame di tutte le disposizioni che incidono sul loro trattamento: dal codice privacy fino al GDPR, passando per le linee guida adottate dal Garante nel corso degli anni in tema di dossier sanitario, siti web dedicati alla salute, referti on-line, indagini di customer satisfaction nonché per la normativa in tema di fascicolo sanitario elettronico. Il trattamento dei dati in ambito sanitario, in considerazione della delicatezza delle informazioni che riguardano lo stato di salute degli interessati, è sempre stato estremamente pericoloso. L’opera si rende ancor più utile oggi, in un mondo in cui anche nell’ambito sanitario i dati personali assumono un’importanza fondamentale e vengono trattati attraverso diversi strumenti tecnologici ed elettronici, rientrando la protezione di tali dati tra i principali adempimenti che i professionisti e le strutture sanitarie debbono curare per poter fornire le proprie prestazioni senza preoccupazioni di incorrere in responsabilità.Pier Paolo Muià Si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di responsabilità medica, diritto di internet, privacy e IP. È autore di numerose pubblicazioni sulle principali riviste giuridiche nazionali e collabora stabilmente con il portale giuridico Diritto.it. È stato relatore in diversi convegni, anche per ordini professionali medici.

Pier Paolo Muià | 2018

20.00 €  19.00 €

Potrebbe interessarti anche Nuova Privacy dopo il 25 maggio: partecipa all’evento Web

Dott. Lione Federico

Scrivi un commento

Accedi per poter inserire un commento