INTRODUZIONE AL GDPR

(NUOVO REGOLAMENTO UE 2016/679)

___________________________________________________________

La necessità di emanare un Regolamento Europeo in materia di privacy nasce dalla continua evoluzione degli stessi concetti di privacy e protezione dei dati personali e quindi della relativa tutela dovuta principalmente alla diffusione del progresso tecnologico.

Originariamente la direttiva 95/46/CE, nell’impianto della vigente normativa dell’UE in materia di protezione dei dati personali, è stata adottata nel 1995 con due obiettivi: salvaguardare il diritto fondamentale alla protezione dei dati e garantire la libera circolazione dei dati personali tra gli Stati membri.

Successivamente incalzanti sviluppi tecnologici hanno allontanato le frontiere della protezione dei dati personali. La portata della condivisione e della raccolta di dati è aumentata in modo vertiginoso.

La tecnologia attuale consente alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività e, sempre più spesso, gli stessi privati rendono pubbliche sulla rete mondiale informazioni personali che li riguardano. Le nuove tecnologie non hanno trasformato solo l’economia, ma anche le relazioni sociali.

È diventato, quindi, necessario instaurare un quadro giuridico più solido e coerente in materia di protezione dei dati nell’Unione che, affiancato da efficaci misure di attuazione, consentirà lo sviluppo dell’economia digitale nel mercato interno, garantirà alle persone fisiche il controllo dei loro dati personali e rafforzerà la certezza giuridica e operativa per i soggetti economici e le autorità pubbliche.

Il Rispetto del Regolamento EU Prevede la massima disposizione alla protezione da parte del Titolare e di tutti i soggetti coinvolti al trattamento, (incaricati e responsabili).Non si tratta di seguire una lista di step per stare in regola ma, a monte, una valutazione piu’ ampia, una piena consapevolezza dell’intero processo di trattamento. Attuare una mappatura iniziale, una ricognzione di come i dati vengono processati, con quali modalità, con quali strumenti. Quali mezzi di protezione vengono usati (fisici e digitali), avvalersi di strumenti pre-trattamento, mezzi di ricognizione e mantenimento del quadro tracciato.

Tra i principi di maggiore rilevanza meritano un particolare approfondimento il PRINCIPIO DI TRASPARENZA, il DIRITTO ALL’OBLIO, il PRINCIPIO DI ACCOUNTABILITY, il principio della PRIVACY BY DESIGN.

  • IL PRINCIPIO DELLA TRASPARENZA impone che le informazioni destinate al pubblico o all’interessato siano facilmente accessibili e di facile comprensione e che sia utilizzato un linguaggio semplice e chiaro

Il responsabile del trattamento deve fornire all’interessato tutte le informazioni e le comunicazioni relative al trattamento dei dati personali in forma intelligibile, con linguaggio semplice e chiaro e adeguato all’interessato, in particolare se le informazioni sono destinate ai minori. Si ricorda che come principio di carattere generale il diritto alla trasparenza indica il diritto di ogni cittadino-consumatore a ricevere informazioni, comprensibili, chiare e trasparenti in ogni fase del suo rapporto con l’erogatore del servizio.

  • Riguardo il riconoscimento del DIRITTO ALL’OBLIO ogni persona deve avere il diritto di rettificare i dati personali che la riguardano e il “diritto alla cancellazione e all’oblio”, se la conservazione di tali dati non è conforme al Regolamento.

In particolare, l’interessato deve avere il diritto di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali che non siano più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati, quando abbia ritirato il consenso o si sia opposto al trattamento dei dati personali che lo riguardano o quando il trattamento dei suoi dati personali non sia altrimenti conforme al Regolamento. Tuttavia, occorre consentire l’ulteriore conservazione dei dati qualora sia necessario per finalità storiche, statistiche e di ricerca scientifica, per motivi di interesse pubblico nel settore della sanità pubblica, per l’esercizio del diritto alla libertà di espressione, ove richiesto per legge o quando sia giustificata una limitazione del trattamento dei dati anziché una loro cancellazione. E’ da intendersi quale diritto dell’individuo ad essere dimenticato;

  • In virtù del principio di ACCOUNTABILITY il Regolamento dispone che il responsabile del trattamento adotti politiche e attui misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme allo stesso Regolamento.

Il termine anglosassone non è facilmente traducibile e difatti nella traduzione del Regolamento europeo si parla impropriamente di “responsabilità”. Al massimo la traduzione più corretta, anche se poco pratica, potrebbe essere quella di “rendicontazione”.

Da un lato il dar conto all’esterno, in modo esaustivo e comprensibile, del corretto utilizzo delle risorse e della produzione di risultati in linea con gli scopi istituzionali; Dall’altro, l’esigenza di introdurre logiche e meccanismi di maggiore responsabilizzazione interna alle aziende e alle reti di aziende relativamente all’impiego di tali risorse e alla produzione dei correlati risultati.

L’ACCOUNTABILITY si compone di almeno tre elementi:

  1. La “TRASPARENZA” intesa come garanzia della completa accessibilità alle informazioni, in primo luogo per i cittadini, anche in quanto utenti del servizio.
  2. La “RESPONSIVITÀ” intesa come la capacità di rendere conto di scelte, comportamenti e azioni e di rispondere alle questioni poste dagli interessati.
  3. La “COMPLIANCE” intesa come capacità di far rispettare le norme, sia nel senso di finalizzare l’azione pubblica all’obiettivo stabilito nelle leggi, che nel senso di fare osservare le regole di comportamento degli operatori della PA.

L’accountability è oggi considerata approccio pratico alla privacy e al trattamento dei dati personali. In quest’ottica, l’Accountability Project punta allo sviluppo di strumenti che possano essere utilizzati dalle organizzazioni per valutare lo stato della propria accountability e per dimostrarlo alle Autorità Garanti per la protezione dei dati personali.

Al fine di garantire e dimostrare la conformità con il Regolamento, il responsabile del trattamento deve adottare politiche interne e attuare misure adeguate, che soddisfino in particolare i principi della privacy by design e della privacy by default.

  • Il principio della PRIVACY BY DESIGN prevede che la protezione dei dati sia integrata nell’intero ciclo di vita della tecnologia, dalla primissima fase di progettazione fino alla sua ultima distribuzione, all’utilizzo e all’eliminazione finale.

 

  • Il principio della PRIVACY BY DEFAULT prevede che le impostazioni di tutela della vita privata relative ai servizi e prodotti rispettino i principi generali della protezione dei dati, quali la minimizzazione dei dati e la limitazione delle finalità.

In considerazione di tali principi, il Regolamento prevede che al momento di determinare le finalità e i mezzi del trattamento e all’atto del trattamento stesso, il responsabile del trattamento, tenuto conto dell’evoluzione tecnica e dei costi di attuazione, deve mettere in atto adeguate misure e procedure tecniche e organizzative in modo tale che il trattamento sia conforme al Regolamento e assicuri la tutela dei diritti dell’interessato. In particolare, se all’interessato è lasciata facoltà di scelta relativamente al trattamento dei dati personali, il responsabile del trattamento garantisce che siano trattati, di default, solo i dati personali necessari per ciascuna finalità specifica del trattamento e che, in particolare, la quantità dei dati raccolti e la durata della loro conservazione non vadano oltre il minimo necessario per le finalità perseguite. In particolare detti meccanismi garantiscono che, di default, non siano resi accessibili dati personali a un numero indefinito di persone e che gli interessati siano in grado di controllare la distribuzione dei propri dati personali.

Ma, a prescindere da questi principi fondamentali, il Regolamento prevede, anche delle novità molto rilevanti.

Innanzitutto il c.d. DIRITTO ALLA PORTABILITÀ. Difatti l’art. 20 prevede che l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile a macchina i dati personali che lo riguardano forniti ad un responsabile del trattamento e ha il diritto di trasmettere tali dati a un altro responsabile del trattamento senza impedimenti da parte del responsabile del trattamento cui li ha forniti

DATA BREACH – Altra novità rilevante (anche se non assoluta in quanto già prevista dal Garante in alcuni provvedimenti generali come quello sul dossier sanitario) è il c.d. DATA BREACH, difatti l’art. 33 del Regolamento dispone che in caso di violazione dei dati personali, il responsabile del trattamento notifica la violazione all’autorità di controllo competente ai sensi dell’articolo 51 senza ingiustificato ritardo, ove possibile entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora non sia effettuata entro 72 ore, la notifica all’autorità di controllo è corredata di una giustificazione motivata.

DPIA -Tra le novità di rilievo non può essere dimenticato quanto previsto dallart. 35 del Regolamento che parla di “VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI” (DPIA), attività che deve essere effettuata dal responsabile del trattamento quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, il campo di applicazione, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

La valutazione contiene almeno:

  1. a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, se del caso, l’interesse legittimo perseguito dal responsabile del trattamento;
  2. b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  3. c) una valutazione dei rischi per i diritti e le libertà degli interessati;
  4. d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

Inoltre la valutazione d’impatto sulla protezione dei dati è richiesta in particolare nei seguenti casi:

  1. a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata sul trattamento automatizzato, compresa la profilazione, e da cui discendono decisioni che hanno effetti giuridici o incidono allo stesso modo significativamente su dette persone fisiche;
  2. b) il trattamento, su larga scala, di categorie particolari di dati quali quelli sensibili o giudiziari;
  3. c) la sorveglianza sistematica di una zona accessibile al pubblico su larga scala.

DPO (Data Protection Officer) – RESPONSABILE PROTEZIONE DATI

L’art. 37 del Regolamento, inoltre, prevede che in alcuni casi specifici:

  1. a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali, oppure
  2. b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, campo di applicazione e/o finalità, richiedono il controllo regolare e sistematico degli interessati su larga scala, oppure
  3. c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati come quelli sensibili o giudiziari

Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un RESPONSABILE DELLA PROTEZIONE DEI DATI (data protection officer).

Tali “responsabili della protezione dei dati”, dipendenti o meno del titolare del trattamento e che svolgono o meno tale compito a tempo pieno, devono essere in grado di esercitare le loro funzioni e compiti in modo indipendente. Il responsabile della protezione dei dati deve, in particolare, essere consultato anteriormente alla progettazione, approvvigionamento, sviluppo e messa a punto di sistemi per il trattamento automatizzato dei dati personali, al fine di garantire i principi della tutela della privacy by design e della tutela della privacy by default.

In tale situazione, la figura dovrebbe avere specifiche e qualifiche atte a competenze e conoscenze tecnico-amministrative adeguate. Non far parte dei vertici dell’azienda per evitare conflitti di interesse

REGISTRO DEI TRATTAMENTI

I casi riferiti per la nomina del DPO – sono gli stessi che determinano l’obbligatorietà della tenuta di un registro delle attività inerenti le modalità del trattamento stesso.

A fronte però della perfetta conoscenza della strutturazione organizzativa e di protezione dati all’interno dell’azienda, il registro permane , per tutti, il mezzo più efficace per evidenziarne possibilità criticità e dimostrare la propria disponibilità all’attuazione della massima disponibilità di protezione.

La tenuta del registro dei trattamenti è prevista dall’articolo 30 del regolamento generale europeo, ed è considerata indice di una corretta gestione dei trattamenti.

L’onere della tenuta del registro è a carico del titolare e, se nominato, del responsabile del trattamento. La tenuta del registro è utile per una completa ricognizione e valutazione dei trattamenti svolti e quindi finalizzata anche all’analisi del rischio di tali trattamenti e ad una corretta pianificazione dei trattamenti. Per cui le autorità invitano tutti i titolari a dotarsene, eventualmente inserendo negli stessi ogni elemento utile, anche oltre a quelli minimi previsti dalle norme.

Il registro deve essere tenuto in forma scritta, anche in formato elettronico, e va esibito all’autorità di controllo (Garante) in caso di verifiche.

IL REGISTRO DEVE ELENCARE UNA SERIE DI INFORMAZIONI:
a) il nome e i dati di contatto del titolare del trattamento e, se nominati, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati (DPO) (ove presente)
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie dei dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
f) dove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) dove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.