Contract

IL NUOVO REGOLAMENTO EUROPEO SULLA PROTEZIONE DEI DATI PERSONALI*

(REGOLAMENTO UE N. 679/2016)

* La presente guida, redatta a mero titolo di cortesia e al di fuori di un contratto di consulenza professionale, si rivolge ad imprese ed enti titolari o responsabili del trattamento dei dati personali, al fine di fornire uno sguardo d’insieme sulle novità apportate dal Regolamento ed individuare, in maniera diretta e rapida, gli adempimenti necessari per adeguarsi alla nuova normativa comunitaria.

Il Regolamento Generale sulla Protezione dei Dati (GDPR), in vigore in Italia dal 25 maggio 2018, contiene le nuove norme finalizzate (i) a garantire la protezione delle persone fisiche con riguardo al trattamento dei loro dati personali, (ii) a proteggere i diritti e le libertà fondamentali delle persone fisiche, con particolare riferimento alla protezione dei dati personali e (iii) a disciplinare la libera circolazione dei dati medesimi.

INDICE

1. FONDAMENTI DI LICEITÀ DEL TRATTAMENTO

2. INFORMATIVA

3. TITOLARE, RESPONSABILE E INCARICATO DEL TRATTAMENTO

4. VALUTAZIONE DEL RISCHIO INERENTE IL TRATTAMENTO

5. DATA PROTECTION OFFICER (DPO)

6. TRASFERIMENTO DI DATI VERSO PAESI TERZI E ORGANIZZAZIONI INTERNAZIONALI

1.- FONDAMENTI DI LICEITÀ DEL TRATTAMENTO

Ogni trattamento deve trovare il proprio fondamento in una idonea base giuridica (art. 6), vale a dire, alternativamente:

• nel consenso dell’interessato (lett. a);

• nell’adempimento di misure precontrattuali ed obblighi contrattuali da parte del titolare del trattamento (lett. b);

• nell’adempimento degli obblighi di legge cui il titolare del trattamento è soggetto (lett. c);

• nella tutela di interessi vitali della persona interessata o di altra persona fisica (lett. d);

• nello svolgimento di un compito di interesse pubblico o nell’esercizio di pubblici poteri (lett. e);

• nel perseguimento dell’interesse legittimo prevalente del titolare o dei terzi (lett. f).

IL CONSENSO DELL’INTERESSATO (FOCUS)

Il consenso dell’interessato deve essere richiesto con formula comprensibile, semplice e chiara e dovrà essere manifestato attraverso una dichiarazione o un’azione positiva (non è ammesso un consenso tacito o presunto), in modo che lo stesso sia libero, specifico, informato e inequivocabile.

Le principali novità introdotte dal GDPR riguardano il trattamento dei c.d. dati sensibili (art. 9) ed il diritto dell’interessato a non essere sottoposto a decisioni basate esclusivamente sui c.d. trattamenti automatizzati (art. 22): in entrambi i casi, il Regolamento prevede che il consenso debba essere fornito dall’interessato in modo esplicito, sulla base di una completa ed esaustiva rappresentazione della natura di tali dati e delle modalità del ridetto trattamento automatizzato.

Il consenso dei minorenni può essere validamente prestato e raccolto a partire dal compimento del sedicesimo anno di età (salva la possibilità che la normativa nazionale deroghi sino ad un limite minimo di tredici anni), prima del quale è necessario raccogliere quello dei soggetti che esercitano la potestà genitoriale.

Pur non obbligatoria per la raccolta del consenso, la forma scritta appare tuttavia preferibile sia per il trattamento dei c.d. dati sensibili e per le decisioni basate sui trattamenti automatizzati, in relazione ai quali il consenso deve essere «esplicito», sia, in generale, per consentire di verificare che il consenso stesso sia stato prestato e raccolto in maniera conforme alle disposizioni di legge.

La forma scritta è altresì raccomandata in quanto consente al titolare del trattamento di poter più agevolmente dimostrare – così assolvendo il relativo obbligo di legge (art. 7, par. 1) – che l’interessato ha prestato il proprio consenso in relazione ad uno specifico trattamento.

TI SEGNALIAMO CHE

Il consenso ottenuto prima dell’entrata in vigore del GDPR è considerato validamente raccolto ove presenti tutte le caratteristiche sopra riferite; in mancanza anche di una soltanto di esse, il titolare dovrà raccogliere nuovamente il consenso dell’interessato entro la ridetta data, pena l’illeceità del trattamento che si fondi unicamente su detta base giuridica.

2.- INFORMATIVA

Forma: l’informativa da trasmettere all’interessato deve essere concisa, trasparente, intellegibile, facilmente accessibile e, in linea di principio, fornita per iscritto, se del caso anche in formato elettronico (art. 12).

Contenuto: il Regolamento elenca, inoltre, in maniera tassativa i contenuti obbligatori dell’informativa stessa (artt. 13 e 14),

introducendo, rispetto al Codice della Privacy, le seguenti novità.

In particolare, nel caso in cui i dati siano raccolti direttamente presso l’interessato (art. 13), l’informativa dovrà indicare:

• i dati di contatto (e, preferibilmente, anche il nominativo) del Data Protection Officer, ove esistente;

• la base giuridica che legittima il trattamento;

• l’interesse legittimo del titolare o dei terzi che giustifichi il trattamento, ove tale interesse ne costituisca la base giuridica;

• se i dati trattati verranno trasferiti (o meno) a Paesi terzi e, in caso affermativo, l’esistenza di una “decisione di adeguatezza” della Commissione europea, ovvero, in mancanza di quest’ultima, le garanzie e le modalità di accesso da parte dell’interessato (v. infra § 6).

Il Regolamento prevede altresì che il titolare del trattamento, nel momento in cui ottiene i dati, deve fornire all’interessato le seguenti informazioni aggiuntive (art. 13, par. 2), necessarie al fine di garantire che il trattamento sia corretto e trasparente; vale a dire:

• l’indicazione del periodo di conservazione dei dati personali oppure, se lo stesso non può essere indicato, i criteri utilizzati

per determinare tale periodo;

• l’esistenza del diritto dell’interessato di (i) accedere ai dati, (ii) chiederne la rettifica e/o la cancellazione, (iii) limitarne il trattamento, (iv) opporsi al trattamento; (v) ottenere la portabilità dei dati medesimi;

• qualora il trattamento si fondi sul consenso dell’interessato, l’esistenza del diritto di revocare il consenso in qualsiasi

momento, senza perciò pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;

• il diritto dell’interessato di proporre reclamo ad una autorità di controllo;

• se la comunicazione dei dati personali integri l’adempimento di un obbligo legale o contrattuale oppure costituisca un requisito necessario per la conclusione del contratto;

• se l’interessato abbia l’obbligo di fornire i propri dati personali e, in caso positivo, le conseguenze della mancata comunicazione degli stessi;

• l’eventuale esistenza di un processo decisionale automatizzato (cfr. art. 22) e, in caso positivo, informazioni significative

sulla logica utilizzata nonché sull’importanza e sulle conseguenze di tale trattamento per l’interessato.

Qualora, poi, il titolare intenda trattare i dati per finalità diverse da quella per cui gli stessi sono stati raccolti, egli dovrà fornire all’interessato, oltre alle predette informazioni (art. 13, par. 2), anche specifiche informazioni in merito a tale diversa finalità (art. 13, par. 3).

Laddove, invece, i dati n on siano raccolti presso l’interessato, l’informativa di cui all’art. 14, par. 1 e 2 deve essere resa entro un tempo ragionevole che non può eccedere un mese dall’ottenimento dei dati, ovvero non oltre la prima comunicazione con l’interessato ove i dati siano stati raccolti proprio a tale finalità, ovvero ancora non oltre la prima comunicazione a terzi nel caso in cui i dati siano stati raccolti con finalità di comunicazione ad altro destinatario.

Il titolare del trattamento è esonerato dai predetti oneri comunicativi nel caso in cui l’interessato disponga già delle ridette informazioni; e, per la sola ipotesi in cui i dati personali non siano stati raccolti presso l’interessato, anche qualora (i) la comunicazione delle ridette informazioni risulti impossibile o implicherebbe uno sforzo spropositato; (ii) l’ottenimento o la comunicazione dei dati siano espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento; oppure (iii) i dati personali debbano rimanere riservati conformemente ad un obbligo di segretezza professionale

disciplinato dal diritto dell’Unione o degli Stati membri, compreso un obbligo di segretezza previsto per legge (art. 13, par. 4, ed art. 14, par. 5).

TI SEGNALIAMO CHE

Nel caso in cui le informative utilizzate prima dell’entrata in vigore del GDPR difettino dei contenuti obbligatori sin qui delineati e/o siano redatte con modalità formali differenti da quelle sopra riferite, sarà necessario che le stesse siano adeguate alla normativa comunitaria e nuovamente trasmesse all’interessato.

3.- TITOLARE, RESPONSABILE E INCARICATO DEL TRATTAMENTO

Una importante novità introdotta dal Regolamento consiste nella disciplina della c.d. contitolarità del trattamento (art. 26).

Sono contitolari del trattamento coloro che ne determinano congiuntamente le finalità ed i mezzi ed a carico dei quali incombe l’obbligo di determinare in maniera trasparente, mediante un accordo interno, le rispettive responsabilità in ordine all’osservanza degli obblighi derivanti dal GDPR, con particolare riguardo all’esercizio dei diritti dell’interessato e alla comunicazione delle predette informative (artt. 13 e 14), a meno che dette responsabilità non siano già state determinate dal diritto dell’Unione o dello Stato membro cui i contitolari medesimi sono soggetti.

Tale accordo, il cui contenuto essenziale deve esser messo a disposizione degli interessati, deve altresì riflettere i rispettivi ruoli ed i rapporti dei contitolari con gli interessati.

A differenza del Codice della Privacy, poi, il GDPR regola in maniera più dettagliata i rapporti tra titolare e responsabile del trattamento, prevedendo che il primo debba designare il secondo con contratto (o con altro atto giuridicamente valido) stipulato in forma scritta, eventualmente in formato elettronico, ed avente il seguente contenuto obbligatorio:

• materia disciplinata e durata del trattamento;

• natura e finalità del trattamento;

• tipo di dati personali trattati e categorie di interessati;

• obblighi e diritti del titolare del trattamento.

Il medesimo atto, inoltre, deve prevedere che il responsabile del trattamento:

• tratti i dati soltanto su istruzione documentata del titolare del trattamento, ad eccezione del caso in cui il trattamento sia

richiesto dal diritto dell’Unione o dello Stato membro cui il responsabile stesso è soggetto;

• assicuri che le persone autorizzate al trattamento si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

• non nomini un altro responsabile del trattamento in mancanza di previa autorizzazione scritta, specifica o generale, da parte del titolare del trattamento;

• adotti tutte le misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (art. 32);

• assista il titolare del trattamento, nella misura in cui ciò sia possibile, al fine di evadere le richieste funzionali all’esercizio dei diritti dell’interessato;

• assista il titolare del trattamento nel garantire il rispetto delle misure di sicurezza dei dati (artt. 32 e 36);

• una volta terminata la prestazione, ▇▇▇▇▇▇▇▇ o restituisca tutti i dati personali al titolare del trattamento, su scelta di quest’ultimo, a meno che il diritto dell’Unione o degli Stati membri non preveda la facoltà o l’obbligo di conservare gli stessi;

• metta a disposizione del titolare del trattamento le informazioni necessarie a dimostrare il rispetto degli obblighi sullo stesso incombenti;

• acconsenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzate dal titolare del trattamento o da altri soggetti da egli incaricati.

Per il caso in cui il responsabile del trattamento, a ciò autorizzato dal titolare, nomini un altro sub-responsabile per l’esecuzione di specifiche attività di trattamento dei dati, il GDPR impone l’obbligo di stipulare un ulteriore contratto (o atto con efficacia equipollente) con forma e contenuto analoghi a quelli del contratto in essere tra titolare e responsabile.

Qualora, nel caso appena delineato, il sub-responsabile ometta di adempiere i propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva comunque l’intera responsabilità nei confronti del titolare del trattamento.

Qualora, infine, ricorrano le condizioni di cui agli artt. 27 e 3, par. 2, sia il titolare del trattamento sia il responsabile del trattamento sono tenuti a designare per iscritto un loro rappresentante nell’Unione, il quale dovrà svolgere funzioni d’interlocutore, in particolare con le autorità di controllo e con gli interessati, per tutte le questioni inerenti il trattamento.

TI SEGNALIAMO CHE

I titolari del trattamento devono, innanzitutto, valutare l’eventuale sussistenza di situazioni di contitolarità, essendo in tal caso tenuti a stipulare il ridetto accordo interno di cui all’art. 26 del Regolamento.

Gli stessi devono altresì valutare se i contratti utilizzati per disciplinare i loro rapporti con i rispettivi responsabili siano conformi, dal punto di vista formale e contenutistico, alle indicazioni e prescrizioni contenute nel GDPR e, in difetto, apportare le modifiche ed integrazioni necessarie per adeguarsi alla normativa comunitaria.

I responsabili del trattamento devono, infine, verificare che i contratti utilizzati per la nomina di eventuali sub-responsabili

rispondano ai requisiti di forma e di contenuto pure previsti dal GDPR ed apportarvi, in caso contrario, i dovuti correttivi.

4.- VALUTAZIONE DEL RISCHIO

In una prospettiva di forte responsabilizzazione del titolare del trattamento, il GDPR prevede che lo stesso debba adottare tutte le misure tecniche ed organizzative necessarie per garantire ed essere in grado di dimostrare che i dati siano trattati in maniera conforme al Regolamento (art. 24) e, per impostazione predefinita, solo se e nella misura in cui siano necessari in relazione alla specifica finalità perseguita con il trattamento medesimo (art. 25).

Sia il titolare sia il responsabile del trattamento, inoltre, sono tenuti ad adottare tutte le misure tecniche ed organizzative idonee a garantire un livello di sicurezza adeguato al rischio; ciò che, evidentemente, presuppone una costante valutazione dei rischi connessi al trattamento e, in particolare, una accurata analisi dei rischi di distruzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale, ai dati personali trasmessi, conservati o comunque trattati.

Qualora il trattamento presenti un rischio elevato per i diritti e le libertà delle persone fisiche (si pensi, in particolare, all’uso di nuove tecnologie), il titolare del trattamento deve eseguire in via preventiva una c.d. “valutazione d’impatto” del trattamento sulla protezione dei dati.

Tale valutazione è espressamente richiesta nei casi previsti dall’art. 35, par. 3 (elenco esemplificativo e non esaustivo), mentre non deve essere eseguita nelle ipotesi contemplate dall’art. 35, paragrafi 5 e 10.

Il Regolamento prevede, poi, che una singola valutazione d’impatto può prendere in considerazione anche una serie di trattamenti simili che presentino natura, contesto, finalità ed elevati rischi analoghi.

Qualora, valutati i rischi ed assunte le misure idonee ad attenuarli, residuino pericoli derivanti dal trattamento dei dati, il titolare potrà consultare l’Autorità di controllo (art. 36), la quale, ove ritenga sussistere una violazione del Regolamento, potrà rendere un parere recante l’indicazione delle ulteriori misure preventive da adottare per incrementare il livello di sicurezza e gestire il rischio residuale, ovvero esercitare i poteri di indagine e correttivi delineati dall’art. 58.

I titolari ed i responsabili del trattamento sono obbligati – salvo non abbiano meno di 250 dipendenti ed effettuino un trattamento occasionale, non rischioso per i diritti e le libertà degli interessati e non avente ad oggetto dati sensibili (art. 30, par. 5) – a tenere un Registro delle operazioni di trattamento, il cui contenuto obbligatorio è determinato dall’art. 30 del Regolamento.

Il Registro delle attività di trattamento deve avere forma scritta, eventualmente in formato elettronico, onde poter essere esibito al Garante su richiesta di quest’ultimo.

Oltre che un importante strumento di supervisione per il Garante, il ridetto Registro rappresenta un mezzo per disporre costantemente di un quadro aggiornato dei trattamenti in essere all’interno dell’azienda; presupposto, questo, indispensabile perché il titolare ed il responsabile possano svolgere agevolmente la ridetta attività di valutazione ed analisi del rischio prescritta dal Regolamento.

TI SEGNALIAMO CHE

La valutazione d’impatto sulla protezione dei dati è un’attività preventiva obbligatoria per il titolare qualora il trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, in modo particolare nel caso in cui venga introdotta una nuova tecnologia di trattamento dei dati.

Per quanto riguarda i trattamenti già esistenti, la valutazione d’impatto non sarà necessaria ove gli stessi siano stati già

verificati da un’Autorità di controllo o dal responsabile della protezione dei dati, a norma dell’articolo 20 della direttiva 95/46/CE, e non si sia registrata alcuna variazione nelle modalità di esecuzione del trattamento rispetto alla verifica precedente. In difetto delle predette verifiche o qualora vi sia stata una variazione dei rischi, il titolare ed il responsabile saranno obbligati a svolgere la valutazione d’impatto anche per i trattamenti già esistenti.

A prescindere dalla sua obbligatorietà (cfr. art. 30, par. 5), la tenuta del Registro dei trattamenti è raccomandata, in quanto, da un lato, consente al titolare ed al responsabile del trattamento di avere a disposizione un quadro costantemente aggiornato in ordine ai trattamenti in essere all’interno dell’azienda; e, dall’altro lato, facilita l’assolvimento degli obblighi derivanti dal Regolamento.

5.- DATA PROTECTION OFFICER (DPO)

Il GDPR introduce la nuova figura del Responsabile della Protezione dei Dati (DPO), la cui nomina da parte del titolare e del responsabile del trattamento è obbligatoria nei casi di cui all’art. 37, vale a dire quando:

• il trattamento è eseguito da un’autorità o da un organismo pubblico, ad eccezione delle autorità giurisdizionali

nell’esercizio delle loro funzioni;

• le attività principali del titolare o del responsabile del trattamento consistono in trattamenti che richiedono il

monitoraggio regolare e sistematico degli interessati su larga scala;

• le attività principali del titolare o del responsabile del trattamento consistono nel trattamento, su larga scala, di c.d. dati sensibili (art. 9) o di dati relativi a condanne penali o reati (art. 10).

Il DPO dovrà essere, in ogni caso, scelto per le sue qualità professionali (i.e., l’adeguata conoscenza della materia e la capacità di assolvere i propri compiti) e allo stesso dovrà essere consentito di operare all’interno dell’azienda con un sufficiente grado d’indipendenza, relazionandosi direttamente con il (e riferendo al) vertice gerarchico del titolare o del responsabile del trattamento.

Il DPO può essere indifferentemente un dipendente dell’azienda o un consulente esterno, legato a quest’ultima da un apposito contratto di servizi (art. 37, par. 6); in entrambi i casi, il titolare ed il responsabile del trattamento dovranno assicurarsi che i compiti e le funzioni svolte dal DPO non diano luogo a conflitti di interessi.

Secondo quanto previsto dall’art. 39 del Regolamento, il DPO deve:

• informare il titolare o il responsabile (ed i relativi dipendenti) e fornire agli stessi consulenza in merito agli obblighi derivanti dal GDPR e dalle altre disposizioni comunitarie e nazionali in materia di protezione dei dati;

• sorvegliare l’osservanza di tutte le disposizioni normative sopra citate;

• sorvegliare l’osservanza delle politiche del titolare o del responsabile, provvedendo altresì a sensibilizzare e formare il

personale;

• fornire, se richiesto, un parere in merito alla “valutazione d’impatto” e sorvegliarne lo svolgimento;

• cooperare con l’Autorità di controllo e fungere da punto di raccordo con la stessa per tutte le questioni connesse al

trattamento.

TI SEGNALIAMO CHE

Ogni azienda dovrà verificare se, in ragione del tipo di trattamento che normalmente esegue, sia obbligata o meno a nominare un DPO e che lo stesso possieda i requisiti professionali funzionali allo svolgimento di tale peculiare incarico.

6.- TRASFERIMENTO DI DATI VERSO PAESI TERZI E ORGANIZZAZIONI INTERNAZIONALI

Rispetto al Codice della Privacy, il GDPR consente il trasferimento di dati verso Paesi terzi e organizzazioni internazionali pur senza la preventiva autorizzazione del Garante.

Tale trasferimento potrà così avvenire (i) sulla base di una decisione di adeguatezza della Commissione, la quale stabilisca che il Paese terzo o l’organizzazione internazionale garantiscono un livello di protezione adeguato (art. 45); oppure, in mancanza di una decisione di adeguatezza, (ii) a condizione che il titolare del trattamento abbia fornito garanzie adeguate di natura contrattuale o pattizia (i.e., norme vincolanti l’impresa approvate a norma dell’art. 47; clausole contrattuali standard adottate dalla Commissione o dalle Autorità di controllo; codici di condotta; meccanismi di certificazione approvati a norma dell’art. 42) e che gli interessati dispongano anche nel Paese terzo di diritti azionabili e mezzi di ricorso effettivi (art. 46).

La previa autorizzazione del Garante continuerà, nondimeno, ad essere indispensabile ogni qual volta (art. 36, par. 3) il titolare del trattamento decida di utilizzare, quali garanzie adeguate, clausole differenti da quelle standard previamente approvate dalla Commissione. In tal caso, proprio in considerazione della autonoma determinazione del contenuto delle ridette clausole, si renderà necessaria la citata autorizzazione.

Il GDPR prevede, poi, che il provvedimento giurisdizionale o ammnistrativo di un Paese terzo che richieda il trasferimento o la comunicazione di dati personali da parte di un titolare o di un responsabile del trattamento potrà essere riconosciuto o assumere carattere esecutivo soltanto se basato su un accordo internazionale tra il Paese terzo e l’Unione o un suo Stato membro, fatti salvi gli altri presupposti al trasferimento introdotti dal GDPR (art. 48).

L’art. 49 del Regolamento prevede, infine, una serie di deroghe alla disciplina del trasferimento di dati a Paese terzi, contemplando una serie di specifiche situazioni al ricorrere delle quali il ridetto trasferimento può essere ammesso anche in assenza di una decisione di adeguatezza o di garanzie adeguate.

TI SEGNALIAMO CHE

Prima di procedere al trasferimento di dati verso Paesi terzi, il titolare o il responsabile del trattamento dovrà, per non incorrere in violazione del Regolamento, valutare attentamente (i) se ricorra o meno una delle specifiche situazioni di cui all’art. 49; (ii) se detto trasferimento sia legittimato da una decisione di adeguatezza della Commissione; ovvero (iii) di aver fornito garanzie adeguate secondo quanto previsto dal GDPR e se gli interessati dispongano di diritti azionabili e di mezzi di ricorso effettivi anche nel Paese richiedente.