GDPR Faq

Il Regolamento Europeo – GDPR –  è entrato in vigore il 25 maggio 2016 e si applica in tutti gli Stati Membri a partire dal 25 maggio 2018, data entro la quale le aziende pubbliche e private ed i liberi professionisti devono adeguarsi. Con applicazione in tutti gli Stati del regolamento 2016/679, i Titolari e Responsabili del trattamento hanno l’obbligo di seguire il “principio della accountability” (art. 5 co. 2) che comporterà l’onere di dimostrare l’adozione di tutte le misure tecniche e organizzative adeguate per garantire che il trattamento sia effettuato conformemente al Regolamento (art. 24-25 e l’intero CAPO IV).

Secondo l’art. 37 del GDPR, la nomina di un “responsabile alla protezione dei dati” è obbligatoria per il settore pubblico. L’obbligo sussiste anche nel settore privato per le grandi imprese o per le imprese che effettuato trattamenti a rischio (ad esempio trattamento su larga scala di dati sensibili, monitoraggio regolare e sistematico degli interessati su larga scala).

Il “consenso” è la libera indicazione della volontà del soggetto interessato di accettare esplicitamente una specifica operazione di trattamento relativa ai propri dati personali, di cui era stato informato in anticipo da colui che ha il potere di decidere su tale elaborazione (il Titolare del trattamento).

Il Regolamento UE 2016/679 tratta  negli articoli  7 e 8 il “consenso” quale onere della prova della sussistenza del consenso al trattamento prestato dall’interessato è in capo al titolare.

In qualsiasi momento l’interessato può revocare il proprio consenso, senza che questo pregiudichi la liceità del trattamento già effettuato precedentemente.

Il trattamento dei dati del minore è lecito solo se questo abbia almeno 16 anni (in alcuni stati anche 13), altrimenti è necessario il consenso prestato o autorizzato dal titolare della responsabilità genitoriale.

L’informativa è un avviso contenente tutte le specifiche relative alle informazioni che il Titolare del trattamento è tenuto a fornire a tutti gli interessati, deve essere scritta in modo chiaro conciso, in merito a quando e come i dati vengono raccolti sia direttamente dall’Interessato che tramite terzi. L’informativa deve essere resa fruibile in modo facile e se l’attività prevede un sito internet lo stesso deve contenere anche una pagina specifica per l’informativa.

La tenuta del registro dei trattamenti è sancita dall’art. 30 del GDPR, ed è considerata indice di una corretta gestione dei trattamenti, al quale prestare molta attenzione perchè va esibito all’autorità di controllo (Garante) in caso di verifiche. Per cui le autorità invitano tutti i titolari a dotarsene, eventualmente inserendo nel registro ogni elemento utile, anche oltre a quelli minimi previsti dalle norme.

L’onere della tenuta, in qualsiasi forma sia creato, forma scritta o elettronico,  è a carico del titolare e, nel caso, del responsabile del trattamento. La tenuta costituisce uno dei principali elementi di accountability del titolare, in quanto è utile per una completa ricognizione e valutazione dei trattamenti svolti e quindi finalizzato anche all’analisi del rischio e ad una corretta pianificazione dei trattamenti.

Tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento (v. art. 30, par. 1 e 2 del RGPD), e si devono tenere in considerazione anche le associazioni, fondazioni e i comitati.

Lo stesso garante nelle sue Faq e nei suoi interventi si è spinto a specificare meglio chi è tenuto e e come, probabilmente anche per eliminare interpretazioni sul concetto di larga scala.

Possiamo quindi verificare che i soggetti obbligati sono così individuabili:

• Le imprese o organizzazioni con  almeno 250 dipendenti;
• il titolare o responsabile (anche se con meno di 250 dipendenti) che effettuino trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
• il titolare o responsabile (anche se con meno di 250 dipendenti) che effettui trattamenti non occasionali;
• il titolare o responsabile (anche se con meno di 250 dipendenti) che effettuino trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Alla luce di quanto detto sopra, sono tenuti all’obbligo di redazione del registro, ad esempio:

– liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);

– esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o  che  trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);

– associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);

– il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Infine, si precisa che le imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro potranno comunque beneficiare di alcune misure di semplificazione, potendo circoscrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento sopra individuate (es. ove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento).

Al di fuori dei casi di tenuta obbligatoria del Registro, anche alla luce del considerando 82 del RGPD, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, in quanto strumento che,  fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso.

La pseudonimizzazione è quel  trattamento dei dati personali effettuato in modo tale che gli stessi non possano più essere attribuiti ad un interessato specifico senza l’utilizzo di informazioni aggiuntive.

Il Contitolare del Trattamento è una persona fisica o giuridica, che affianca il Titolare e a cui competono diverse responsabilità decise tramite accordo interno (art.26 del regolamento europeo).

Il diritto alla cancellazione è previsto dall’articolo 17 del GDPR, nel quale si chiarisce che l’interessato può chiedere la cancellazione dei propri dati al titolare. L’interessato ha infatti il diritto di ottenere  la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo il alcuni casi:

a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
b) i dati personali sono stati trattati illecitamente;
c) l’interessato si oppone al trattamento e non sussiste alcun ulteriore motivo legittimo per procedere il trattamento;
Salvare
Il titolare del trattamento nei casi indicati è obbligato a procedere alla cancellazione dei dati e ad adottare le misure ragionevoli per informare altri titolari del trattamento che stanno trattando i dati prestando la dovuta attenzione alla cancellazione anche di eventuali link, copia, newsletter o riproduzione.

Occorre però sempre tener presente che ci sono anche tanti casi in cui i dati anche a fronte di una richiesta valida vanno mantenuti se sono comunque necessari agli scopi per i quali sono stati raccolti e il titolare ha ancora una base giuridica per il trattamento degli stessi, di seguito un breve elenco :

1) per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
2) per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
3) per motivi di interesse pubblico nel settore della sanità pubblica;
4) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, nella misura in cui la cancellazione rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento;

I dati sensibili, sono quei dati della persona relativi al suo stato di salute, al suo orientamento sessuale, quei dati in grado di rivelarne l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza ad un sindacato. Il regolamento UE parla ora di dati “particolari” (cfr. art. 9, comma 1, Reg. UE 679/16) con ciò intendendo i dati sensibili sopra citati, cui vanno ad aggiungersi pure i dati biometrici e quelli genetici (impronta digitale, immagine del volto, impronta vocale…).

I cookie sono delle stringhe di testo che i siti visitati dall’utente inviano al suo terminale o browser, dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Questi possono essere di prima e terza parte. L’utilizzo dei cookies prevede anche una informativa specifica chiara e reale per permettere all’utente di decidere come comportarsi.

La notifica al Garante Privacy va inviata nel caso in cui:

• vengono utilizzati cookie analitici di terze parti e non sono stati adottati strumenti che riducono il potere identificativo dei cookie e la terza parte non incrocia le informazioni raccolte con altre di cui dispone;
• sono presenti cookie di profilazione di prima parte.

Chi fa uso della videosorveglianza, deve effettuare, nel rispetto del principio di proporzionalità, la scelta e le modalità della ripresa e la dislocazione delle telecamere affinché le stesse registrino i dati pertinenti e non eccedenti allo scopo della ripresa stessa.

Ad esempio l’angolo di visuale della ripresa deve essere limitato ai soli spazi di esclusiva pertinenza, escludendo ogni registrazione audio-video di aree comuni, o ancora i soggetti interessati dalle riprese devono essere informati con apposita cartellonistica (visibile anche in orario notturno) e avvisati che stanno accedendo ad una zona video sorvegliata.

L’amministratore di sistema, non è esplicitamente richiamato nel GDPR, ma occorre ricordare che per competenze tecniche ha non poche responsabilità per quanto attiene ai dati aziendali.

Specifichiamo ricordando che  il GDPR non interviene sui provvedimenti del Garante, in quanto il regolamento europeo stabilisce solo che vanno cancellate le norme e le regolamentazioni nazionali incompatibili o che vanno in direzione diversa ed opposta da quanto previsto con le disposizioni del regolamento stesso.

Il Regolamento europeo mette a carico del titolare e del responsabile del trattamento maggiore controllo e responsabilizzazione, secondo un’ottica di prevenzione del rischio in relazione ai dati personali, da cui possiamo evincere che quanto disposto nel nostro ordinamento per il tramite del Garante della privacy nel provvedimento sulla designazione degli amministratori di sistema appare essere in linea con i principi e le disposizioni contenute nel GDPR stando attenti ad inserire nel contratto (o altro atto giuridico) tutto quanto richiesto dall’art. 28 del GDPR.

I dubbi e le interpretazioni nascono in considerazione che, tanto il regolamento europeo quanto la giurisprudenza in materia evidenziano una carenza di normativa e tecnica, ed infatti l’amministratore viene individuato  nel Provvedimento del Garante del 27 novembre 2008 (ormai superato ma mai aggiornato)  come “una figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali”.

Va da se ad esempio che questa definizione diventa troppo vasta soprattutto se misurata al lavoro di raccolta dei dati effettuati da un sito perchè è legittimo ritenere che le attività di business legate all’azienda non si costruiscano solo ed esclusivamente tramite internet, ma queste siano di supporto a tutta la catena del lavoro.

Se dovessimo riportare questa nomina a cosa si deve fare dovremmo rifarci per forza  l’art. 32 del Regolamento che scrive e descrive le procedure da mettere in campo per la protezione dei dati e fa esempi come la cifratura dei dati personali, parla di backup e piano di continuità operativa per causa di incidenti oltre a prevedere delle verifiche periodiche delle misure tecniche ed organizzative adottate.

Per le aziende che in linea di continuità con la vecchia normativa e con quanto dispsoto organizzativamente all’interno occorre verificare se la figura dell’amministratore sia riferita a personale interno  o esterno alla struttura, da cui:

se la risorsa è interna all’organizzazione, si può procedere ad autorizzarlo per iscritto allo svolgimento delle mansioni e continuare a rispettare le misure previste dal Garante ed integrate dal GDPR, prestando la dovuta attenzione;

se la risorsa è esterna all’organizzazione, si può procedere mediante un contratto o altro atto giuridico con cui lo si designa responsabile del trattamento, assegnando le specifiche funzioni di amministratore di sistema e indicando tra le istruzioni e le misure di sicurezza, che è doveroso specificamente descrivere nell’atto, anche gli accorgimenti che a suo tempo sono stati indicati dal Garante in quanto idonei a rispettare la compliance al GDPR.

I responsabili “esterni” del trattamento sono quei soggetti che trattano i dati “per conto” del titolare e che non rientrano nell’organigramma di quest’ultimo. Si pensi ad esempio al consulente del lavoro che cura le buste paghe per conto dell’azienda: a questo soggetto il titolare (l’azienda) dovrà comunicare i dati dei lavoratori, l’appartenenza degli stessi ad un sindacato, i periodi di aspettativa, ma soprattutto dovrà giustificare i periodi di assenza (per ferie, permessi, malattie, maternità). L’art. 29 del Codice privacy e l’art. 28 del regolamento UE regolano le modalità di designazione dei Responsabili “esterni”.

Ai sensi del combinato disposto degli artt. 4, lett. h) e 30 del Codice privacy l’incaricato è la persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal responsabile attenendosi alle istruzioni impartite da questi ultimi. Il regolamento UE non prevede espressamente la figura dell’incaricato; pur tuttavia, non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” (cfr. art. 4 n. 10 del regolamento UE).

La valutazione dei rischi è un’operazione da svolgersi necessariamente in una fase preliminare rispetto alla raccolta dei dati e ai successivi trattamenti che si intendono compiere. I titolari e i responsabili del trattamento sono quindi chiamati a valutare i rischi inerenti i diversi trattamenti da effettuarsi, individuando quali siano le diverse criticità legate ai vari trattamenti.

Diversamente, la valutazione d’impatto ai sensi dell’art. 35 del nuovo Regolamento, è obbligatoria quando il titolare o il responsabile decidano di effettuare un nuovo trattamento e tale trattamento “possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.

Per maggiori delucidazioni si rinvia alle Linee Guida disponibili alla pagina “I provvedimenti del Garante e linee guida” (si veda: http://privacyinrete.it/i-provvedimenti-del-garante/).