CIRCOLARE N° 15/2017 del 20/12/2017

20 Dicembre 2017

CIRCOLARE MENSILE AI COLLEGHI –  AGOSTO 2017 – Prot. n° 2543/22

I PRINCIPI FONDAMENTALI DEL REGOLAMENTO PRIVACY (GDPR) – 679/2016

 
Il nuovo Regolamento Ue sulla Privacy – GDPR – (General Data Protection Regulation) 2016/679 del Parlamento europeo del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, il cui testo è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea (GUUE) il 4 maggio 2016, diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018, quando dovrà essere garantito il perfetto allineamento fra la normativa nazionale in materia di protezione dati e le disposizioni del Regolamento.

Si ricorda che il “Regolamento” dell’Unione Europea è un atto giuridico vincolante, diretto non solo agli Stati membri, ma anche ai singoli; esso è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri. Pertanto, non necessita di alcuna legge nazionale che ne recepisca i contenuti. Il Regolamento Ue 679/2016, abroga la precedente disciplina dettata dalla Direttiva 95/46/CE del Parlamento Europeo dalla quale è discesa la Legge 675/2006, successivamente abrogata dal Codice Privacy D.Lgs. 196/2003, tutt’ora vigente. Al momento convivono quindi due normative: il vecchio Codice Privacy del 2003 ed il nuovo Regolamento UE 679/2016 che esplicherà la sua piena efficacia dal 25.05.2018; entro tale data bisognerà pertanto lavorare per recepire tutti i cambiamenti utili al passaggio di consegne tra la vecchia e nuova disciplina.

E’ bene puntualizzare che il nuovo Regolamento pone con forza l’accento sulla responsabilizzazione di Titolari e Responsabili al fine di dimostrare la concreta adozione delle misure finalizzate ad assicurare l’applicazione di tutti i principi contenuti nella novella normativa. In questo senso viene affidato ai Titolari il compito di decidere in grande autonomia le modalità e le garanzie del trattamento adottato nel rispetto della normativa. In ogni caso le misure adottate devono garantire un livello di sicurezza adeguato al rischio del trattamento pertanto non esistono misure minime poiché la valutazione è rimessa caso per caso al Titolare ed al Responsabile in rapporto ai rischi effettivi e specificatamente individuati.

Le caratteristiche essenziali del nuovo Regolamento sono:

•Autonomia – libertà di predisposizione in fase di design

•Responsabilizzazione – Garanzia del risultato

•Analisi dei Rischi – Decisioni proattive

•Misure Adeguate – Facilitare la gestione dei rischi

 

Per quanto riguarda l’organigramma Privacy, le figure stabilite dal nuovo Regolamento sono:

  • Il Titolare del trattamento
  • Il Responsabile del trattamento
  • Il Responsabile della protezione dei dati (DPO): obbligatorio per Pubblica Amministrazione e per chi effettua un monitoraggio regolare e sistematico di soggetti interessati su larga scala o qualora il trattamento dei dati possa essere considerato delicato in quanto effettuato sempre su larga scala e consista nella “lavorazione” di “categorie particolari di dati personali”, quali l’origine razziale o etnica, le opinioni politiche e/o sindacali, le convinzioni religiose o filosofiche, stato di salute, informazioni medico-sanitarie, vita e orientamento sessuale, etc..
  • L’Incaricato, ovvero le persone autorizzate al trattamento dei dati personali impegnate alla riservatezza o che abbiano un adeguato obbligo legale di riservatezza.

In particolare, il nuovo Regolamento, in merito alle figure elencate:

  • all’art. 26, disciplina la contitolarità del trattamento e impone, pertanto, ai titolari di formalizzare  specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente;
  • descrive in modo dettagliato, in questo diversificandosi rispetto all’art. 29 del Codice Privacy, le caratteristiche del documento con il quale il titolare del trattamento incarica/designa un responsabile del trattamento attribuendogli specifici compiti. Deve trattarsi cioè di un vero e proprio contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento;
  • consente, all’art. 28, par. 4, la nomina di sub-responsabili del trattamento da parte di un responsabile, per specifiche attività di trattamento
  • prevede obblighi specifici in capo ai responsabili del trattamento, quali ad esempio, la tenuta del registro dei trattamenti svolti ai sensi dell’art. 30, par. 2), l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti, ai sensi dell’art. 32 e la designazione di un Responsabile della Protezione dei Dati (id: DPO) che risulta essere la vera novità in tema di organigramma.

La designazione del Responsabile della Protezione Dati (id: RPD, ovvero DPO se si utilizza l’acronimo inglese: Data Protection Officer) sintetizza la caratteristica della responsabilizzazione che è insita nel regolamento (art. 39), finalizzata a facilitare l’attuazione del regolamento da parte del Titolare/del Responsabile. L’obbligo di nomina (art. 37) vale, oltre che per tutte le Pubbliche Amministrazioni, anche  per i soggetti che, su larga scala, trattano congiuntamente o alternativamente dati sensibili, biometrici, genetici o dati giudiziari. Il Garante per la protezione dei dati italiani ne ha tracciato l’identikit con la newsletter 432 del 15 settembre 2017 attribuendogli un’alta professionalità (artt. 38 e 39) che l’impresa deve valutare attraverso un curriculum che dimostri le competenze e le esperienze professionali e formative.

Tra i compiti (art. 35) del RPD si annoverano:

  • sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità;
  • collaborare con il Titolare/Responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA);
  • informare e sensibilizzare il Titolare o il Responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati;
  • cooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento;
  • supportare il Titolare o il Responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento.

Norma chiave del Regolamento per adeguarsi al nuovo dettato normativo, in conformità con le caratteristiche sulla responsabilizzazione (id: accountability) di Titolari e Responsabili, ovvero sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento (artt. 23-25 e l’intero Capo IV del regolamento) è l’art. 5, par. 2 che sancisce l’obbligo del Titolare del Trattamento di comprovare il rispetto del Regolamento. In particolare la disposizione detta due precetti:

  • Attribuzione al Titolare del Trattamento del compito di attuare gli adempimenti previsti dal Regolamento;
  • Assegnazione al Titolare del Trattamento di dimostrare l’avvenuto adeguamento, ovvero dare prova della propria diligenza mediante la predisposizione di documentazione a supporto.

A tal fine la prova si realizza attraverso la predisposizione di un apposito dossier privacy che consente di adempiere in modo pratico alle richieste di informazione e ispezioni da parte dell’Autorità di controllo, ovvero da parte del Garante per la protezione dei dati personali.

Il dossier privacy deve contenere perciò in modo sistematico la documentazione comprovante le scelte effettuate e le spiegazioni del comportamento adottato in ordine all’analisi dei rischi effettuati.

Esso è formato, in sintesi, da un contenuto dove andranno inseriti i seguenti capitoli/documenti:

  • Introduzione
  • Descrizione delle attività di Impresa/Ente;
  • Descrizione dei trattamenti in ordine alla tipologia, agli ambiti ed alle categorie interessate.
  • Disciplina di riferimento
  • Riferimenti alla adozione delle norme del GDPR ed alle eventuali norme di fonte nazionale cui si è tenuto conto, ovvero a specifici regolamenti interni se presenti.
  • Politiche di Protezione dei Dati
  • Descrizione delle finalità;
  • Piani di azione suddivisi per aree di rischio e modalità di applicazione con la descrizione delle modalità di coinvolgimento degli interessati.
  • Organigramma Privacy
  • Descrizione delle figure professionali coinvolte: Responsabili del Trattamento (interni ed esterni) – Responsabile della Protezione dei Dati – Incaricati/Autorizzati;
  • Contratti di nomina ed eventuale presenza di contitolari.
  • Policy interne
  • Descrizione dei poteri dei Responsabili;
  • Prassi in caso di perdita dei dati;
  • Prassi in occasione di nuovi processi;
  • Coordinamento tra Responsabili;
  • Prassi utilizzo internet, posta elettronica ed altri dispositivi per la comunicazione interna
  • Prassi nel rapporto con l’utenza;
  • Adempimenti nei confronti degli interessati
  • Informative e modelli di raccolta consenso;
  • Procedure per la richiesta di accesso ai dati;

Il dossier Privacy, come sopra descritto, dovrà pertanto rispondere all’esigenza di dare conto delle scelte effettuate. In particolare, l’adozione di determinate scelte deve raccordarsi con le scelte effettuate in sede di progettazione della privacy aziendale e di ricaduta per eventuali rischi sottesi alla precipua attività.

Si tratta di analizzare i seguenti principi:

  • Privacy by Design (id: fin dalla progettazione), ovvero previsione di misure di protezione dei dati già al momento della progettazione di un prodotto o di un software;
  • Privacy by Default (id: tutela del dato come impostazione predefinita) ovvero porre in essere meccanismi (id: automatismi), con l’obiettivo di effettuare un trattamento dei dati limitato a finalità specifiche.

Il tutto considerando che l’automatismo deve prevedere di non abusare delle informazioni altrui, anzi impone di curare le informazioni delle persone come se fossero le proprie e quindi al fine di impedire la raccolta, in custodia, di dati inutili.

Oltre agli adempimenti come sopra descritti, è previsto, a carico delle Imprese/Enti, con eccezione di organizzazioni che abbiano meno di 250 dipendenti, l’obbligo (art. 30) di tenere un Registro dei Trattamenti. Si tratta di uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, indispensabile per ogni valutazione e analisi del rischio. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, nonostante i limiti per la tenuta, sarebbe buona norma, per tutti i Titolari di trattamento e i Responsabili, dotarsi di tale registro in modo da compiere una diligente descrizione in forma scritta di tutti i trattamenti svolti e delle rispettive caratteristiche; inoltre, anche la Guida applicativa al Regolamento, pubblicata sul sito del Garante, sostiene che anche chi non è tenuto a redigere il registro, è comunque “invitato a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche”, e questo, in special modo se:

  • le attività di trattamento effettuate presentano un rischio per i diritti e le libertà dell’interessato;
  • il trattamento include particolari categorie di dati (tutti quelli atti a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, ovvero informazioni relative alla salute o alla vita sessuale o all’orientamento sessuale della persona) e includa dati genetici o biometrici;
  • il trattamento include dati personali relativi a condanne penali e a reati.

Per quanto riguarda invece le caratteristiche della richiesta del consenso al trattamento dei dati, il Regolamento specifica molto più in dettaglio rispetto al Codice le caratteristiche dell’informativa, che deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee (art. 58). L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (nel caso di servizi online – art. 12, par.1), anche se sono ammessi “altri mezzi”, quindi può essere fornita anche oralmente, ma nel rispetto delle caratteristiche di cui all’art. 12, par. 1).

I contenuti dell’informativa sono elencati in modo tassativo negli artt. 13, par.1), e 14, par.1), del Regolamento. In particolare, il titolare deve specificare i dati di contatto del RPD-DPO, ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti. Il regolamento prevede altresì, informazioni “necessarie per garantire un trattamento corretto e trasparente” ed in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo. Nel caso di dati personali non raccolti direttamente presso l’interessato (art. 14), l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta.

Per quanto riguarda il consenso:

  • Per i dati “sensibili” (art. 9) il consenso deve essere “esplicito”; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati;
  • Non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è la modalità idonea a configurare l’effettività del consenso e la sua forma “esplicita” (per i dati sensibili); inoltre, il titolare (art. 7.1) deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento.
  • Il consenso dei minori è valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.
  • Deve essere, in tutti i casi, libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito o presunto (id: caselle pre-spuntate su un modulo).

Da ultimo, oltre alla responsabilità civile per danni (chiunque subisca un danno materiale o immateriale causato da una violazione del Regolamento ha diritto di ottenere il risarcimento del danno dal Titolare del Trattamento o dal Responsabile del Trattamento) il Regolamento disciplina il sistema sanzionatorio amministrativo.

Le sanzioni previste sono davvero onerose anche se non è esclusa la possibilità di adeguarle ai casi concreti, sono distinte in 2 gruppi:

  • Violazioni di obblighi del Titolare e del Responsabile:

sanzioni amministrative pecuniarie fino a euro 10.000.000 o pari al 2% del fatturato globale se superiore.

  • Violazioni dei diritti degli interessati:

sanzioni amministrative pecuniarie fino a euro 20.000.000 o pari al 4% del fatturato globale se superiore.

A queste si aggiungono eventuali sanzioni amministrative non pecuniarie (id: blocco dati, pubblicazione di provvedimenti, etc.) e le sanzioni eventualmente di natura penale.

Ad maiora!!

                      Ordine Provinciale                                              Centro Studi

            Consulenti del Lavoro di Napoli                         “Raffaello Russo Spena”                                                     

             Il Presidente                                                  Il Coordinatore

F.to Dott. Edmondo Duraccio                         F.to Dott. Francesco Capaccio
             

 

                                              

(*) DOCUMENTO INTERNO RISERVATO ESCLUSIVAMENTE AGLI ISCRITTI ALL’ORDINE DEI CONSULENTI DEL LAVORO DI NAPOLI. E’ FATTO DIVIETO, PERTANTO, DI RIPRODUZIONE ANCHE PARZIALE. DIRITTI RISERVATI AGLI AUTORI

ED/FC/PDN

Condividi:

Modificato: 2 Agosto 2023