Quaderno del 29 marzo 2018
DOSSIER
Novità introdotte dal Regolamento
Novità introdotte dal Regolamento
Con riferimento ai diritti degli interessati, il Regolamento rafforza innanzitutto la disciplina del consenso introducendo una vera e propria definizione (2) ed alcuni elementi di attenzione per quanto concerne i dati sensibili e il consenso dei minori.
In linea generale il consenso deve essere: libero, specifico, informato e inequivocabile; non è ammesso il consenso tacito o presunto. Esso non deve essere reso necessariamente in forma scritta e può essere manifestato attraverso dichiarazione o azione positiva inequivocabile e concludente (es. la selezione di un’apposita casella di un sito web o una dichiarazione o qualsiasi altro comportamento che indichi chiaramente la volontà dell’interessato di accettare il trattamento proposto).
Per i dati "sensibili" il consenso deve essere "esplicito" (art. 9). Esso non deve essere necessariamente "documentato per iscritto", né è richiesta la "forma scritta", anche se questa è modalità idonea a configurare l'inequivocabilità del consenso e il suo essere "esplicito". Il titolare, inoltre, deve essere in grado di dimostrare che l'interessato ha prestato il consenso a uno specifico trattamento (art. 7, c. 1).
Il consenso dei minori è valido a partire dai 16 anni; prima di tale età il consenso deve essere prestato dal titolare della responsabilità genitoriale o da chi ne fa le veci (art. 8, c. 1).
Vengono ampliati (rispetto al Codice nazionale) i contenuti dell’informativa che deve essere fornita all'interessato, da parte del titolare o del responsabile del trattamento, a tutela dell’esercizio della protezione dei dati. I contenuti dell'informativa sono elencati in modo tassativo all’articolo 13 del Regolamento. In aggiunta agli elementi previsti dall’art. 13 del D.lgs. 196/2003, dovranno essere specificati: i dati di contatto del responsabile della protezione dei dati (RDP), la base giuridica del trattamento, il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, il diritto dell’interessato di ottenere la limitazione del trattamento, la portabilità dei dati e di presentare un reclamo all'autorità di controllo.
Il Regolamento specifica, inoltre, con un maggior grado di dettaglio rispetto al Codice in vigore, le caratteristiche dell'informativa, che deve essere concisa, trasparente, intelligibile per l'interessato e facilmente accessibile; si sottolinea inoltre la necessità di utilizzare un linguaggio chiaro e semplice, in particolare quando le informazioni sono destinate ai minori. L'informativa è fornita, in linea di principio, per iscritto e, se del caso, in formato elettronico (cfr. art. 12 e Considerando 58).
Viene ampliata la tutela degli interessati mediante l’introduzione del diritto alla cancellazione dei dati (diritto all’oblio) nei casi in cui: i dati personali non siano più necessari rispetto alle finalità per le quali sono stati raccolti e trattati, sia stato revocato il consenso o l’interessato si sia opposto al trattamento (art. 17).
Si prevede ancora la possibilità di ottenere, dal titolare, una limitazione del trattamento nelle ipotesi in cui l’interessato contesti l’esattezza dei dati o si sia opposto al trattamento (art. 18). Si tratta di un diritto diverso e più esteso rispetto al blocco del trattamento già previsto dal Codice, esercitabile non solo in caso di violazione dei presupposti di liceità del trattamento e quale alternativa alla cancellazione dei dati, bensì anche nelle more che sia riscontrata da parte del titolare una richiesta di rettifica dei dati o di opposizione al trattamento.
Alla stessa stregua viene conferito all’interessato il diritto alla portabilità dei dati, ossia il diritto di ricevere i propri dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico, qualora il trattamento si basi sul consenso e sia effettuato con mezzi automatizzati. Se tecnicamente fattibile, lo stesso ha (altresì) il diritto di ottenere la trasmissione diretta dei dati da un titolare ad un altro (art. 20).
Viene poi fissato un termine certo per la risposta all'interessato, in caso di esercizio del diritto di accesso o degli altri diritti di cui agli artt. da 16 a 22. In particolare il titolare del trattamento deve fornire le informazioni relative all’azione intrapresa entro 1 mese, estendibile fino a 3 mesi in casi di particolare complessità; il riscontro all'interessato deve essere comunque dato entro 1 mese dalla richiesta, anche in caso di diniego (art. 12, c. 3).
Il riscontro all'interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l'accessibilità; può essere dato oralmente solo se così richiede l'interessato stesso (art. 12, c. 1; art. 15, c. 3).
Con riferimento alle figure coinvolte nel trattamento dei dati (titolare, responsabile, incaricato) il Regolamento disciplina la contitolarità del trattamento (art. 26) e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti, con particolare riguardo all'esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente.
Fissa, poi, più dettagliatamente (rispetto all'art. 29 del Codice) le caratteristiche dell'atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti. Deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) che vincoli il responsabile al titolare del trattamento e che stipuli natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel Regolamento (art. 28).
Consente la nomina di sub-responsabili del trattamento da parte di un responsabile (art. 28, c. 4) per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest'ultimo risponde nei confronti del titolare dell'inadempimento dell'eventuale sub-responsabile, anche ai fini del risarcimento di potenziali danni causati dal trattamento, salvo dimostri che l'evento dannoso "non gli è in alcun modo imputabile" (art. 82, commi 1 e 3).
Prevede obblighi specifici in capo ai responsabili del trattamento, distinti da quelli che pertengono ai titolari, con particolare riguardo alla tenuta del registro dei trattamenti svolti; l'adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti; la designazione di un responsabile della protezione dei dati.
Pur non prevedendo espressamente la figura dell'"incaricato" del trattamento (ex art. 30 del Codice), il Regolamento non ne esclude la presenza in quanto fa riferimento a "persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile" (art. 4, c. 10).
Il Regolamento pone con forza l’accento sulla “accountability” del titolare e del responsabile del trattamento, conferendo loro una maggiore responsabilità che si configura come una sostanziale assunzione di rischio nell'adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione delle sue prescrizioni. Viene, in sostanza, affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel Regolamento (art. 24).
Il primo di questi riguarda l’introduzione delle misure di sicurezza e delle misure di tutela e garanzia dell’interessato nel trattamento dei suoi dati fin dalla progettazione degli strumenti utilizzati (privacy by design, art. 25, c. 1 e Considerando 78). Le misure strumentali allo scopo sono: la migliore applicazione del principio di minimizzazione dei dati personali oggetto del trattamento, tanto con riferimento alla quantità dei dati, tanto ai tempi di conservazione e ai livelli di accessibilità, tanto alle prefissate finalità; la pseudonimizzazione ovvero l’oscuramento (reversibile) dei dati identificativi del soggetto interessato; la definizione di dati personali e tempi strettamente necessari al trattamento, in relazione alle diverse finalità.
Il secondo criterio riguarda l’analisi del rischio inerente il trattamento. Allo scopo si introducono la metodologia della valutazione preventiva d’impatto e la gestione del rischio e delle correlate misure di sicurezza.
Il titolare del trattamento dovrà effettuare una valutazione d’impatto dei trattamenti previsti sulla protezione dei dati personali, quando il trattamento prevede l’utilizzo di nuove tecnologie e (considerati la natura, l’oggetto e la finalità) può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
La valutazione può esaminare un insieme di trattamenti simili, che presentano rischi elevati analoghi, ed è richiesta nei casi di: valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone; trattamento, su larga scala (3), di categorie particolari di dati personali (dati sensibili) o di dati relativi a condanne penali e a reati (art. 35, commi 1 e 3 e Considerando 75).
Tale valutazione deve contenere almeno: una descrizione sistematica dei trattamenti previsti, delle finalità e dell’eventuale ricorrenza di un interesse legittimo; la valutazione sulla necessità e proporzionalità dei trattamenti rispetto alle predefinite finalità; la valutazione dei rischi per i diritti e le libertà degli interessati; le misure tecniche e organizzative previste e ogni meccanismo utile per la tutela dei diritti dei soggetti interessati (art. 35, c. 7).
I potenziali impatti negativi sulle libertà e i diritti degli interessati dovranno essere analizzati tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi (Considerando 90).
All'esito di questa valutazione il titolare potrà decidere in autonomia se iniziare il trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero consultare l'autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale; l'autorità non avrà il compito di "autorizzare" il trattamento, bensì di indicare le misure ulteriori eventualmente da implementare a cura del titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell'art. 58: dall'ammonimento del titolare fino alla limitazione o al divieto di procedere al trattamento (art. 36).
All’autorità di controllo compete, altresì, la redazione e la pubblicazione di un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati. La stessa autorità può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non è richiesta la citata valutazione d’impatto (art. 35, c. 4).
Titolare e responsabile del trattamento sono tenuti, altresì, tanto alla valutazione dei rischi quanto all’adozione di misure tecniche ed organizzative, adeguate a garantire un elevato livello di sicurezza, che comprendono: la pseudonimizzazione, la cifratura, meccanismi per garantire riservatezza e integrità, ecc. (art. 32, c. 1).
Il titolare dovrà poi notificare all’autorità di controllo eventuali violazioni dei dati personali (art. 33).
Vengono inoltre istituiti i registri delle attività di trattamento da tenersi, in forma cartacea o anche in formato elettronico, a cura del titolare e del responsabile del trattamento con riferimento alle attività di trattamento svolte per conto del titolare (art. 30). Tali registri costituiscono uno strumento utile ai fini della valutazione e analisi del rischio nonché della supervisione da parte dell’autorità di controllo, alla quale dovranno essere esibiti su richiesta.
Il registro tenuto dal titolare del trattamento dovrà contenere: il nome e i dati di contatto del titolare del trattamento, e (ove applicabile) del contitolare del trattamento e del responsabile della protezione dei dati; le finalità del trattamento; una descrizione delle categorie di interessati e delle categorie di dati personali; le categorie di destinatari a cui i dati personali sono stati o saranno comunicati; (ove possibile) i termini ultimi previsti per la cancellazione delle diverse categorie di dati; (ove possibile) una descrizione generale delle misure di sicurezza tecniche e organizzative.
Il registro tenuto dal responsabile del trattamento dovrà invece comprendere: il nome e i dati di contatto del responsabile/dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale il responsabile agisce, il responsabile della protezione dei dati (ove applicabile); le categorie di trattamenti effettuati per conto di ogni titolare del trattamento; (ove possibile) una descrizione generale delle misure di sicurezza tecniche e organizzative.
Da ultimo, al titolare e al responsabile del trattamento si affianca il responsabile della protezione dei dati, una nuova figura altamente specializzata e aggiornata, a tutela di dati e privacy, obbligatoria per le pubbliche amministrazioni.
Ogni qualvolta il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (4), il titolare e il responsabile del trattamento devono infatti procedere alla designazione di un responsabile della protezione dei dati. Lo stesso è individuato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e della capacità di assolvere ai compiti di cui all’art. 39; può essere un dipendente del titolare o del responsabile del trattamento oppure un consulente esterno all’amministrazione che assolve i suoi compiti in base ad un contratto di servizi (art. 37, commi 1,5 e 6).
Qualora il titolare o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico è possibile nominare un unico responsabile della protezione per più autorità pubbliche o organismi pubblici, tenuto conto della loro dimensione e struttura organizzativa (art. 37, c. 3).
I dati di contatto del responsabile della protezione dei dati (RPD) devono essere pubblicati sul sito web dal titolare o dal responsabile del trattamento e comunicati all’Autorità di Controllo (art. 37, c. 7).
Il responsabile della protezione dei dati ha molteplici mansioni e, per questo, il Regolamento ha previsto che questo ruolo sia indipendente e abbia grande autonomia decisionale, dal momento che nessuno può fornirgli istruzioni in ordine all’esecuzione dei suoi compiti. D’altra parte egli non può svolgere altre mansioni o compiti in conflitto di interessi con quelle proprie del RDP ed è tenuto al segreto e alla riservatezza in ordine alle sue funzioni di responsabile della protezione (art. 38).
Andando ad analizzare nel dettaglio i compiti ad esso affidati, l’art. 39 individua un set minimo di funzioni che il RDP è chiamato a svolgere: informare e fornire consulenza al titolare o al responsabile del trattamento, nonché ai dipendenti che eseguono il trattamento, in merito agli obblighi derivanti dalla normativa europea e nazionale relativa alla protezione dei dati; sorvegliare l’osservanza delle disposizioni europee e nazionali in materia di privacy, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo; fornire (ove richiesto) un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento; cooperare con l’autorità di controllo e fungere da punto di contatto per questioni connesse al trattamento.
(2): L’art. 4, c. 11, definisce il “consenso dell’interessato”: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.
(3): Nel Regolamento non si dà alcuna definizione di trattamento su larga scala, anche se il Considerando 91 fornisce indicazioni in proposito ricomprendendovi, in particolare, “trattamenti su larga scala, che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato”.
(4): Nel Regolamento non si rinviene alcuna definizione di “autorità pubblica” o “organismo pubblico”. Il Gruppo di lavoro europeo per la protezione dei dati ritiene che tale definizione debba essere conforme al diritto nazionale; conseguentemente, sono autorità pubbliche o organismi pubblici le autorità nazionali, regionali e locali ma, a seconda del diritto nazionale applicabile, la nozione ricomprende anche tutta una serie di altri organismi di diritto pubblico (cfr. Linee guida sui responsabili della protezione dei dati adottate dal Gruppo Europeo per la protezione dei dati il 5 aprile 2017).