Il Nuovo regolamento Europeo (scarica il pdf)

Il Nuovo regolamento Europeo (scarica il pdf) è entrato in vigore il 24 Maggio 2016 ed è diventato applicabile in via diretta a partire dal 25 Maggio 2018. A questa data va garantito l’allineamento tra la normativa Nazionale e GDPR.
Il Nuovo regolamento Europeo è stato recepito in Italia con il DECRETO LEGISLATIVO 10 agosto 2018 , n. 101
IA chi si applica ? Ai tutti i soggetti facenti che trattino dati o che offrano beni e servizi a soggetti stabiliti nel territorio Europeo
Informativa: L’informativa può essere fornita preferibilmente in formato elettronico oppure in forma scritta. (Art. 12) Nell’ambito digitale può essere richiamata mediante l’utilizzo di ICONE. Le icone utilizzate saranno le stesse per tutto il territorio Europeo e possono essere utilizzate solo come rimando alla normativa completa ( art 12, paragrafo 7). Tali ICONE saranno create e comunicate direttamente dalla Commissione Europea.
( www.gdpr-forum.it/blog/icone-utili-per-le-informativegdpr )
I contenuti dell’informativa sono elencati in modo preciso e vanno seguiti scrupolosamente nell’articolo 13 paragrafo 1 e nell’articolo 14 paragrafo 1 del regolamento.
Il TITOLARE DEVE:
- specificare sempre i dati di contatto del DPO – RPD se nominato.
- la base giuridica del Trattamento e il suo interesse legittimo;
- deve informare i soggetti coinvolti se i dati saranno trasferiti fuori dall’unione europea e, in questo caso, anche attraverso quali canali avverrà questa operazione.
- il soggetto deve essere informato circa il suo diritto alla revoca del consenso all’utilizzo dei dati ai fini di trattamenti specifici (e non necessari alla conclusione del contratto o del fine principale) quali ad esempio, marketing, profilazione e pubblicità.
- specificare il tempo di conservazione dei dati raccolti ed i criteri stabiliti per la scelta di tale tempistica;
- palesare il diritto dell’interessato alla presentazione di un reclamo;
- Informare delle procedure di raccolta e automatizzazione dell’analisi dei dati ai fini della profilazione di un soggetto. In questo caso deve palesare anche la logica di tale operazione.
L’informativa deve essere sempre CHIARA, DISPONIBILE e facilmente accessibile dagli interessati.
Esistono due tipi di informativa:
DIRETTA: quando il soggetto ne prende visione prima della raccolta dei dati (art. 13)
INDIRETTA: quando le informazioni sul soggetto sono raccolte da altro titolare del Trattamento ( art 14)
TEMPI DELL’INFORMATIVA:
Quando i dati non sono stati raccolti con un contatto diretto con l’interessato (art. 14 del regolamento), l’informativa deve essere fornita al più presto e cmq entro e non oltre 1 mese dalla raccolta, diversamente al momento della raccolta dei dati e prima di qualsiasi altro trattamento.
SOGGETTI PRIVACY:
Contitolarità del trattamento (art. 26) l’attuale regolamento chiede ai titolari del trattamento di specificare, con un atto giuridicamente valido, l’ambito di responsabilità ed i relativi compiti quando sono presenti più soggetti che determinano finalità modalità di trattamento dei dati raccolti.
Responsabile del trattamento (art. 28) Il Regolamento propone le caratteristiche dell’atto con il quale il Titolare nomina un Responsabile del trattamento indicandone i relativi compiti assegnati. Questo avviene mediante la redazione di un contratto che deve disciplinare necessariamente le materie riportate al paragrafo 3 dell’art. 28. Questo contratto ha il fine di dimostrare le finalità del trattamento, la natura e la durata e la categoria relativa.
Obblighi del Responsabile. Il responsabile del trattamento ha obblighi specifici: la tenuta del registro dei trattamenti svolti (art. 30, comma 2); l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (art. 32); la designazione di un Data Protection Officer (art. 37);
Sub-responsabili del trattamento tale figura puo’ essere nominata da un responsabile ( art.28, paragrafo 4). E’ necessario specificare le attività di trattamento nel rispetto degli obblighi contrattuali per specifiche attività di trattamento. Questa figura risponde dinanzi al Titolare degli inadempimenti del sub- responsabile nominato, anche ai fini di un risarcimento per eventuali danni causati al trattamento.
Incaricato del trattamento (ex art. 30 Codice), Il regolamento fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” (si veda, in particolare, art. 4, n. 10, del regolamento); Si tratta dei soggetti formati e istruiti a cura del titolare del trattamento che eseguono i compiti assegnati da quest’ultimo sotto la sua esclusiva supervisione e controllo
IL RESPONSABILE DELA PROTEZIONE DEI DATI PERSONALI:
Il Regolamento Europeo prevede la nomina di una nuova figura professionale molto importante, la figura del responsabile della protezione dei dati (RPD o DPO).
Chi deve nominare il RPD?
Chi ha l’obbligo di nominare il RPD:
- autorità pubblica oppure organismo pubblico;
- se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico dei dati degli interessati su larga scala;
- se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Cosa significa “attività principali”?Le “attività principali” vengono intese come l’insieme delle operazioni essenziali al raggiungimento di obiettivi del titolare o del responsabile. Per esempio, il trattamento di dati relativi alla salute (come le cartelle sanitarie dei pazienti) è da ritenersi una delle attività principali di qualsiasi ospedale.
Compiti del RPD?Tenere informato il Titolare del Trattamento e fornire la consulenza necessaria
a) informare e fornire consulenza continua al titolare del trattamento o al responsabile del trattamento nonché agli incaricati e responsabili che eseguono qualsiasi trattamento in merito agli obblighi derivanti dalla normativa sulla protezione dei dati;
b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
d) cooperare con l’autorità di controllo;
e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.”
E’ ammessa la designazione congiunta di uno stesso RPD da parte di più soggetti?E’ possibile a un gruppo imprenditoriale di nominare un unico RPD a condizione che quest’ultimo sia “facilmente raggiungibile da ciascuno stabilimento”.
Come garantire l’indipendenza del RPD?
Le linee guida rispetto all’indipendenza del RPD sono diverse, come indicato all’art. 97 del regolamento:
- non deve ricevere alcuna direttiva in merito alle proprie attività di controllo da parte del Titolare del Trattamento;
- non è possibile applicare penalizzazioni o rimozione dell’incarico in merito ai compiti svolti;
- non deve esserci alcun conflitto di interessi con altre funzioni assunte.
Il Regolamento e le autorità Garante incoraggiano la nomina di un DPO a tutela degli interessati e dello stesso titolare che potrebbe non avere gli strumenti tecnici e normativi per agire a norma di legge.
AUTORITA’ CAPOFILA
I meccanismi amministrativi per la protezione dei dati nell’UE sono fissati nei Capi VI e VII del regolamento 2016/679. Il Capo VI, in particolare, prevede la costituzione di un’”autorità di controllo” in ciascuno Stato membro. Compiti e poteri sono stabiliti ed uguali in tutti gli Stati membri (art. 57 e 58) in tutti i Paesi Ue e introduce (art. 56) la nozione di “autorità di controllo capofila”.
La cooperazione fra l’autorità capofila e le altre autorità, ma anche fra le autorità di controllo in generale, è disciplinata nel Capo VII del regolamento, che ha per oggetto appunto “Cooperazione e coerenza”.
L’autorità capofila ha facoltà di respingere le obiezioni formulate dalle autorità interessate e consultare il Comitato europeo per la protezione dei dati ( BOARD) che prende decisioni attenendosi all’art. 65, su obbiezione “pertinente e motivata” – qualunque ne sia l’oggetto. La decisione del Comitato è vincolante per l’autorità capofila e le autorità interessate.
Le Linee-guida del WP29 sulla “autorità di controllo capofila” intendono mettere in evidenza i criteri utilizzati dal titolare del trattamento per individuare la propria autorità di controllo di riferimento.
PORTABILITA’ DEI DATI
- Che cos’è il diritto alla portabilità dei dati?
Si tratta di un nuovo diritto dell’interessato, stabilito dal Regolamento Europeo n. 679/2016, art. 20, che consente di ricevere i dati personali da una società, ente o persona, titolare del trattamento e di trasmetterli a un diverso titolare.
- Vantaggi?
Agevolare il passaggio da un fornitore all’altro, anche se l’obiettivo finale resta quello di aumentare il controllo degli interessati sui propri dati personali.
- A quale tipologia di dati si può applicare ?
La portabilità dei dati riguarda solo i dati effettuato con mezzi “automatizzati” in un formato universalmente riconosciuto. Non è da considerarsi valida la portabilità di archivi cartacei.
- Quali sono i dati personali “portabili”?
Ai sensi dell’art. 20, paragrafo 1, sono portabili i dati personali che riguardano l’interessato, e sono stati forniti dall’interessato a un titolare.
- Quando si può chiedere la portabilità del dato?
Il diritto alla portabilità dei dati può essere attivato quando si presentano tre condizioni: i dati devono riguardare l’interessato, devono essere stati forniti dall’interessato, e, non si leda il diritti altrui. (art 20 paragrafo 4). Altri casi nei quali è consentita la portabilità del dato sono quelli dove si riceve in maniera preventiva il consenso, e perché tali trattamenti sono utili al fine di rispettare un contratto del quale l’interessato fa parte.
- Cosa si intende per dati “forniti” dall’interessato?
L’espressione “forniti da” indica i dati personali relativi ad attività compiute dall’interessato o derivanti dall’osservazione del comportamento , che non preveda un analisi di tale comportamento. Tutti i dati che derivano da un analisi del comportamento, come ad esempio personalizzazioni o profilazione di un soggetto, sono da considersi non compresi nell’ambito del diritto alla portabilità.
- Se si chiede la portabilità dei dati, il Titolare deve cancellarli dai suoi sistemi?
La cancellazione automatica non è prevista nel caso di portabilità dei dati.
- Quando non si applica la portabilità del dato?
Il diritto alla portabilità dei dati non deve essere applicato in caso di trattamento necessario per l’esecuzione di un compito di interesse pubblico e non dovrebbe essere esercitato per i trattamenti effettuati nell’esercizio di funzioni pubbliche o pubblici poteri. Inoltre, il suo esercizio non deve ledere i diritti e le libertà altrui.
- In ambito sanitario?
I dati raccolti tramite monitoraggio o registrazione delle attività di un soggetto ( dati raccolti durante un esame clinico, ad esempio battito cardiaco ) dovrebbero essere considerati come “fornito da”, anche se i dati sono attivamente o consapevolmente trasmessi. Ad esempio, il portatore di un pacemaker, il paziente sottoposto ad un monitoraggio continuo della glicemia hanno il diritto di richiedere copia dei dati raccolti durante gli esami. La struttura sanitaria di competenza è tenuta a fornire tali dati in un formato “strutturato” di uso comune e leggibile da un dispositivo automatico.
- Informativa Privacy
Il diritto alla portabilità del dato deve essere riportato nell’informativa privacy art. 13 co. 2, in modo che l’interessato ne sia a conoscenza. Il titolare deve rispodere entro un mese dalla richiesta del diritto all aportabilità e fornire quanto richiesto senza prurre un ingiustificato ritardo.
DIRITTO DI ACCESSO:
L’interessato ha il diritto di ottenere la conferma da parte del titolare del trattamento che sia in corso un trattamento dei propri dati. Nel caso in cui fosse richiesto il titolare deve sempre consentire l’accesso ai dati personali.(art. 15).
Si rafforza così il diritto di accesso, diritto fondamentale per un soggetto per mantenere il controllo dei propri dati.
Quando si presenta una richiesta di accesso, e vi sia un effettivo trattamento di dati personali, il Titolare deve fornire copia dei dati oggetto del trattamento che riguardano il soggetto.
Nessun costo?
Il diritto di accesso deve essere a titolo gratuito. Differente è se si chiedono più copie dei dati, in questo caso sarà possibile applicare un contributo ragionevole per i costi amministrativi.
- Come vengono forniti i dati richiesti?
Il Regolamento stabilisce che venga utilizzato un invio elettronico.
- Quanto tempo per rispondere?
Il titolare è tenuto a rispondere entro un mese dalla richiesta, solo in casi complessi il termine può essere al massimo di tre.
- Si possono trasferire dati fuori dall’unione europea? (paese terzo)
I dati possono essere trasferiti ad un paese terzo, l’interessato deve esserne informato e conoscere l’esistenza di garanzie durante il trasferimento.
DATA BREACH
E’ il diritto dell’interessato di essere informato nel caso in cui ci fosse una violazione dei propri dati personali.
In questi casi, il Titolare dovrà comunicare all’Autorità Nazionaletale violazione entro 72 ore dal momento in cui ne viene a conoscenza.
Quando la violazione dei dati rappresenti una minaccia ai diritti e alla libertà dei soggetti coinvolti, questi ultimi devono essere informati in modo chiaro semplice ed immediato.
La comunicazione non è richiesta se:
- Sono state previste misure di protezione dei dati, ad esempio codici cifrati;
- Se la comunicazione richiedesse uno sforzo sproporzionato, ad esempio un elevato numero di persone coinvolte. In questo caso sopraggiunge la necessità di una comunicazione pubblica attraverso i media.
L’Autorità ha facoltà di imporre al Titolare di informare i soggetti coinvolti nella violazione.
Il registro dei trattamenti
Tutti i titolari e i responsabili di trattamento, di organismi con almeno 250 dipendenti, devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all’art. 30
Il Regolamento esclude dall’obbligo gli organismi che hanno meno di 250 dipendenti, esclusivamente se non effettuano trattamenti che presentino un rischio alla violazione dei diritti e della libertà. (art.10 e art. 30, paragrafo 5)
Questo strumento ha la finalità di avere a disposizione un quadro aggiornato dei trattamenti in essere in un’azienda, ai fini della stessa organizzazione e della valutazione dei rischi.
Il registro dei trattamenti deve essere mantenuto. in forma elettronica e cartacea, e messo a disposizione dell’autorità, se richiesto.
Il Garante invita comunque tutti i titolari a prescindere dalla dimensione ad un’attenta analisi dei trattamenti e a dotarsi di un registro dettagliato che li riporti.
Quali sono i dati contenuti nel registro dei trattamenti (art. 30, paragrafo 1):
- nome e dati di contatto del titolare del trattamento e del responsabile della protezione dei dati;
- le finalità del trattamento;
- descrizione delle categorie degli interessati e delle categorie dei dati trattati;
- categorie e dati dei soggetti ai quali questi dati verranno comunicati ai fini della gestione di un contratto
- quando effettuato, andranno comunicati anche i dati dei Paesi terzi nel caso ci fosse un trasferimento all’estero articolo 49
- se possibile, vanno ondicati i termini per la cancellazione dei dati raccolti per le varie categorie.
- se possibile inserire una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
Valutazione d’impatto
L’articolo 35 del Regolamento UE/2016/679 (RGDP) mira a descrivere un trattamento di dati per valutarne la necessità e la proporzionalità nonché i relativi rischi, questo per consentire di adottare idonee misure per contenere i rischi. Una DPIA può riguardare un singolo trattamento oppure più trattamenti Tale responsabilità è del Titolare, anche se la valutazione può essere affidata ad un soggetto terzo.
Il titolare monitora lo svolgimento delle attività mediante una costante consultazione con il DPO (Data Protection Officer) e cosnultando i responsabili di settore, quando necessario.
La valutazione dell’impatto è obbligatoria? Quando un trattamento presenta un rischio elevato per i diritti e la libertà di un persona fisica bisogna applicare i seguenti nove criteri per la valutazione del rischio:
- Se si trattano dati ai fini della profilazione:
- Se sussitono processi automatizzati che producono effetti giuridici:
- Monitoraggio sistematico (es: videosorveglianza)
- Se si trattano informazioni di carattere personale (es: informazioni sulle opinioni politiche
- Trattamenti di dati personali su larga scala
- Se i dati vengono combinati, analizzati e confrontati:
- Dati relativi a interessati vulnerabili (minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani, ecc.)
- Se si utilizzazno nuove tecnologie (es: riconoscimento facciale, ecc.)
- Tutti quei trattamenti che, di per sé, “impediscono agli interessati di esercitare un diritto, ad esempio se i dati sono raccolti da una banca dati ai fini della concessione di un mutuo.
Si può affermare che quando un trattamento riguarda almeno due criteri di quelli elencati sia necessaria una DPIA.
Diritti degli interessati
Ogni persona può tutelare i propri dati personali, in primo luogo, esercitando i diritti previsti dagli articoli da 15 a 22 del Regolamento (UE) 2016/679.
Come si esercita questo diritto?
Presentando una richiesta al titolare, senza formalità, ad esempio tramite raccomandata o via mail.
All’istanza il titolare, deve fornire idoneo riscontro.
I termini per fornire riscontro sono mutati in base al Regolamento (UE) 2016/679, pertanto a partire dal 25 maggio 2018, il riscontro deve essere fornito:
– non oltre un mese;
– il termine può essere prorogato nel caso in cui la richiesta sia complessa e comunque non deve superare i tre mesi.