CIRCOLARE INFORMATIVA ADEMPIMENTI GENERALI

REGOLAMENTO EUROPEO 2016/679

INTRODUZIONE

Il 25 maggio 2018 è diventato pienamente attuativo il Regolamento europeo in materia di protezione dei dati personali 2016/679 (GDPR – General Data Protection Regulation) e la Direttiva 680 che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini recepita in Italia con il Decreto Legislativo 18 Maggio 2018 n. 51. In Italia, per ciò che riguarda la normativa privacy previgente, il Decreto Legislativo n. 196/03, è tutt’ora vigente sebbene sia stato integrato dal D.Lgs n. 101/2018 che lo ha allineato alla nuova normativa europea.

Il Regolamento Europeo 2016/679 porta un’unica normativa in materia di trattamento dati in tutti i paesi della UE superando quella che di fatto era una frammentazione che vedeva 28 differenti leggi nazionali con diverse concezioni di come definire la protezione dei dati personali. Un altro aspetto estremamente importante riguarda l’ambito territoriale di applicabilità del Regolamento indicato dall’articolo 3, paragrafo 2, che tutti i soggetti economici che intendono offrire servizi, anche gratuiti, a “Interessati” che si trovano all’interno dei confini dell’Unione Europea devono rispettare le prescrizioni del Regolamento indipendentemente da dove ha sede l’Organizzazione o dove si trovano gli apparati con i quali i trattamenti vengono effettuati.

DIRITTI DELL’INTERESSATO (ARTICOLI DA 15 AL 23 – REGOLAMENTO EUROPEO 2016/679) 

Tra i diritti che il Regolamento riconosce ai soggetti interessati al trattamento dati si elencano:

– Diritto di accesso: ovvero il diritto di ottenere dal Titolare del trattamento l’accesso ai propri dati personali, in particolare le finalità, le categorie, i destinatari, il periodo di conservazione dei dati e i criteri utilizzati per determinare tale periodo;

– Connesso al diritto di accesso: i diritti alla cancellazione, alla limitazione, e la rettifica;

– Diritto alla portabilità dei dati: l’interessato ha il diritto di ricevere in un formato strutturato i dati personali che lo riguardano forniti a un Titolare del trattamento e ha inoltre il diritto di trasmettere tali dati ad un altro Titolare del trattamento senza impedimenti da parte del Titolare cui li ha forniti;

– Diritto di opposizione: l’interessato ha il diritto di opporsi al trattamento dei dati da parte di un Titolare del trattamento compresa la profilazione;

– Diritto all’oblio, ovvero la possibilità per l’interessato di decidere che siano cancellati e non sottoposti ulteriormente a trattamento se non più necessari per le finalità per le quali sono stati raccolti, nel caso di revoca del consenso o quando si sia opposto al trattamento nonché quando il trattamento non risulta conforme al Regolamento;

– Diritto alla portabilità dei dati: il Titolare ha l’obbligo di dar corso alla richiesta dell’interessato di trasferire i dati personali da un Titolare del trattamento ad un altro da lui indicato, senza alcun impedimento da parte del Titolare al quale sono stati forniti in precedenza i dati. I Titolari del trattamento, per rendere effettivo il diritto alla portabilità, dovranno informare gli interessati dell’esistenza di tale nuovo diritto ed adempiere ai propri doveri senza ingiustificato ritardo (in ogni caso, Vi rientra ogni forma di tracciamento e profilazione su Internet anche per finalità di pubblicità comportamentale. Sono ricompresi i trattamenti che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato, entro un mese dal momento in cui è pervenuta loro la richiesta), avendo sempre l’obbligo di rispondere alle richieste fatte.

GARANZIE PER IL TRASFERIMENTO DEI DATI PERSONALI AL DI FUORI DELL’UE

(ARTICOLI 44 – 45 E 46 – REGOLAMENTO EUROPEO 2016/679)

Il trasferimento di dati personali è vietato verso Paesi situati al di fuori dell’UE o verso organizzazioni internazionali che non rispondano agli standard di adeguatezza in materia di tutela dei dati, rispetto ai quali il Regolamento introduce criteri di valutazione più stringenti. I Titolari che vogliono trasferire i dati personali in un Paese extra-UE, potranno utilizzare specifiche garanzie contrattuali secondo norme dettagliate e vincolanti.

PRINCIPI DEL REGOLAMENTO (ARTICOLI 5 E 6 – REGOLAMENTO EUROPEO 2016/679)

Il Regolamento ha introdotto nuovi principi, in particolare quello di “Accountability” e “Privacy by design and by default”. Il primo principio, previsto all’articolo 24 del Regolamento 2016/679) intende responsabilizzare il Titolare nel trattamento dei dati personali. Si pone, infatti, a carico del Titolare la osservanza delle misure di sicurezza, le quali non sono stabilite a priori ma da determinare tramite una “Valutazione dei rischi”. Tale valutazione vuole andare a definire dunque i rischi e le misure da adottare al fine di conseguire la sicurezza dei dati trattati e il rispetto dei diritti e delle libertà dell’interessato.

Il secondo principio, “Privacy by design” previsto dall’articolo 25 del Regolamento, intende indirizzare l’attenzione del Titolare sin dalle fasi iniziali di progettazione di un prodotto/servizio/applicativo destinato a trattare dati personali. Una tale scelta consente di applicare fin da subito soluzioni e misure di protezione in grado di garantire adeguati livelli di tutela ai dati trattati adottando, ad esempio, forme di offuscamento di una parte di dati, pseudoanonimizzazione, o altre idonee misure di protezione. Sempre al fine di creare le condizione di minimizzazione dei rischi l’applicazione di modelli di “privacy by default” farà in modo che la raccolta, l’utilizzo, ma anche la conservazione dei dati personali sarà impostata nel rispetto del principio di necessità evitando, quindi, di raccogliere dati personali che non hanno utilità rispetto alle finalità perseguite e che costituirebbero solo un inutile aggravamento dei rischi e soprattutto di conservarli anche quando non ve ne sarebbe la necessità.

SICUREZZA DEL TRATTAMENTO (ARTICOLO 32 DEL REGOLAMENTO EUROPEO 2016/679)

Allo scopo di mantenere la sicurezza e prevenire trattamenti in violazione al Regolamento, il Titolare e il Responsabile devono porre in essere misure tecniche ed organizzative tali da “garantire un livello di sicurezza adeguato al rischio” del trattamento (art. 32, paragrafo 1). Dal 25 maggio 2018 poiché non sussistono gli obblighi generalizzati di adozione di misure “minime” di sicurezza (ex art. 33 D.Lgs n. 196/03) la valutazione delle misure da adottare saranno rimesse, caso per caso, al Titolare e al Responsabile in rapporto ai rischi specificamente individuati come da art. 32. Si richiama l’attenzione anche sulla possibilità di utilizzare l’adesione a specifici codici di condotta o a schemi di certificazione per attestare l’adeguatezza delle misure di sicurezza adottate.

NOTIFICA DELLE VIOLAZIONI (ARTICOLI 33 E 34 REGOLAMENTO EUROPEO 2016/679)

Una novità estremamente importante è l’introduzione dell’obbligo di notifica delle “violazioni” (data breach) che l’art. 33 del Regolamento UE/2016/679 (RGPD) estende a tutti i Titolari In estrema sintesi, ogniqualvolta che si verifica una violazione di dati personali il Titolare deve notificare all’Autorità di controllo (Garante per la protezione dei dati personali) competente l’accadimento entro 72 ore dal momento nel quale l’evento si è verificato o è stato rilevato.

REGISTRO DEI TRATTAMENTI (ARTICOLO 30 REGOLAMENTO EUROPEO 2016/679)

Un’altra attività del trattamento è data dall’introduzione dell’obbligo da parte del Titolare o Responsabile del trattamento di redigere, quando previsto dallo stesso Regolamento, il Registro delle attività di trattamento. I dati da indicare all’interno nel registro sono normati dall’Art. 30 del Regolamento UE/2016/679 (RGPD). In particolare è previsto l’inserimento «del nome e dei dati di contatti del Titolare del trattamento, e ove applicabile, del con Titolare del trattamento, del rappresentante del Titolare del trattamento e del Responsabile della protezione dei dati; le finalità del trattamento, una descrizione delle categorie di interessati e delle categorie di dati personali; le categorie di destinatari […] i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale […] la documentazione delle garanzie adeguate [..] i termini ultimi previsti per la cancellazione delle diverse categorie […] una descrizione generale delle misure di sicurezza tecniche e organizzative».

DATA PROTECTION IMPACT ASSESTEMENT DPIA (ARTICOLI 35 E 36 REGOLAMENTO EUROPEO 2016/679)

La compilazione del registro dei trattamenti ha anche l’obiettivo di permettere al Titolare di condurre un’analisi sulle caratteristiche dei trattamenti effettuati e delle misure di sicurezza adottate in modo da poter effettuare una valutazione circa l’opportunità o necessità di procedere ad una DPIA. La valutazione d’impatto è normata dall’articolo 35 del Regolamento UE/2016/679 (RGPD). In particolare vengono descritti i casi in cui la DPIA è prevista: per trattamenti afferenti l’installazione di impianti di videosorveglianza, valutativi di scoring, compresa la profilazione; monitoraggio sistematico; trattamento di dati sensibili, giudiziari o di natura estremamente personale; trattamenti personali su larga scala; combinazione o raffronto di insieme di dati, derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal consenso iniziale; dati relativi a soggetti vulnerabili; utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative; trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto. Da questi si evince come la DPIA è uno strumento importante in termini di accountability, in quanto si propone come procedura che permette di valutare e dimostrare la conformità con le norme in materia di protezione dei dati personali

RESPONSABILE DELLA PROTEZIONE DEI DATI (ARTICOLI 37-38-39 DEL REGOLAMENTO EUROPEO 2016/679)

La figura più innovativa risulta essere il Responsabile della protezione dei dati o DPO nell’accezione inglese. I compiti previsti del DPO sono: fornire pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti; fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti; fungere da punto di contatto ulteriore per DPIA, oppure, consultarla di propria iniziativa su aspetti attenenti ai trattamenti svolti da l Titolare e/o dal responsabile.

CODICI DI CONDOTTA E CERTIFICAZIONI (ARTICOLI 40-43 REGOLAMENTO EUROPEO 2016/679)

Visto il cambio di paradigma che vede il Titolare dover dimostrare di aver adottato le “misure idonee” a proteggere i dati personali dai rischi il Regolamento pone una grande attenzione al tema dei Codici di Condotta e delle Certificazioni dedicandovi gli articoli dal 40 al 43. In particolare fermo restando che sia i Codici di condotta che le Certificazioni rientrano nel potere di autodeterminazione del Titolare la loro adozione persegue l’obiettivo di fornire una chiara evidenza dell’attenzione posta nell’affrontare in modo strutturato e sistematico, sulla base di parametri oggettivi definiti da Enti terzi, il trattamento dei dati personali e tutti gli aspetti connessi con particolare riferimento alle questioni di sicurezza quali i rischi connessi, la probabilità e la gravita degli accadimenti, l’individuazione e l’applicazione delle migliori prassi disponibili: il tutto allo scopo di poter fornire chiara e documentata evidenza che il Titolare del trattamento rispetti gli obblighi e le prescrizioni previste dal Regolamento.

TRASPARENZA DEL TRATTAMENTO: L’INFORMATIVA AGLI INTERESSATI

Fatte salve alcune eccezioni, chi intende effettuare un trattamento di dati personali deve fornire all’interessato alcune informazioni anche per  metterlo nelle condizioni di esercitare i propri diritti (articoli 15-22 del Regolamento medesimo). L’informativa (disciplinata nello specifico dagli artt. 13 e 14 del Regolamento) deve essere fornita all’interessato prima di effettuare il trattamento, quindi prima della raccolta dei dati (se raccolti direttamente presso l’interessato: articolo 13 del Regolamento). Nel caso di dati personali non raccolti direttamente presso l’interessato (articolo 14 del Regolamento), l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato. I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del Regolamento. In particolare, il titolare deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati – Data Protection Officer), ove designato, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.). In tutti i casi, il titolare deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati. Il Regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo. Per maggiori dettagli ed esempi di redazione di informative,  il documento del WP29 in materia di “Trasparenza” del trattamento, qui disponibile: www.garanteprivacy.it/regolamentoue/trasparenza

INSTALLAZIONE ED UTILIZZO IMPIANTI DI VIDEOSORVEGLIANZA

In caso di installazione ed utilizzo di impianti di videosorveglianza da parte di Titolari del trattamento (società – ditte individuali – associazioni ecc) così come previsto dal Regolamento Europeo 2016/679, dal Decreto Legislativo n. 196/03, così come integrato dal D.Lgs n. 101/2018, dalla Legge n. 300 del 1970 “Statuto dei lavoratori” nonché dalla normativa di settore quali provvedimenti dell’Autorità Garante per la protezione dei dati personali e  Linee Guida Approvate dall’European Data Protection Board (EDPB), è necessario adempiere a:

• Accordo con le rappresentanze sindacali (in presenza di dipendenti nei luoghi oggetto delle riprese) o in difetto di accordo o se non presenti richiedere l’istanza autorizzativa all’Ispettorato del Lavoro competente per Territorio;
• Informative per dipendenti/collaboratori/clienti/fornitori relative all’utilizzo del sistema di Videosorveglianza (Art. 13 UE 2016/679);
• Nomina per il Responsabile del trattamento designato per l’installazione e la manutenzione del sistema di Videosorveglianza (Art. 28 del UE 2016/679);
• Nomina per i soggetti autorizzati al trattamento dati relativi all’utilizzo del sistema di Videosorveglianza (Art. 29 UE 2016/679);
• Cartelli per segnalazione presenza telecamere (informativa breve) al fine di segnalare la presenza del sistema di Videosorveglianza;
• Integrazione Registro delle attività del trattamento (Art. 30 Reg. UE 2016/679);
• Regolamento Videosorveglianza e Registro interventi;
• Valutazione d’impatto (Art. 35 Reg. UE 2016/679).

IMPIANTO SANZIONATORIO (ARTICOLI 83 E 84 DEL REGOLAMENTO EUROPEO 2016/679)

Le sanzioni previste dal Regolamento si possono suddividere in due fasce:

– Fascia 1: fino a 10 000 000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente. Si rientra nella prima fascia di sanzioni, per esempio, quando non vengono poste in essere adeguate misure di sicurezza sui dati.

– Fascia 2: fino a 20 000 000, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (ad esempio si rientra nella seconda fascia di sanzioni quando non vengono soddisfatti i diritti del soggetto interessato).

Resta immutata la responsabilità civile – Art. 82, – che prevede che “Chiunque subisca un danno materiale o immateriale causato da una violazione del Regolamento ha il diritto di ottenere il risarcimento del danno dal Titolare o dal Responsabile del trattamento Un Titolare del trattamento risponde per il danno cagionato dal suo trattamento che violi il Regolamento”