Fondamenti di liceità del trattamento - Consenso
• Per i dati "sensibili" il consenso deve essere "esplicito"; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati.
• Non deve essere necessariamente "documentato per iscritto", né è richiesta la "forma scritta", anche se questa è modalità idonea a configurare l'inequivocabilità del consenso e il suo essere "esplicito" (per i dati sensibili); inoltre, il titolare deve essere in grado di dimostrare che l'interessato ha prestato il consenso a uno specifico trattamento.
• Il consenso dei minori è valido a partire dai 16 anni (il limite di età può essere abbassato fino a 13 anni dalla normativa nazionale); prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.
• Deve essere, in tutti i casi, libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo).
• Deve essere manifestato attraverso "dichiarazione o azione positiva inequivocabile" [1]
Contenuti dell'informativa
• I contenuti dell'informativa sono elencati in modo tassativo. In particolare, il titolare deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati - Data Protection Officer), ove esistente, la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi;
• Il regolamento prevede anche ulteriori informazioni in quanto "necessarie per garantire un trattamento corretto e trasparente": in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all'autorità di controllo.
• Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l'informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l'interessato
Tempi dell'informativa
• Nel caso di dati personali non raccolti direttamente presso l'interessato, l'informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all'interessato)
Modalità dell'informativa
• Il regolamento specifica molto più in dettaglio rispetto al Codice le caratteristiche dell'informativa, che deve avere forma concisa, trasparente, intelligibile per l'interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee
• L'informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online), anche se sono ammessi "altri mezzi", quindi può essere fornita anche oralmente, ma nel rispetto delle caratteristiche di cui sopra. Il regolamento ammette, soprattutto, l'utilizzo di icone per presentare i contenuti dell'informativa in forma sintetica, ma solo "in combinazione" con l'informativa estesa; queste icone dovranno essere identiche in tutta l'Ue e saranno definite prossimamente dalla Commissione europea.
• Sono inoltre parzialmente diversi i requisiti che il regolamento fissa per l'esonero dall'informativa, anche se occorre sottolineare che spetta al titolare.
• L'informativa deve essere fornita all'interessato prima di effettuare la raccolta dei dati (se raccolti direttamente presso l'interessato. Se i dati non sono raccolti direttamente presso l'interessato, l'informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento. In tutti i casi, il titolare deve specificare la propria identità e quella dell'eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati.[2]
Diritti degli interessati
• Il termine per la risposta all'interessato è, per tutti i diritti (compreso il diritto di accesso), 1 mese, estendibile fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all'interessato entro 1 mese dalla richiesta, anche in caso di diniego.
• Spetta al titolare valutare la complessità del riscontro all'interessato e stabilire l'ammontare dell'eventuale contributo da chiedere all'interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive (anche ripetitive), ovvero se sono chieste più "copie" dei dati personali nel caso del diritto di accesso; in quest'ultimo caso il titolare deve tenere conto dei costi amministrativi sostenuti. Il riscontro all'interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l'accessibilità; può essere dato oralmente solo se così richiede l'interessato stesso.
• La risposta fornita all'interessato non deve essere solo "intelligibile", ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.[3]
- Diritto di accesso
• Il diritto di accesso prevede in ogni caso il diritto di ricevere una copia dei dati personali oggetto di trattamento.
• Fra le informazioni che il titolare deve fornire non rientrano le "modalità" del trattamento, mentre occorre indicare il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi.
- Diritto all'oblio
· Il diritto all'oblio si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata. Si prevede infatti, l'obbligo per i titolari di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati.· Ha un campo di applicazione più esteso, rispetto il precedente Codice, poiché l'interessato ha diritto di chieder la cancellazione die propri dati anche dopo la revoca del consenso al trattamento.
Diritto di limitazione del trattamento
• Il "nuovo diritto" è più esteso ed è esercitabile non solo in caso di violazione dei presupposti di liceità del trattamento, bensì anche se l'interessato chiede la rettifica dei dati o si oppone al loro trattamento. Il diritto alla limitazione prevede che il dato personale sia "contrassegnato" in attesa di determinazioni ulteriori.
- Diritto alla portabilità dei dati
• Si tratta di uno dei nuovi diritti previsti dal regolamento: si applica solo ai trattamenti automatizzati e solo se i dati sono trattati con il consenso dell'interessato o sulla base di un contratto stipulato con l'interessato.• Inoltre, il titolare deve essere in grado di trasferire direttamente i dati portabili ad un altro titolare se ciò è tecnicamente possibile.
Titolare, responsabile, incaricato del trattamento
In tale ambito, il regolamento:
• disciplina la contitolarità del trattamento e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all'esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente;
• fissa più dettagliatamente (rispetto al Codice) le caratteristiche dell'atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al fine di dimostrare che il responsabile fornisce "garanzie sufficienti" - quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, e categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento;
• consente la nomina di sub-responsabili del trattamento da parte di un responsabile per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario;
• prevede obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare, la tenuta del registro dei trattamenti svolti; l'adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti; la designazione di un RPD-DPO.
Approccio basato sul rischio e misure di accountability
• Il regolamento pone con forza l'accento sulla "responsabilizzazione"(accountability nell'accezione inglese) di titolari e responsabili - ossia, sull'adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del regolamento. Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali - nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.[4]
Registro dei trattamenti
• Tutti i titolari e i responsabili di trattamento devono tenere un registro delle operazioni di trattamento. Si tratta di uno strumento fondamentale non soltanto ai fini dell'eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all'interno di un'azienda o di un soggetto pubblico - indispensabile per ogni valutazione e analisi del rischio. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
Misure di sicurezza
• Le misure di sicurezza devono "garantire un livello di sicurezza adeguato al rischio" del trattamento. Per lo stesso motivo, non potranno sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure "minime" di sicurezza poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati. Si richiama l'attenzione anche sulla possibilità di utilizzare l'adesione a specifici codici di condotta o a schemi di certificazione per attestare l'adeguatezza delle misure di sicurezza adottate.
Notifica delle violazioni di dati personali
• A partire dal 25 maggio 2018, tutti i titolari - e non soltanto i fornitori di servizi di comunicazione elettronica accessibili al pubblico, come avviene oggi - dovranno notificare all'Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque "senza ingiustificato ritardo", ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati (vedi anche www.garanteprivacy.it/regolamentoue/databreach).
Responsabile della protezione dei dati
• Anche la designazione di un "responsabile della protezione dati" (RPD, ovvero DPO se si utilizza l'acronimo inglese: Data Protection Officer) riflette l'approccio responsabilizzante che è proprio del regolamento, essendo finalizzata a facilitare l'attuazione del regolamento da parte del titolare/responsabile. Non è un caso, infatti, che fra i compiti del RPD rientrino "la sensibilizzazione e la formazione del personale" e la sorveglianza sullo svolgimento della valutazione di impatto. La sua designazione è obbligatoria
Trasferimenti di dati verso Paesi terzi e organismi internazionali
• In primo luogo, viene meno il requisito dell'autorizzazione nazionale verso un Paese terzo "adeguato" ai sensi della decisione assunta in futuro dalla Commissione: sulla base di clausole contrattuali modello, debitamente adottate, o di norme vincolanti d'impresa. Tuttavia, l'autorizzazione del Garante sarà ancora necessaria se un titolare desidera utilizzare clausole contrattuali ad hoc.
Vedi anche la guida completa Gdpr: tutto quello che c'è da sapere
[1] Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento. In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all'interessato per esempio all'interno di modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara.
Il regolamento offre alcuni criteri per il bilanciamento in caso di utilizzo della videosorveglianza; all'utilizzo di sistemi di rilevazione informatica anti-frode
[2] ogni volta che le finalità cambiano il regolamento impone di informarne l'interessato prima di procedere al trattamento ulteriore.
[3] È opportuno che i titolari di trattamento adottino le misure tecniche e organizzative eventualmente necessarie per favorire l'esercizio dei diritti e il riscontro alle richieste presentate dagli interessati, che - a differenza di quanto attualmente previsto - dovrà avere per impostazione predefinita forma scritta (anche elettronica).
[4] Nei paragrafi seguenti si richiamano alcune delle principali novità in termini di adempimenti da parte di titolari e responsabili del trattamento.
• Foto: 123rf.com