di Gabriella Lax - Realizzare uno strumento d'aiuto per i soggetti pubblici e le imprese che stanno affrontando il passaggio alla nuova normativa privacy e aumentare la consapevolezza sulle garanzie rafforzate e sui nuovi importanti diritti che il regolamento riconosce alle persone.
La guida del Garante privacy
Da queste esigenze nasce la guida sulle novit� introdotte dal nuovo Regolamento UE 2016/679 in materia di protezione dei dati personali, elaborata dal Garante per la Privacy italiano che traccia lo schema delle principali innovazioni introdotte e fornisce indicazioni utili circa gli adempimenti da attuare per la normativa, gi� in vigore dal 24 maggio 2016 e che sar� pienamente efficace dal 25 maggio 2018. Intanto imprese e amministrazioni stanno gi� facendo i conti con le novit� introdotte dal regolamento immediatamente applicabili da tutti i Paesi, senza bisogno di passare per la procedura di recepimento, come invece � stato per le normative nazionali tuttora in vigore. Saranno pi� rigorose le modalit� per informare il titolare dei dati personali sull'uso degli stessi, poich� l'informativa deve essere concisa, trasparente, intelligibile e facilmente accessibile. � introdotta la portabilit� dei dati personali (sar� possibile trasferire le informazioni che mi riguardano da un soggetto a un altro, per esempio, nel caso di un contratto, da un'azienda a un'altra); Forte il richiamo ad una responsabilizzazione (accountability) dunque i titolari e i responsabili del trattamento dei dati devono dimostrare di aver adottato tutte le misure per proteggere le informazioni personali che gestiscono. Viene introdotto il data protection officer, un professionista capace di controllare e coordinare, all'interno di un'impresa o di un ente, le politiche di privacy.
La guida � disponibile sul sito del Garante (a questo link) in formato ipertestuale navigabile.
Regolamento europeo privacy: le novit�
Il testo della Guida consta di 6 sezioni tematiche che riassumono le principali novit� introdotte dal regolamento europeo:
- Fondamenti di liceit� del trattamento
Il regolamento conferma che ogni trattamento deve trovare fondamento in un'idonea base giuridica; i fondamenti di liceit� del trattamento sono indicati all'art. 6 e coincidono, in linea di massima, con quelli previsti attualmente dal Codice privacy (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui � soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati).
- Informativa
I contenuti dell'informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del regolamento e in parte sono pi� ampi rispetto al Codice.
In particolare, il titolare deve sempre specificare i dati di contatto del RPD-DPO, ove esistente, la base giuridica del trattamento, qual � il suo interesse legittimo se quest'ultimo costituisce la base giuridica del trattamento, nonch� se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.). Il regolamento prevede anche ulteriori informazioni in quanto "necessarie per garantire un trattamento corretto e trasparente". Nello specifico, il titolare deve precisare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all'autorit� di controllo. Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l'informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l'interessato.
- Diritti degli interessati
Il termine per la risposta all'interessato �, per tutti i diritti (compreso il diritto di accesso), 1 mese, estendibile fino a 3 mesi in casi di particolare complessit�; il titolare deve comunque dare un riscontro all'interessato entro 1 mese dalla richiesta, anche in caso di diniego.
Spetta al titolare valutare la complessit� del riscontro all'interessato e stabilire l'ammontare dell'eventuale contributo da chiedere, ma soltanto se si tratta di richieste manifestamente infondate o eccessive (anche ripetitive)(art. 12.5), a differenza di quanto prevedono gli art. 9, comma 5, e 10, commi 7 e 8, del Codice, ovvero se sono chieste pi� "copie" dei dati personali nel caso del diritto di accesso (art. 15, paragrafo 3); in quest'ultimo caso il titolare deve tenere conto dei costi amministrativi sostenuti.
Il riscontro all'interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l'accessibilit�; pu� essere dato oralmente solo se cos� richiede l'interessato stesso (art. 12, paragrafo 1; art. 15, paragrafo 3).
La risposta fornita all'interessato non deve essere solo "intelligibile", ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro. Il titolare del trattamento deve agevolare l'esercizio dei diritti da parte dell'interessato, adottando ogni misura (tecnica e organizzativa) a ci� idonea.
Bench� sia il solo titolare a dover dare riscontro in caso di esercizio dei diritti (artt. 15-22), il responsabile � tenuto a collaborare ai fini dell'esercizio dei diritti degli interessati (art. 28, paragrafo 3, lettera e).
L'esercizio dei diritti �, in linea di principio, gratuito per l'interessato, ma possono esservi eccezioni. Il titolare ha il diritto di chiedere informazioni necessarie a identificare l'interessato, e quest'ultimo ha il dovere di fornirle, secondo modalit� idonee. Sono ammesse deroghe ai diritti riconosciuti dal regolamento, ma solo sul fondamento di disposizioni normative nazionali, ai sensi dell'articolo 23 nonch� di altri articoli relativi ad ambiti specifici. In questo senso, in via generale, possono continuare a essere applicate tutte le deroghe previste dall'art. 8, comma 2, del Codice in quanto compatibili con le disposizioni citate. Al riguardo, il Garante sta valutando la piena rispondenza delle disposizioni citate in tale articolo del Codice con i requisiti fissati per la legislazione nazionale dall'articolo 23, paragrafo 2, del regolamento.
- Titolare, responsabile, incaricato del trattamento
Il regolamento definisce caratteristiche soggettive e responsabilit� di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE (e, quindi, al Codice italiano). Pur non prevedendo espressamente la figura dell'"incaricato" del trattamento (ex art. 30 Codice), il regolamento non ne esclude la presenza in quanto fa riferimento a "persone autorizzate al trattamento dei dati personali sotto l'autorit� diretta del titolare o del responsabile".
Approccio basato sul rischio del trattamento e misure di accountability
Il regolamento pone con forza l'accento sulla "responsabilizzazione" (accountability in inglese) di titolari e responsabili � ossia, sull'adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del regolamento.
Si tratta di una grande novit� per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalit�, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento. Il primo fra tali criteri � sintetizzato dall'espressione inglese "data protection by default and by design", ossia dalla necessit� di configurare il trattamento prevedendo fin dall'inizio le garanzie indispensabili "al fine di soddisfare i requisiti" del regolamento e tutelare i diritti degli interessati, tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libert� degli interessati.
Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio ("sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso", in base a quanto afferma l'art. 25) e richiede, dunque, un'analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attivit� specifiche e dimostrabili.
- Trasferimenti internazionali di dati
Viene meno il requisito dell'autorizzazione nazionale. Dunque il trasferimento verso un Paese terzo "adeguato" ai sensi della decisione assunta in futuro dalla Commissione, ovvero sulla base di clausole contrattuali modello, debitamente adottate, o di norme vincolanti d'impresa approvate attraverso la specifica procedura di cui all'art. 47 del regolamento, potr� avere inizio senza attendere l'autorizzazione nazionale del Garante, a differenza di quanto attualmente previsto dall'art. 44 del Codice. Tuttavia, l'autorizzazione del Garante sar� ancora necessaria se un titolare desidera utilizzare clausole contrattuali ad-hoc oppure accordi amministrativi stipulati tra autorit� pubbliche (� una delle novit� introdotte dal regolamento).
Il regolamento consente di ricorrere anche a codici di condotta ovvero a schemi di certificazione per dimostrare le "garanzie adeguate" previste dall'art. 46. Ci� significa che i titolari o i responsabili del trattamento stabiliti in un Paese terzo potranno far valere gli impegni sottoscritti attraverso l'adesione al codice di condotta o allo schema di certificazione, ove questi disciplinino anche o esclusivamente i trasferimenti di dati verso Paesi terzi, al fine di legittimare tali trasferimenti. Tuttavia, tali titolari dovranno assumere un impegno vincolante mediante uno specifico strumento contrattuale o un altro strumento che sia giuridicamente vincolante e azionabile dagli interessati.