Aggiornata la Guida all’applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali. Il documento è stato in parte modificato e integrato alla luce dell’evoluzione della riflessione a livello nazionale ed europeo. Di seguito gli aspetti più rilevanti.
Il regolamento UE 2016/679 in materia di protezione dei dati personali conferma che ogni trattamento deve trovare fondamento in un’idonea base giuridica; i fondamenti di liceità del trattamento sono indicati all’art. 6 del regolamento. In particolare: il consenso deve essere “esplicito”; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati; non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”; il consenso dei minori è valido a partire dai 16 anni, ma il limite di età può essere abbassato fino a 13 anni dalla normativa nazionale; come già stabilito dall’attuale Codice della privacy, il consenso deve essere, in tutti i casi, libero, specifico, informato e inequivocabile, non tacito o presunto; deve inoltre essere manifestato attraverso “dichiarazione o azione positiva inequivocabile”. Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento, se si vuole continuare a fare ricorso a tale base giuridica.
Informativa
I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del regolamento e in parte sono più ampi rispetto al Codice della privacy. In particolare, il titolare deve sempre specificare i dati di contatto del Responsabile della protezione dei dati-Data Protection Officer, ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti. Necessario, altresì, specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo.
I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del regolamento e in parte sono più ampi rispetto al Codice della privacy. In particolare, il titolare deve sempre specificare i dati di contatto del Responsabile della protezione dei dati-Data Protection Officer, ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti. Necessario, altresì, specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo.
Diritti degli interessati
Il diritto di accesso prevede in ogni caso il diritto di ricevere una copia dei dati personali oggetto di trattamento. Fra le informazioni che il titolare deve fornire non rientrano le “modalità” del trattamento, mentre occorre indicare il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi.
Il diritto cosiddetto “all’oblio” ha un campo di applicazione più esteso di quello di cui all’art. 7, comma 3, lettera b), del Codice, poiché l’interessato ha il diritto di chiedere la cancellazione dei propri dati, per esempio, anche dopo revoca del consenso al trattamento.
Il diritto di limitazione del trattamento di un diritto diverso e più esteso rispetto al “blocco” del trattamento di cui all’art. 7, comma 3, lettera a), del Codice: in particolare, è esercitabile non solo in caso di violazione dei presupposti di liceità del trattamento, come alternativa alla cancellazione dei dati stessi, bensì anche se l’interessato chiede la rettifica dei dati o si opponga al loro trattamento.
Il diritto alla portabilità dei dati è uno dei nuovi diritti previsti dal regolamento, anche se non è del tutto sconosciuto ai consumatori. Sono portabili solo i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato.
Il diritto di accesso prevede in ogni caso il diritto di ricevere una copia dei dati personali oggetto di trattamento. Fra le informazioni che il titolare deve fornire non rientrano le “modalità” del trattamento, mentre occorre indicare il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi.
Il diritto cosiddetto “all’oblio” ha un campo di applicazione più esteso di quello di cui all’art. 7, comma 3, lettera b), del Codice, poiché l’interessato ha il diritto di chiedere la cancellazione dei propri dati, per esempio, anche dopo revoca del consenso al trattamento.
Il diritto di limitazione del trattamento di un diritto diverso e più esteso rispetto al “blocco” del trattamento di cui all’art. 7, comma 3, lettera a), del Codice: in particolare, è esercitabile non solo in caso di violazione dei presupposti di liceità del trattamento, come alternativa alla cancellazione dei dati stessi, bensì anche se l’interessato chiede la rettifica dei dati o si opponga al loro trattamento.
Il diritto alla portabilità dei dati è uno dei nuovi diritti previsti dal regolamento, anche se non è del tutto sconosciuto ai consumatori. Sono portabili solo i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato.
Titolare e Responsabile del trattamento
Il regolamento fissa più dettagliatamente rispetto al Codice le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti”; consente la nomina di sub-responsabili del trattamento da parte di un responsabile per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario.
Il regolamento fissa più dettagliatamente rispetto al Codice le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti”; consente la nomina di sub-responsabili del trattamento da parte di un responsabile per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario.
Adempimenti da parte di titolari e responsabili del trattamento
Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all’art. 30. Si tratta di uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta.
A partire dal 25 maggio 2018, tutti i titolari – e non soltanto i fornitori di servizi di comunicazione elettronica accessibili al pubblico, come avviene oggi – dovranno notificare all’autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, ma soltanto se ritengono probabile che da tale violazione derivino rischiper i diritti e le libertà degli interessati. Pertanto, la notifica all’autorità dell’avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta, ancora una volta, al titolare. Se la probabilità di tale rischio è elevata, si dovrà informare delle violazione anche gli interessati, sempre “senza ingiustificato ritardo”.
Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all’art. 30. Si tratta di uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta.
A partire dal 25 maggio 2018, tutti i titolari – e non soltanto i fornitori di servizi di comunicazione elettronica accessibili al pubblico, come avviene oggi – dovranno notificare all’autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, ma soltanto se ritengono probabile che da tale violazione derivino rischiper i diritti e le libertà degli interessati. Pertanto, la notifica all’autorità dell’avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta, ancora una volta, al titolare. Se la probabilità di tale rischio è elevata, si dovrà informare delle violazione anche gli interessati, sempre “senza ingiustificato ritardo”.