GDPR: UN PICCOLO RIASSUNTO DI ‘PRONTO SOCCORSO’

Post by Marina Lenti on diritto informatico 5598 0

Il Regolamento privacy dell’UE, meglio conosciuto con l’acronimo di GDPR (General Data Protection Regulation) è entrato in piena applicazione il 25 maggio scorso, dopo essere entrato in vigore due anni orsono.

Al momento coesiste e, in alcune parti, si sovrappone alla normativa nazionale sulla privacy (dgls 196/2003), per cui, finché i due testi non saranno armonizzati (il Parlamento si è dato tempo fino ad agosto per concludere questa operazione), è necessario osservare entrambi, disapplicando solo le norme nazionali che siano eventualmente in contrasto col GDPR.

Qui di seguito mi propongo un piccolo ‘bigino’ che possa offrire una panoramica sui punti principali, per consentire a chi si avvicina per la prima volta a un Regolamento complesso, possa iniziare a familiarizzare coi suoi concetti e da lì poi procedere a eventuali approfondimenti.

Preciso che questa normativa impatta sia sulle attività online che offline e che è dunque importante adeguarsi in entrambi gli ambiti.

NOZIONE DI DATO PERSONALE

È considerata dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica o sociale.

NOZIONE DI TRATTAMENTO DATI

Per trattamento si intende qualsiasi operazione compiuta con o senza l’ausilio di processi automatizzati (es. la raccolta e la registrazione; l’organizzazione e la strutturazione; la conservazione; l’adattamento e la modifica; l’estrazione; la consultazione e l’uso; la trasmissione e la diffusione; la messa a disposizione; il raffronto e l’interconnessione; la limitazione; la cancellazione e la distruzione).

I dati possono essere trattati lecitamente quando:

• l’interessato ha espresso il consenso;
• il trattamento è necessario per l’esecuzione di un contratto;
• il trattamento è necessario per adempiere un obbligo legale;
• il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato;
• il trattamento è necessario per l’esecuzione di un compito di interesse pubblico;
• il trattamento è necessario per il legittimo interesse del titolare, purché questo non sia in contrasto con i diritti dell’interessato.

MODALITA’ DEL TRATTAMENTO DATI

I dati devono essere raccolti in misura:

• adeguata, pertinente, limitata.

I dati devono essere raccolti per finalità:

• determinate, esplicite, legittime.

Devono essere esatti, aggiornati, conservati solo per il tempo strettamente necessario alle finalità e trattati con cura. Pertanto, il titolare deve dotarsi di misure adeguate, in modo da impedire trattamenti non autorizzati o illeciti, danni accidentali ai dati o loro perdita o distruzione).

FIGURE COINVOLTE NEL TRATTAMENTO DATI

• Interessato, cioè la persona fisica cui i dati si riferiscono.
• Titolare, cioè la persona fisica o giuridica l’autorità pubblica il servizio o altro organismo che determina le finalità e i mezzi del trattamento di dati personali.

Egli deve mettere in atto misure tecniche e organizzative adeguate volte ad attuare in modo efficace i principi di protezione dei dati e per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.

Se l’interessato pone un quesito al titolare, questi deve rispondere entro un mese, estendibile fino a tre in casi di particolare complessità. Il responsabile, se esiste (v. prossima voce), è tenuto a collaborare con lui ai fini dell’esercizio dei diritti degli interessati.

La risposta può essere fornita anche oralmente, se così richiede l’interessato.

Il titolare deve fornire, se richiesta, una copia dei dati oggetto del trattamento.

• Responsabile, cioè la persona fisica o giuridica l’autorità pubblica il servizio o altro organismo che eventualmente tratta dati personali per conto del titolare del trattamento.
• Responsabile Esterno, cioè la figura esterna all’azienda cui può essere affidato il compito del trattamento e che il titolare deve designare per iscritto. Non determina in autonomia le finalità e i mezzi del trattamento, bensì riceve istruzioni dal titolare su come trattare i dati.
• Incaricato (alias Autorizzato), cioè la persona o le persone autorizzata/e al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile. Questa figura non ha potere decisionale sul trattamento, è opportuno sia designata per iscritto e non può trattare i dati se non è istruita dal titolare.

INFORMAZIONI DA FORNIRE ALL’INTERESSATO

Le informazioni da fornire prima di iniziare il trattamento sono: l’identità del titolare e il modo di contattarlo, oppure di contattare il Responsabile, se esiste, o il DPO (se presente, vedi sotto alla relativa voce); la base giuridica del trattamento; se i dati personali verranno trasferiti in Paesi terzi; l’elenco diritti dell’interessato incluso quello di presentare un reclamo al Garante; il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo; la natura obbligatoria o facoltativa del conferimento dei dati e le conseguenze della loro mancata comunicazione; l’esistenza di un processo decisionale automatizzato (compresi i dettagli tecnici); le conseguenze di un eventuale rifiuto al consenso.

Il titolare è esentato dal fornire queste informazioni se l’interessato ne dispone già, se comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; se l’ottenimento dei dati è previsto da un diritto della UE; se i dati devono rimanere riservati in base a un obbligo della UE.

Anche quando il trattamento è richiesto per legge o per la conclusione di un contratto si può effettuare il trattamento senza informare preventivamente l’interessato, purché le finalità siano solo quelle connesse con quella legge o quel contratto.

MODALITA’ DI PRESTAZIONE DEL CONSENSO

Il consenso al trattamento non può essere tacito o presunto, va manifestato attraverso azione positiva inequivocabile.

Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche richieste dal GDPR, altrimenti va raccolto di nuovo.

REGISTRO DEI TRATTAMENTI

Il registro dei trattamenti è obbligatorio per le imprese e organizzazioni con 250 dipendenti o oltre (ma qualunque azienda con dimensioni inferiori può istituirlo se lo desidera), e/o se:

• il tipo di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche;
• il trattamento consiste in una valutazione sistematica e globale di aspetti personali (cosiddetta profilazione);
• il trattamento viene effettuato su dati particolari o condanne penali o reati;
• il trattamento si basa sulla sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

DPIA (data protetion impact assessment)

E’ una valutazione che consente di capire se, al di fuori dei casi di obbligatorietà, sia opportuno istituire comunque un registro dei trattamenti.

E’ operazione consigliabile per poter dimostrare, in caso di risultato negativo, i motivi che hanno portato a decidere di non costruire il suddetto registro.

La DPIA deve contenere :

• una descrizione dei trattamenti;
• una descrizione delle finalità del trattamento;
• una valutazione della necessità e proporzionalità dei trattamenti;
• una valutazione dei rischi per i diritti e le libertà dell’interessato;
• le misure previste per affrontare i rischi;
• le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati.

VIOLAZIONE DATI

In caso di violazione dei dati personali, il titolare deve notificare l’accaduto al Garante entro 72 ore da quando ne è venuto a conoscenza.

Se non gli è possibile per difficoltà oggettive, deve comunicarlo “senza ingiustificato ritardo” presentando le prove per cui non è stato possibile adempiere entro le 72 ore.

La notifica al Garante non deve essere inoltrata se è improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche.

In caso contrario, oltre che al Garante, il titolare del trattamento deve comunicare la violazione all’interessato “senza ingiustificato ritardo”.

La comunicazione agli interessati non è tuttavia richiesta se:

• il titolare aveva predisposto misure tecniche adeguate (es. cifratura);
• il titolare ha successivamente adottato misure tecniche adeguate per scongiurare rischi elevati
• la comunicazione a tutti richiederebbe sforzi sproporzionati, ma in tal caso si deve procedere a una comunicazione pubblica che abbia analoga efficacia (es. comunicazione sul sito).

DPO (alias RPD)

Il titolare del trattamento ha la facoltà, e in certi casi l’obbligo, di designare un Data Protection Officer (DPO) (in Italiano RPD, Responsabile della Protezione dei Dati).

L’obbligo scatta se:

• il trattamento è effettuato da un’autorità pubblica;
• il trattamento richiede il monitoraggio regolare e sistematico su larga scala degli interessati;
• il trattamento viene effettuato su categorie particolari di dati (Art. 9.1) oppure su condanne penali o su reati.

Diversamente, è solo una facoltà.

TRASFERIMENTO DATI ALL’ESTERO

Il trasferimento dei dati all’estero è consentito purché il Paese terzo abbia dimostrato alla Commissione Europea di garantire un livello di protezione adeguato. In questo caso non è necessaria nessuna autorizzazione. L’elenco di questi Paesi è mantenuto aggiornato sul sito web della commissione e sulla Gazzetta Ufficiale dell’Unione Europea.

In caso contrario, il titolare può trasferire dati personali solo se è in grado di fornire garanzie adeguate per la loro sicurezza o ha ricevuto l’autorizzazione da parte del Garante.