Novità e applicazione del General Data Protection Regulation in Italia

In Privacy
Tempo di Lettura: 13 minuti
Redatto dalla dott.ssa Marcella Gigante

Come ormai noto, il nuovo Regolamento UE sulla privacy (di seguito, il GDPR) sarà direttamente applicabile in tutti gli Stati membri dell’Unione Europea a partire dal 25 maggio 2018. É importante, dunque, offrire una guida pratica in merito alle principali novità introdotte dal GDPR nello scenario giuridico italiano al fine di consentire l’adozione di misure conformi al nuovo quadro normativo.

Il Parlamento italiano, con la legge n. 163/2017, entrata in vigore il 21 novembre 2017, ha delegato il Governo all’adozione di un decreto legislativo contenente norme di adeguamento alle previsioni del GDPR. Il 21 marzo 2018 il Consiglio dei Ministri ha approvato, in esame preliminare, il suddetto decreto legislativo. A breve dovrebbe esserci l’approvazione definitiva.

  • Fondamenti di liceità del trattamento

Ogni trattamento di dati (art. 4, n. 2, del GDPR) deve trovare fondamento in un’idonea base giuridica. Ai sensi dell’art. 6, paragrafo 1, del GDPR, il trattamento è lecito nella misura in cui ricorra almeno una delle seguenti condizioni: (a) l’interessato (art. 4, n. 1, del GDPR) ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità, (b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso, (c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento (art. 4, n. 7, del GDPR), (d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un terzo, (e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare, e (f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali.

Questi fondamenti di liceità coincidono, in linea di massima, con quelli attualmente previsti dal decreto legislativo n. 196/2003, (di seguito, il Codice Privacy). Le maggiori novità introdotte dal GDPR sono le seguenti:

  • consenso: deve essere esplicito con riferimento (i) al trattamento di dati sensibili (art. 9 del GDPR), (ii) a processi decisionali automatizzati (inclusa la profilazione – art. 22 del GDPR), e (iii) al trasferimento di dati verso Paesi extra-UE. Il titolare deve essere in grado di dimostrare che l’interessato abbia prestato il consenso ad uno specifico trattamento[1]. Per quanto concerne i minori, il loro consenso è valido a partire dai 16 anni (in caso di età inferiore ai 16 anni, si richiede il consenso dei genitori o di chi ne fa le veci): ai sensi dell’art. 8, paragrafo 1, del GDPR, gli Stati membri hanno la possibilità di abbassare il limite di età fino a 13 anni;
  • interesse vitale di un terzo: può essere utilizzato come base giuridica del trattamento solo se nessuna delle altre condizioni di liceità trovi applicazione (considerando 46 del GDPR); e
  • interesse legittimo prevalente di un titolare o di un terzo: il bilanciamento tra l’interesse legittimo di un titolare o di un terzo e i diritti e le libertà dell’interessato spetta allo stesso titolare. Il considerando 47 del GDPR ritiene che un interesse legittimo possa sussistere in caso di relazione appropriata e pertinente tra l’interessato e il titolare (e. l’interessato è un cliente del titolare).
  • Informativa

I contenuti dell’informativa (art. 13, paragrafo 1, e art. 14, paragrafo 1, del GDPR) sono più ampi rispetto a quelli attualmente previsti dall’art. 13 del Codice Privacy. In particolare, il titolare deve sempre specificare quanto segue:

  • il periodo di conservazione dei dati o i criteri adottati per stabilire tale periodo;
  • la base giuridica del trattamento dei dati (e. consenso, interesse legittimo, obbligo di legge);
  • lo svolgimento di processi decisionali automatizzati (inclusa la profilazione) e le conseguenze di tali processi sull’interessato;
  • la possibilità di revocare il consenso in ogni momento (nei casi in cui la base giuridica del trattamento sia il consenso);
  • il diritto di proporre reclamo a un’autorità di controllo, quale, ad esempio, l’Autorità Garante per la Protezione dei Dati Personali (di seguito, il Garante);
  • i dati di contatto del responsabile della protezione dei dati (come definito in seguito), ove esistente.

Nel caso di dati non raccolti presso l’interessato (art. 14 del GDPR), l’informativa deve essere fornita entro un mese dalla raccolta dei dati oppure al momento della comunicazione dei dati all’interessato (diversamente da quanto attualmente prevede l’art. 13, comma 4, del Codice Privacy che prende in considerazione il momento della registrazione dei dati).

A differenza dell’attuale Codice Privacy, il GDPR specifica in modo più dettagliato le caratteristiche dell’informativa, la quale deve:

  • essere concisa, trasparente, intelligibile e facilmente accessibile per l’interessato;
  • avere un linguaggio chiaro e semplice;
  • essere data, in linea di principio, per iscritto e preferibilmente in formato elettronico (art. 12, paragrafo 1, e considerando 58 del GDPR). Vi sono anche altri mezzi per fornire l’informativa all’interessato: tra questi, si annoverano la forma orale o l’utilizzo di icone, le quali dovranno essere (x) utilizzate in combinazione con l’informativa estesa (art. 12, paragrafo 7, del GDPR), e (y) definite prossimamente dalla Commissione europea in modo da risultare uguali in tutta l’UE.
  • Diritti degli interessati

Il titolare ha l’obbligo di rispondere ad una richiesta dell’interessato entro un mese. Tale termine è valido per tutti i diritti e può essere esteso fino ad un massimo di tre mesi in casi di particolare complessità: la valutazione della complessità della richiesta dell’interessato come anche l’ammontare dell’eventuale contributo da chiedere all’interessato in caso di richieste manifestamente infondate, eccessive o ripetitive spettano al titolare (a differenza di quanto attualmente prevedono l’art. 9, comma 5, e l’art. 10, commi 7 e 8 del Codice Privacy).

In relazione ai diritti degli interessati, le maggiori novità introdotte dal GDPR sono le seguenti:

  • il diritto di accesso (art. 15 del GDPR) comporta il diritto di ricevere una copia dei dati che costituiscono oggetto del trattamento;
  • il diritto di non essere sottoposto ad una decisione basata unicamente su un processo automatizzato, inclusa la profilazione, tranne nel caso di consenso dell’interessato oppure di esecuzione di un contratto tra l’interessato e il titolare (art. 22 del GDPR). Il Garante non deve più intendere la profilazione come una “finalità” (rappresentata ora dal marketing diretto o indiretto), ma come una modalità di trattamento. In caso di profilazione, (i) l’informativa dovrà contenere maggiori dettagli in merito alla base giuridica, alla durata del trattamento, e ai diritti degli interessati (accesso, revoca del consenso, opposizione al trattamento); (ii) sarà necessario il consenso esplicito (a differenza di quanto attualmente previsto dall’art. 26 del Codice Privacy); e (iii) dovranno essere utilizzati solo i dati necessari per la finalità del trattamento, per un periodo di tempo limitato;
  • il diritto alla cancellazione dei dati previsto dall’art. 17 del GDPR ha un campo di applicazione più esteso di quello di cui all’art. 7, comma 3, lett. b) del Codice Privacy: infatti, (i) l’interessato ha il diritto di chiedere la cancellazione dei propri dati personali anche dopo aver revocato il consenso al trattamento, e (ii) il titolare, se ha reso pubblici i dati dell’interessato, “è obbligato ad informare gli altri titolari che stanno trattando i dati della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali” (art. 17, paragrafo 2, del GDPR);
  • il diritto alla limitazione del trattamento dei dati previsto dall’art. 18 del GDPR ha un campo di applicazione più esteso rispetto al diritto di “blocco del trattamento dei dati” di cui all’art. 7, comma 3, lett. b) del Codice Privacy, in quanto è esercitabile non solo in caso di violazione dei presupposti di liceità del trattamento, ma anche se l’interessato chiede la rettifica dei dati (in attesa di tale rettifica da parte del titolare) o si oppone al loro trattamento (in attesa della valutazione da parte del titolare);

(e)           l’introduzione del diritto alla portabilità dei dati (art. 20 del GDPR) che permette al titolare di trasferire i dati ad un altro titolare indicato dall’interessato. Sono portabili solo i dati (i) trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato e (ii) forniti dall’interessato al Titolare.

  • Titolare e responsabile del trattamento

A differenza di quanto previsto dall’attuale Codice Privacy, il titolare deve:

  • definire in modo specifico (con un atto giuridicamente valido ai sensi del diritto nazionale) il proprio ambito di responsabilità e i propri compiti con particolare riguardo all’esercizio dei diritti degli interessati; e
  • provvedere alla designazione del responsabile del trattamento con un contratto (o altro atto giuridico conforme al diritto nazionale) che disciplini in maniera tassativa le materie riportate all’art. 28, paragrafo 3, del GDPR[2].

Gli obblighi del titolare devono essere distinti da quelli del responsabile; nello specifico, il responsabile deve:

(i)           provvedere alla tenuta di un registro dei trattamenti (come definito di seguito) (art. 30, paragrafo 2, del GDPR);

(ii)          adottare misure tecniche e organizzative al fine di garantire la sicurezza dei trattamenti (art. 32 del GDPR); e

(iii)         se non stabilito nel territorio dell’UE, designare un rappresentante in Italia qualora ricorrano le condizioni di cui all’art. 27, paragrafo 3, del GDPR[3].

Il responsabile, a sua volta, può nominare sub-responsabili (art. 28, paragrafo 4, del GDPR), purché siano rispettati gli stessi obblighi contrattuali che disciplinano il rapporto tra titolare e responsabile. Quest’ultimo risponde davanti al titolare di un eventuale inadempimento da parte del sub-responsabile, anche ai fini del risarcimento dei danni causati dal trattamento, salvo dimostri che “l’evento dannoso non gli è in alcun modo imputabile” (art. 82, paragrafi 1 e 3, del GDPR).

Il GDPR non prevede espressamente la figura dell’“incaricato” del trattamento[4] (che, al contrario, è disciplinata dall’art. 30 del Codice Privacy), ma al contempo non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” (art. 4, n. 10, del GDPR).

  • Misure di accountability di titolari e responsabili del trattamento

Il concetto di responsabilizzazione o accountability consiste nell’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del GDPR. Rispetto a quanto attualmente previsto dal Codice Privacy, i titolari hanno il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati (art. 25 del GDPR). Nello specifico:

  • Privacy by design e privacy by default: (i) prima di procedere al trattamento, i titolari devono determinare misure tecniche e organizzative adeguate al fine di tutelare i diritti degli interessati; e (ii) durante il trattamento, devono mettere in atto misure tecniche e organizzative adeguate a garantire che siano trattati solo i dati necessari per ogni specifica finalità di trattamento.
  • Registro del trattamento dei dati: i titolari e i responsabili con più di 250 dipendenti devono tenere un registro[5] delle operazioni di trattamento, contenente (i) dati di contatto del titolare e, se presente, del responsabile della protezione dei dati, (ii) finalità del trattamento, (iii) categorie di interessati coinvolti nel trattamento, (iv) categorie di destinatari a cui i dati sono o saranno comunicati, (v) trasferimenti di dati verso Paesi extra-UE, (vi) termini previsti per la cancellazione dei dati, (vii) descrizione generale delle misure tecniche e organizzative adeguate a garantire la sicurezza del trattamento (art. 30 del GDPR[6]). Tale registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta del Garante.[7]
  • Misure di sicurezza: i titolari e i responsabili hanno l’obbligo di mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza idoneo al rischio (art. 32, paragrafo 1, del GDPR[8]). L’adozione di misure “minime” di sicurezza prevista dall’art. 33 del Codice Privacy non risulta più sufficiente, tranne nel caso di particolari trattamenti, delineati all’art. 6, paragrafo 1, lett. c) ed e) (obbligo legale a cui soggiace il titolare ed esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare): per questi trattamenti, infatti, restano in vigore le misure di sicurezza attualmente previste dagli artt. 20 e 22 del Codice Privacy.
  • Notifica delle violazioni di dati personali: tutti i titolari (e non solo, come attualmente previsto, i fornitori di servizi di comunicazione elettronica accessibili al pubblico) hanno l’obbligo di notificare al Garante le violazioni di dati personali senza ingiustificato ritardo e, comunque, entro 72 ore dal momento in cui ne vengano a conoscenza, a meno che sia improbabile che da tali violazioni derivino rischi per i diritti e le libertà fondamentali degli interessati. Qualora, invece, la probabilità di rischio sia elevata, dovranno essere informati anche gli interessati[9]. É importante notare come la notifica al Garante non sia più obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati effettuata dal titolare. Sorge, comunque, in capo ai titolari l’obbligo di (i) documentare le violazioni di dati (anche se non notificate al Garante e non comunicate agli interessati), le circostanze e le conseguenze dei provvedimenti adottati (art. 33, paragrafo 5, del GDPR e art. 32-bis, comma 7, del Codice Privacy), e (ii) fornire tale documentazione al Garante in caso di accertamenti.
  • Valutazione d’impatto sulla protezione dei dati

L’eventuale impatto negativo del trattamento sui diritti e sulle libertà fondamentali dell’interessato deve essere analizzato mediante un apposito processo di valutazione (artt. 35 e 36 del GDPR). All’esito di questa valutazione, il titolare potrà decidere autonomamente se iniziare il trattamento (essendo consapevole di aver adottato le misure idonee a mitigare il rischio) o consultare il Garante per ottenere informazioni sulla gestione del rischio residuale e indicazioni sulle misure ulteriori da implementare.

Viene meno, dunque, l’obbligo di notifica preventiva al Garante dei trattamenti rischiosi per i diritti e le libertà degli interessati (prior checking) attualmente previsto dall’art. 17 del Codice Privacy, dato che l’intervento del Garante si colloca in un momento successivo alle determinazioni effettuate autonomamente dal titolare. Chiaramente le attività svolte dal titolare sulla base della valutazione d’impatto dovranno essere documentate e mostrate al Garante in caso di accertamenti.

La valutazione di impatto sulla protezione dei dati deve essere svolta dal titolare nei seguenti casi:

  • valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato (inclusa la profilazione), e sulla quale si fondano decisioni che hanno effetti giuridici;
  • trattamento su larga scala[10] di categorie particolari di dati personali di cui all’art. 9, paragrafo 1, del GDPR; e
  • sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
  • Responsabile della protezione dei dati

La designazione di un responsabile della protezione dei dati da parte del titolare e del responsabile del trattamento è obbligatoria nei seguenti casi:

  • il trattamento è effettuato da una autorità pubblica;
  • il trattamento richiede un regolare e sistematico monitoraggio degli interessati su larga scala;
  • il trattamento di speciali categorie di dati personali (come dati sensibili) su larga scala.

Il responsabile della protezione dei dati deve essere nominato mediante (i) uno specifico atto di designazione qualora si tratti di una figura interna (i.e. un dipendente del titolare o del responsabile, non in conflitto di interessi), o (ii) un contratto di servizi qualora si tratti di una figura esterna. Il ruolo di responsabile della protezione dei dati è compatibile con altri incarichi, purché non vi sia conflitto di interessi (in quest’ottica è opportuno evitare che il ruolo di responsabile della protezione dei dati sia svolto da soggetti posti in posizione apicale). In ogni caso, resta comunque raccomandata, anche alla luce del principio di “accountability”, descritto al punto 5, la designazione di un responsabile della protezione dei dati personali.

  • Trasferimenti di dati verso Paesi extra-UE

Il GDPR ha confermato l’approccio attualmente delineato nel Codice Privacy in merito ai trasferimenti di dati verso Paesi extra-UE, prevedendo, in linea di principio, il divieto di tali trasferimenti, a meno che intervengano (in ordine gerarchico):

  • decisioni di adeguatezza della Commissione europea[11];
  • in assenza di decisioni di adeguatezza della Commissione, garanzie adeguate di natura contrattuale o pattizia che devono essere fornite dai titolari (e. clausole contrattuali o norme vincolanti d’impresa – Binding Corporate Rules); o
  • deroghe al divieto di trasferimento applicabili in specifiche situazioni (art. 49 del GDPR e art. 43 del Codice Privacy).

Rispetto a quanto attualmente previsto dall’art. 44 del Codice Privacy, viene meno il requisito dell’autorizzazione nazionale del Garante[12] (art.45, paragrafo 1, e art. 46, paragrafo 2, del GDPR). Inoltre, a differenza dell’attuale schema normativo delineato dal Codice Privacy, il GDPR:

  • consente l’adozione da parte dei titolari e/o dei responsabili, stabiliti in un Paese extra-UE, di codici di condotta o schemi di certificazione (disciplinanti i trasferimenti di dati) al fine di dimostrare il possesso di garanzie adeguate;
  • vieta il trasferimento di dati verso titolari e/o responsabili di un Paese extra-UE sulla base di decisioni giudiziarie emesse da autorità di tale Paese extra-UE, a meno che sussistano accordi internazionali di mutua assistenza giudiziaria (art. 48 del GDPR). In questo caso, potranno essere utilizzate le deroghe di cui all’art. 49 del GDPR, e. consenso dell’interessato, conclusione di un contratto tra l’interessato e il titolare, motivi di interesse pubblico, interesse vitale dell’interessato o di un terzo. Per quanto riguarda il trasferimento di dati verso un Paese extra-UE per motivi di interesse pubblico, il GDPR specifica che debba trattarsi di un interesse pubblico riconosciuto dal diritto dello Stato membro del Titolare o dal diritto dell’UE (art. 49, paragrafo 4, del GDPR) e non di un interesse pubblico dello Stato extra-UE ricevente i dati; e
  • fissa i requisiti per l’approvazione delle norme vincolanti d’impresa[13] e i contenuti obbligatori di tali norme (art. 47 del GDPR).

________________________________

[1]               Il consenso raccolto prima del 25 maggio 2018 continua ad essere valido se mantiene le caratteristiche di libertà, specificità, inequivocabilità già previste dall’attuale Codice Privacy. In caso contrario, è opportuno adoperarsi, prima della suddetta data, per raccogliere nuovamente il consenso degli interessati secondo le previsioni del GDPR. Nel caso in cui si utilizzi una modulistica, occorre soprattutto verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste rivolte all’interessato.

[2]               In particolare, (i) natura, durata e finalità del trattamento, (ii) categorie dei dati oggetto di trattamento, e (iii) misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare.

[3]               Ai sensi dell’art. 27, paragrafo 3, del GDPR “il rappresentante è stabilito in uno degli Stati membri in cui si trovano gli interessati e i cui dati personali sono trattati nell’ambito dell’offerta di beni e servizi o il cui comportamento è monitorato”.

[4]               Le disposizioni del Codice Privacy in materia di incaricati del trattamento sono compatibili con la struttura del GDPR. In particolare, i titolari e i responsabili possono mantenere la struttura organizzativa e le modalità di designazione degli incaricati così come delineatesi negli anni attraverso gli interventi del Garante.

[5]           I titolari e i responsabili con meno di 250 dipendenti non sono obbligati alla tenuta del registro, tranne nel caso in cui effettuino trattamenti che possano determinare un rischio sui diritti e sulle libertà dell’interessato.

[6]               I contenuti del registro, fissati nell’art. 30 del GDPR, possono essere ampliati dai titolari o responsabili ai fini di una migliore valutazione di impatto dei trattamenti svolti.

[7]               È presumibile che il Garante, entro il 25 maggio 2018, adotterà un modello di registro (scaricabile dal sito web) da cui partire per la redazione del proprio registro dei trattamenti.

[8]               Possono essere: (i) la pseudonimizzazione e la cifratura dei dati personali, (ii) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, (iii) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico, e (iv) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

[9]               La comunicazione all’interessato non è necessaria qualora ricorra una delle condizioni indicate all’art. 34, paragrafo 3, del GDPR, ossia (i) il titolare ha messo in atto e applicato misure tecniche e organizzative adeguate alla protezione dei dati, (ii) il titolare ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati, o (iii) la comunicazione richiederebbe sforzi sproporzionati e, in questo caso, si procede ad una comunicazione pubblica o misura simile. Tali eccezioni sono parzialmente coincidenti con quelle contenute nell’art. 32-bis del Codice Privacy.

[10]             Il Gruppo di Lavoro ex art. 29 della Direttiva UE n. 95/46 definisce il concetto di “larga scala”, considerando i seguenti fattori: (i) il numero di soggetti interessati dal trattamento, (ii) il volume di dati e/o diverse tipologie di dati oggetto di trattamento, (iii) la durata dell’attività di trattamento, e (iv) la portata geografica dell’attività di trattamento.

[11]             Le decisioni di adeguatezza finora adottate dalla Commissione europea e gli accordi internazionali in materia di trasferimento di dati stipulati prima del 24 maggio 2016 dagli Stati membri dell’UE restano in vigore fino alla loro eventuale revisione o modifica. Sono altresì valide le autorizzazioni nazionali finora emesse dal Garante successivamente alle decisioni di adeguatezza emanate dalla Commissione.

[12]          L’autorizzazione del Garante sarà ancora necessaria qualora un titolare intenda utilizzare clausole contrattuali non riconosciute come adeguate da una decisione della Commissione europea o accordi amministrativi stipulati tra autorità pubbliche.

[13]             L’approvazione delle norme vincolanti d’impresa dovrà essere fatta dal Comitato europeo per la protezione dei dati (art. 64, paragrafo 1, lett. d) del GDPR). Per l’approvazione di tali norme le autorità competenti degli Stati membri potranno prevedere requisiti ulteriori rispetto a quelli del GDPR.

Print Friendly, PDF & Email

You may also read!

CONTRATTI: Costruttore-venditore dell’immobile: è appalto o compravendita?

Corte di Cassazione, II Sezione Civile, n. 26574 del 12.09.2017 Redatto dal dott. Vincenzo Concia “Allorquando il venditore sia

Read More...

IL CASO TARICCO I E II: tra prescrizione, principio di legalità e diritto europeo

Redatto dalla dott.ssa Federica Antonacci La vicenda Taricco, ormai conosciuta agli addetti del settore giuridico, si pone all’interno del

Read More...

Preliminare di vendita immobiliare. Chi è il legittimato passivo in caso di danni derivanti dall’immobile?

Corte di Cassazione Civile, Sez. 2, n. 5915, anno 2018 Redatto dalla dott.ssa Silvia Tredici Con l’ordinanza n. 5915,

Read More...

Leave a reply:

Your email address will not be published.

Mobile Sliding Menu