Il GDPR Reg. UE 2016/679 ha previsto la rifusione delle precedenti normative europee in materia di protezione dei dati personali, con l’obiettivo di armonizzare ulteriormente le disposizioni dei paesi europei.

Lo strumento utilizzato dal legislatore europeo è quello del regolamento, come tale immediatamente applicabile, diversamente dalle direttive che in precedenza erano state emesse per la regolazione della medesima materia, le quali hanno invece necessitato di trasposizione negli ordinamenti degli stati membri.

Tra le novità apportate dal GDPR rispetto al D. lgs. 196/2003, che rimane comunque in vigore, le più rilevanti sono rappresentate dall’obbligatorietà, per imprese e pubbliche amministrazioni, di tenere un registro dei trattamenti, assumere un responsabile della protezione dei dati (o data protection officer) ed effettuare una valutazione di impatto privacy (privacy impact assessment) prima dell’introduzione di ogni nuovo processo di trattamento.

Appare utile in primo luogo, tuttavia, analizzare i principi che hanno ispirato l’adozione della nuova disciplina.

Tra i principi fondamentali della nuova normativa si evidenzia il principio della responsabilizzazione, che si concretizza in un approccio proattivo da parte dei titolari del trattamento, nel dimostrare l’adozione delle misure tecniche ed organizzative atte a garantire l’applicazione del Regolamento.

Il principio della Privacy by Design prevede invece che, tenendo conto delle specifiche caratteristiche del trattamento e dei connessi profili di rischio per i diritti e le libertà delle persone fisiche, nel momento in cui i dati vengono trattati ovvero vengono determinate le modalità del trattamento, il titolare adotti misure tecniche e organizzative adeguate per garantire la protezione dei dati ed il rispetto dei requisiti del Regolamento.

Il principio della Privacy by Default prevede che il titolare del trattamento attui misure tecniche e organizzative adeguate per garantire che siano trattati, per “impostazione predefinita”, solo i dati personali necessari per ciascuna finalità del trattamento, relativamente alla quantità dei dati raccolti, alla portata del trattamento, al periodo di conservazione e all'accessibilità ai dati stessi.

Per quanto riguarda invece i singoli obblighi previsti dalla nuova normativa, si evidenzia che il titolare e il responsabile hanno dunque, quale ulteriore adempimento, l’obbligo di tenere un registro delle rispettive attività di trattamento svolte sotto la loro responsabilità, contenente le informazioni indicate all’art. 30 del Regolamento. Tale obbligo non si applica tuttavia alle imprese od organizzazioni con meno di 250 dipendenti, salvo che il trattamento effettuato dalle stesse presenti un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o comprenda il trattamento di categorie particolari di dati indicati all’art. 9 paragrafo 1, pressoché coincidenti con l’attuale definizione di dati sensibili, o i dati personali relativi a condanne penali e a reati di cui all’art. 10 del Regolamento.

Tale obbligo non si caratterizza come adempimento formale, ma piuttosto come uno strumento utile al fine di realizzare un corretto trattamento dei dati personali, in linea quindi con l'obiettivo di responsabilizzazione, come sopra delineato.

La necessità di dimostrare la legittimità del trattamento dei dati prescinde dalle dimensioni effettive dell'organizzazione, e quindi in un panorama di questo tipo il registro diventa un valido strumento per tutte le organizzazioni.

Proprio per questa ragione, su indicazione del Garante della Privacy, tutti i titolari ed i responsabili del trattamento dei dati, a prescindere dalle dimensioni dell'organizzazione (e quindi anche qualora vi siano meno di 250 dipendenti), sono invitati a predisporre un tale registro.

La valutazione di impatto rappresenta un’altra delle novità più rilevanti del Regolamento e trova un’espressa disciplina all’art. 35. La valutazione d’impatto è obbligatoria nei casi di: valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, sulla quale si fondano decisioni che hanno effetti giuridici e incidono su dette persone fisiche; trattamento su larga scala di categorie particolari di dati personali; sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Informativa e consenso

L’art. 6 del Regolamento UE 2016/679 individua le condizioni di liceità del trattamento, che si identificano nel aver ricevuto il consenso al trattamento, ovvero qualora il trattamento sia necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso, ovvero ove il trattamento sia necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento, ovvero ove il trattamento sia necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.

Per quanto riguarda la richiesta del consenso al trattamento, essa non è dunque necessaria quando il trattamento dei dati comuni è necessario per adempiere agli obblighi previsti dalla legge o derivanti dal contratto (cfr. anche art. 24 lett. a) e b) del Cod. privacy).

Le principali novità del Regolamento 2016/679 per quanto riguarda la richiesta di consenso sono previste dall’ art. 7, il quale dispone che il responsabile del trattamento debba essere in grado di dimostrare la volontà espressa dall’interessato; di conseguenza, se il consenso dell’interessato è manifestato mediante una dichiarazione scritta che riguarda anche altre questioni, la richiesta deve essere presentata in modo distinguibile dalle altre materie, in forma chiara e comprensibile. Quando il trattamento riguarda dati sensibili, il Regolamento stabilisce che il consenso venga prestato dall’interessato, oltre che in maniera preventiva e inequivocabile, anche in modo esplicito. Il consenso non deve essere necessariamente documentato per iscritto, né è richiesta la forma scritta, che tuttavia permette, sul piano pratico, la configurabilità del consenso esplicito e la sua inequivocabilità.

Per quanto riguarda l’informativa, la principale novità rispetto alla disciplina del D.lgs. 196/2003 è che nel caso di dati personali non raccolti direttamente presso l’interessato (eventualità prevista dall’art. 14 del GDPR), essa dovrà essere fornita entro un termine ragionevole e, comunque, al più tardi entro un mese dalla raccolta, oppure, nel caso in cui i dati personali siano destinati alla comunicazione con l'interessato ad altro destinatario, non oltre il momento di tale comunicazione.

Per quanto riguarda i responsabili e gli incaricati del trattamento dei dati personali, va detto che nel regolamento non si rinviene una definizione di “incaricati” (come invece nel cod privacy), ma essi coincidono, di fatto, con le “persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile” richiamate in alcune disposizioni del nuovo testo.

Dunque, dovrà essere effettuata la nomina di responsabili e incaricati del trattamento (collaboratori, praticanti) per chiunque abbia accesso ai dati.

È ora prevista altresì la nomina di sub-responsabili del trattamento, previa autorizzazione scritta del titolare, nel rispetto degli stessi obblighi contrattuali che vincolano titolare e responsabile.

La nomina del Data Protection Officer

La nomina del Data Protection Officer, altra rilevante novità della disciplina, è obbligatoria, ai sensi dell’art. 37 del Regolamento, se

• il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

• le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure

• le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10.

Evidente, dunque, che la nomina del DPO sarà obbligatoria, per le imprese private, ove venga effettuato trattamento su “Larga scala” dei dati personali ovvero ove vi sia “monitoraggio regolare e sistematico” (non sembrano esservi dubbi, ad esempio, che in tale definizione rientrino le attività di profilazione, eseguite su internet o meno).

Perché il trattamento sia su larga scala, occorrerà ad ogni modo tenere conto di diversi fattori (come esemplificati dalle Linee Guida del Gruppo di lavoro art. 29 (WP29) sui responsabili della protezione dei dati (RPD) del 13/12/16), quali: numero di soggetti interessati dal trattamento, volume dei dati e/o loro diversa tipologia, durata o persistenza dell’attività di trattamento, portata geografica dell’attività di trattamento.

L'obbligo di denuncia al garante della Privacy

Il nuovo GDPR introduce, infine, quale corollario del principio di responsabilità, l’obbligo di auto-denuncia, da parte del titolare, qualora si verifichi un data-breach, ovvero la violazione della sicurezza dei dati (si pensi all’esempio della perdita di chiavetta USB su cui siano memorizzati dati personali).

In tal caso, sussisterà l’obbligo di denuncia al Garante della Privacy e di comunicazione all’interessato, solo, tuttavia, ove il titolare ritenga probabile che i dati siano in pericolo di divulgazione (non sussisterebbe, per esempio, ove la chiavetta persa di cui all’esempio precedente fosse protetta da crittografia).

Avv. Lorenzo Santaniello

03-05-2018