Richiedi una consulenza in studio gratuita!

Il Regolamento europeo sulla privacy


Il Regolamento, che sostituisce l'attuale 'Codice della Privacy', sarà operativo dal 25 maggio 2018
Il Regolamento europeo sulla privacy
Il Regolamento Comunitario n. 679/2016 (di seguito breviter anche ‘RGPD’) "stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati"(art. 1.1).
Esso diverrà operativo a partire dal 25 maggio del 2018 ed introduce nuovi adempimenti rispetto alla normativa in vigore, ossìa il D. Lgs.vo n. 196/2003 (Codice in materia di protezione dei dati personali) che sostituisce.
Il Regolamento è stato definito un ‘cantiere aperto’, in quanto molti dei nuovi adempimenti non sono stati definiti, lasciando alle imprese ed agli enti pubblici l’onere di indicare come comportarsi caso per caso (v. A. Ciccia Messina in "Nuovo Regolamento sulla privacy", (Italia Oggi), Milano, 2017, pag. 4.
Vediamo, nella necessaria estrema sintesi, quali sono le più rilevanti novità che riguardano Enti, società e cittadini, seguendo la Guida all’applicazione del Regolamento elaborata dall’Autorità Garante per la protezione dei dati personali.
1) CONSENSO
Non deve essere necessariamente "documentato per iscritto", né è richiesta una "forma scritta", anche se tale forma costituisce una idonea modalità per provare l’inequivocabilità del c. ed il suo essere ‘esplicito’; il titolare del trattamento (cioè colui che determina le finalità ed i mezzi del trattamento dei dati personali, art. 4 n. 7) deve inoltre essere in grado di dimostrare che l’interessato ha prestato il consenso ad uno specifico trattamento (art. 7.1.).
2) INFORMATIVA
CONTENUTI
Sono elencati in modo tassativo (artt. 13.1 e 14.1 RGPD) e sono in parte più ampli rispetto al Codice in vigore. In particolare: il titolare deve sempre specificare i dati di contatto del Responsabile della Protezione dei dati (RPD), la base giuridica del trattamento, quale è il suo interesse legittimo (se esso costituisce la base giuridica del trattamento), gli strumenti di trasferimento dei dati in Paesi terzi, il periodo di conservazione dei dati (o i criteri seguiti per stabilire tale periodo), il diritto di presentare un reclamo all’Autorità di controllo.
TEMPI
In caso di dati non raccolti direttamente presso l’interessato (art. 14), l’i. deve essere fornita entro un termine ragionevole e non oltre 1 mese dalla raccolta o al momento della comunicazione dei dati a terzi o all’interessato.
MODALITA’
L’i. deve avere forma concisa, trasparente, intellegibile per l’interessato e facilmente accessibile, utilizzando un linguaggio chiaro e semplice. E’ data in linea di principio in forma scritta (preferibilmente in formato elettronico), ma può essere fornita oralmente, se così richiesta dall’interessato e purchè sia provata la sua identità. Può anche essere fornita in combinazione con ‘icone standardizzate’ (art. 12).
3) DIRITTI DEGLI INTERESSATI
MODALITA’ DI ESERCIZIO (art. 12).
Le informative di cui agli artt. 13 e 14 e le comunicazioni di cui agli artt. da 15 a 22 e all’art. 34 devono essere fornite all’interessato da parte del titolare del trattamento entro il termine di 1 mese, estendibile fino a 3 in casi di particolare complessità; il titolare deve comunque dare un riscontro all’interessato (di regola in forma scritta od anche oralmente, se così richiesto dall’interessato) entro 1 mese dalla richiesta.
DIRITTO DI ACCESSO ai dati personali e ad informazioni (art. 15)
Il titolare deve indicare il periodo di conservazione dei dati personali previsto o, se non è possibile, i criteri utilizzati per definire tale periodo; nonché le garanzie applicate in ipotesi di trasferimento dei dati verso Paesi terzi.
DIRITTO DI CANCELLAZIONE (DIRITTO ALL’OBLIO) (art. 17)
Ha un campo più esteso di quello attualmente previsto dal Codice della Privacy (art. 7.3.b), in quanto l’interessato ha il diritto di chiedere la cancellazione dei propri dati, ad es., anche dopo revoca del consenso al trattamento (art. 17.1).
DIRITTO DI LIMITAZIONE DEL TRATTAMENTO (art. 18)
E’ diritto più esteso rispetto all’attuale diritto al ‘blocco’ del trattamento, in alternativa alla cancellazione (art. 7.3.b Codice Privacy), in quanto l’interessato può esercitarlo non solo in caso di violazione dei presupposti di liceità del trattamento, ma anche se egli chiede la rettifica dei dati - ed in attesa della stessa - o si oppone al loro trattamento (ex art. 21) in attesa della valutazione da parte del titolare.
DIRITTO ALLA PORTABILITA’ DEI DATI (art. 20)
E’ uno dei nuovi diritti previsti dal RGPD, consistente nel diritto dell’interessato di "ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali che lo riguardano forniti a un titolare del trattamento". Non si applica ai trattamenti non automatizzati (archivi o registri cartacei). Sono ‘portabili’ solamente i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con il medesimo e quelli forniti dall’interessato al titolare, il quale ultimo deve essere in grado di trasferire i dati portabili ad altro titolare indicato dall’interessato, se tecnicamente possibile.
4) TITOLARE, CONTITOLARE, RESPONSABILE DEL TRATTAMENTO (artt. da 24 a 29)
Analizzato in sommi capi, il Regolamento disciplina la con titolarità del trattamento (art. 26). Stabilisce, in maniera più dettagliata rispetto all’art. 29 del Codice Privacy, che l’atto con cui il titolare designa un responsabile debba essere un contratto (o altro atto giuridico conforme al diritto nazionale) che contempli quanto previsto all’art. 28.3. Il Regolamento consente la nomina - da parte del responsabile - di sub responsabili; ma è il responsabile primario a rispondere avanti al titolare dell’inadempimento del sub responsabile. Prevede infine obblighi specifici in capo ai responsabili distinti da quelli pertinenti ai titolari. L’adesione a Codici di condotta (ex art. 40) o ad un meccanismo di certificazione (ex art. 42) può essere utilizzata dal titolare come elemento per dimostrare il rispetto dei suoi obblighi e dal responsabile quale elemento per dimostrare le garanzie sufficienti di cui all’art. 28 paragrafi 1 e 4. Peraltro, l’Autorità di controllo - al momento di decidere se infliggere sanzioni amministrative e di fissare il loro ammontare - tiene in ‘debito conto’ l’adesione ai su menzionati Codici di condotta e meccanismi di certificazione (art. 83.2.j)
5) REGISTRO DEI TRATTAMENTI (art. 30)
Ogni titolare deve tenere un registro delle attività di trattamento contenenti le informazioni di cui all’art. 30.1 lett. da ‘a’ a ‘g’. Analogamente, ogni responsabile deve tenere un registro di tutte le categorie di attività di trattamento svolte per conto del titolare e contenente quanto previsto dall’art. 30.2 lett. da ‘a’ a ‘d’. Il r. deve avere forma scritta (anche elettronica) e deve essere esibibile su richiesta del Garante. Non soggiacciono agli obblighi di tenuta del r. le imprese con meno di 250 dipendenti, ma solo se non effettuano quei trattamenti di dati a rischio di cui all’art. 30.5. L’Autorità Garante sta valutando di mettere a disposizione un modello di registro dei trattamenti.
6) MISURE DI SICUREZZA (art. 32)
Esse devono "garantire un livello di sicurezza adeguato al rischio" del trattamento. Le misure di cui all’art. 32.1.lett. da ‘a’ a ‘d’ non sono esaustive, ma sono ampliabili tenuto conto degli elementi di cui all’art. 32.1 e la loro valutazione sarà rimessa, caso per caso, al titolare ed al responsabile.
L’adesione ad un Codice di condotta o ad un meccanismo di certificazione potrà "essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1" dell’art. 32 (art. 32.3).
7) NOTIFICA DELLA VIOLAZIONE DI DATI PERSONALI (art. 33)
A partire dal 25 maggio 2018 i titolari dovranno notificare all’Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza - entro 72 ore e comunque "senza ingiustificato ritardo" - ma solo qualora ritengano probabile che da tali violazioni derivino rischi per i diritti e le libertà degli interessati. In caso di rischio "elevato", delle violazioni si dovranno informare anche gli interessati "senza ingiustificato ritardo" (art. 34). L’Autorità Garante raccomanda tuttavia, ai titolari del trattamento, di documentare in ogni caso quelle violazioni di dati personali anche se non notificate all’Autorità di controllo e non comunicate agli interessati.
8) RESPONSABILE DELLA PROTEZIONE DATI (artt. 37,38,39)
La nuova figura ‘chiave’ del Responsabile della protezioni dei dati (‘RPD’ o ‘DPO’ volendo seguire l’acronimo inglese ‘Data Protection Officer’) introdotta dal RGPD rappresenta "un elemento fondante ai fini della responsabilizzazione"; la nomina di un RPD può "facilitare l’osservanza della normativa e aumentare il margine competitivo delle imprese....I RPD fungono da interfaccia fra i soggetti coinvolti:autorità di controllo, interessati, divisioni operative all’interno di un’azienda o di un ente" (in "Linee guida sui responsabili della protezione dei dati (RPD)", versione emendata ed adottata il 5/4/2017 dal Gruppo di lavoro sulla tutela delle persone fisiche con riguardo al trattamento di dati personali istituito dalla Direttiva 94/46/CE del Parlamento Europeo e del Consiglio del 24/10/1995, pag. 4).
In estrema sintesi:
a) il RPD è designato dal titolare e dal responsabile del trattamento nei casi di cui alle lett. ‘a’, ‘b’ e ‘c’ dell’art. 37.1;
b) per rivestire tale carica bisogna avere una conoscenza specialistica della normativa e delle prassi in materia di protezione dati e capacità di assolvere i compiti di cui all’art. 39;
c) il RPD può essere un dipendente del titolare e del responsabile del trattamento ovvero un soggetto esterno assunto con un contratto di servizi;
d) il RPD deve avere il sostegno da parte del titolare e del responsabile del trattamento e non deve ricevere alcuna istruzione esterna per l’esecuzione dei suoi compiti;
e) il RPD non può essere rimosso o penalizzato dal titolare o dal responsabile del trattamento per l’adempimento dei propri compiti e non è personalmente responsabile in caso di inosservanza degli obblighi in materia di protezione dei dati;
f) il RPD può svolgere altri compiti o funzioni, ma essi non possono dar adito ad un conflitto di interessi;
g) il RPD è incaricato ("almeno") dei compiti di cui alle lett. da ‘a’ a ‘e’ dell’art. 39.
9) TRASFERIMENTO DI DATI ALL’ESTERO (artt. 44 e segg.)
In relazione al trasferimento di dati personali verso Paesi terzi ed organismi internazionali, con il Regolamento viene meno il requisito dell’autorizzazione nazionale del Garante (come oggi invece previsto dall’art. 44 Codice Privacy), sempreché trattasi di Paese terzo ‘adeguato’ ai sensi della decisione assunta in futuro dalla Commissione europea, ovvero sulla base di clausole contrattuali modello - debitamente adottate - o di norme vincolanti di impresa approvate secondo la procedura di cui all’art. 47 del RGPD. Tuttavia l’autorizzazione del Garante sarà ancora necessaria qualora un titolare desideri utilizzare clausole contrattuali ad hoc (cioè non espressamente riconosciute adeguate dalla Commissione europea) oppure accordi amministrativi stipulati tra autorità pubbliche.
Il RGPD inoltre vieta trasferimenti di dati verso titolari o responsabili di Paesi terzi in forza di decisioni giudiziarie o amministrative emesse da Autorità del Paese terzo, a meno dell’esistenza di accordi con detto Paese. E’ tuttavia possibile trasferire dati verso un Paese terzo ‘non adeguato’ solo ‘per importanti motivi di interesse pubblico’, purchè sia un interesse riconosciuto dal diritto dello Stato membro cui è soggetto il titolare del trattamento o dal Diritto Comunitario e, quindi, non può essere fatto valere l’interesse pubblico dello Stato terzo ricevente.
10) SANZIONI (art. 83)
In sintesi, le sanzioni amministrative pecuniarie devono essere "effettive, proporzionate e dissuasive".
Esse sono inflitte in aggiunta a (o in luogo dei) poteri correttivi dell’Autorità di controllo ex art. 58.2 lett. da ‘a’ a ‘h’ e ‘j’. L’Autorità, nel decidere se infliggere la sanzione e nel determinarne l’ammontare, dovrà tenere conto degli elementi di cui alle lett. da ‘a’ a ‘k’ dell’art. 83.2.
Le sanzioni, a seconda della tipologia della violazione, possono arrivare fino a 20 milioni di Euro o, per le imprese, fino al 4% del fatturato totale annuo dell’esercizio precedente, se superiore al predetto importo (art. 83.4-5-6):non è prevista, tuttavia, una soglia minima.

Articolo del:



L'autore dell'articolo non è nella tua città?

Cerca un professionista con le stesse caratteristiche a te più vicino.

Cerca nella tua città o in una città di tuo interesse

Altri articoli del professionista

Riforma Orlando: la nuova impugnazione penale

La nuova forma dell'impugnazione. Il ritorno del 'concordato' in Appello. E l'imputato non può più ricorrere personalmente in Cassazione

Continua

Riforma Orlando e processo penale

Le sentenze di non luogo a procedere ora sono di nuovo appellabili. E sono state introdotte novità in tema di riti speciali

Continua

Un nuovo esempio di 'populismo giudiziario'

Il reato di STALKING non potrà più essere estinto all'esito delle condotte riparatorie

Continua

L'equo compenso garantisce i professionisti?

La legge introduce l'equo compenso, ma non lo pone al riparo dalle clausole vessatorie

Continua

La legge sul c.d. 'Whistleblowing'

E' in vigore la legge che tutela il dipendente pubblico e privato che segnali illeciti

Continua

Le SS.UU. decidono sulla colpa medica

Le Sezioni Unite della Cassazione Penale dirimono un contrasto giurisprudenziale sull'ambito applicativo della non punibilità

Continua

Il Responsabile per la protezione dei dati

Il DPO: la nuova figura introdotta dal Regolamento Europeo sulla Privacy

Continua

Struttura sanitaria e responsabilità civile

L'ultimo arresto della S.C. in tema di responsabilità della struttura sanitaria per fatto di terzi

Continua

DDL Lorenzin e riforme in ambito sanitario

Il D.D.L. Lorenzin, definitivamente approvato dal Senato il dicembre scorso, ha introdotto rilevanti novità in ambito sanitario

Continua

Intercettazioni, un nuovo reato (art. 617 septies c.p.)

Il nuovo D.Lgs.vo in tema di intercettazioni ha introdotto il reato di diffusione di riprese e registrazioni fraudolente

Continua

Privacy e profilazione in ambito penale

Il pericolo di creare in avvenire delle categorie di 'cattivi cittadini'

Continua

Responsabilità psichiatrica

La responsabilità dello psichiatra e della struttura sanitaria nel difficile equilibrio tra rispetto della libertà e protezione di pazienti e terzi

Continua