A decorrere dal 25 maggio 2018 sarà direttamente applicabile anche in Italia il nuovo Regolamento europeo n. 679/2016 in materia di protezione dei dati.

Fino a tale data rimarrà in vigore l’attuale Codice della privacy (D.Lgs. n. 196/2003) che già da tempo prevede in capo ai titolari di trattamento una serie di adempimenti quali informativa e acquisizione del consenso degli interessati, adozione di misure di sicurezza a garanzia della protezione dei dati, ecc.

In attesa che il quadro normativo complessivo in materia di protezione dei dati sia adeguato e coordinato con le nuove disposizioni del Regolamento in modo da consentire una analisi più dettagliata degli adempimenti a carico delle piccole e medie imprese, proponiamo di seguito una sintesi delle principali novità e degli adempimenti previsti dal Regolamento.

Principi applicabili al trattamento

Liceità, correttezza e trasparenza. I dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato.

Limitazione della finalità. I dati devono essere raccolti per finalità determinate esplicite e legittime e successivamente trattati in modo che non sia incompatibile con tali finalità.

Minimizzazione dei dati. I dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono stati trattati.

Esattezza. I dati devono essere esatti e se necessario aggiornati.

Limitazione della conservazione. I dati devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.

Integrità e riservatezza.
I dati devono essere trattati in modo da garantire un’adeguata sicurezza, compresa la loro protezione, mediante misure tecniche ed organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o danni accidentali.

Responsabilizzazione. Il titolare del trattamento è competente per il rispetto dei principi sopra elencati e deve essere in grado di comprovarlo.

Liceità del trattamento

Il trattamento di dati personali è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

• l’interessato ha espresso il consenso al trattamento dei propri dati personali;
• per l’esecuzione di un contratto di cui l’interessato è parte;
• per adempiere ad un obbligo legale al quale è soggetto il titolare del trattamento;
• per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
• per l’esecuzione di un compito di interesse
  pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
• per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato.

Informativa all’interessato

Il titolare del trattamento ha l’obbligo di fornire all’interessato tutte le informazioni relative al trattamento dei suoi dati personali e/o sensibili in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. Le informazioni sono fornite all’interessato per iscritto o con altri mezzi, anche elettronici.

I contenuti
dell’informativa sono elencati in modo tassativo nel Regolamento e in parte sono più ampi rispetto al Codice Privacy.

Le informazioni che il titolare del trattamento deve obbligatoriamente fornire all’interessato sono:

• le finalità e la base giuridica del trattamento;
• gli eventuali destinatari a cui sono comunicati i dati;
• se è previsto il trasferimento dei dati in Paesi Terzi;
• i dati identificativi e di contatto del titolare del trattamento, del responsabile del trattamento e ove previsto del responsabile della protezione dei dati.

In aggiunta, devono essere fornite all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:

• il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
• l’esistenza di diritti per l’interessato (diritto di accesso, rettifica, cancellazione, limitazione, opposizione) e la possibilità di proporre reclamo all’autorità di controllo;
• se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
• l’esistenza di un processo decisionale automatizzato, compresa la profilazione.

Qualora i dati non siano stati ottenuti direttamente presso l’interessato, il titolare del trattamento indica all’interessato la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico.

Consenso dell’interessato

Il consenso dell’interessato, quando costituisce base giuridica del trattamento, è una manifestazione di volontà libera, specifica, informata ed inequivocabile con la quale l’interessato acconsente che i suoi dati personali siano oggetto di trattamento. Il consenso deve essere espresso mediante un atto positivo inequivocabile come una dichiarazione scritta, anche attraverso mezzi elettronici, o in forma orale.

Inoltre nel caso in cui il trattamento abbia più finalità, il consenso dove essere prestato (come del resto già oggi) per tutte le finalità.

Non è imposta la forma scritta come condizione obbligatoria per il rilascio del consenso ma il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso ad uno specifico trattamento.

Diritti dell’interessato

Il Regolamento riconosce all’interessato l’esercizio di una serie diritti nei confronti del titolare e del responsabile del trattamento.

Diritto di accesso. L’interessato ha diritto di ottenere informazioni sul periodo di conservazione dei dati; sulla possibilità di proporre reclamo all’Autorità di controllo; sulla fonte di provenienza dei dati personali qualora gli stessi non siano raccolti direttamente presso l’interessato; sull’l’eventuale esistenza di un processo decisionale automatizzato, tra cui la profilazione.

Diritto alla cancellazione o diritto all’oblio. Il regolamento “rafforza” il diritto dell’interessato di ottenere la cancellazione dei dati personali che lo riguardano, anche quelli trattati in ambiente on line, poiché stabilisce espressamente che il titolare del trattamento ha l’obbligo di cancellarli senza ingiustificato ritardo: nel caso in cui i dati personali non siano più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati; quando l’interessato ha ritirato il proprio consenso o si sia opposto al trattamento dei dati suoi personali; quando il trattamento dei suoi dati personali non è conforme al Regolamento.

Negli archivi automatizzati, la limitazione del trattamento dei dati personali dovrebbe in linea di massima essere assicurata mediante dispositivi tecnici. Il sistema dovrebbe inoltre indicare chiaramente che il trattamento dei dati personali è stato limitato.

Diritto di opposizione. In caso di trattamento di dati per finalità di marketing diretto, il diritto di opposizione viene esteso alle attività di profilazione nella misura i cui queste siano connesse a dette finalità di marketing diretto.

Diritto alla portabilità dei dati. L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti.

Ciò sempre a condizione che l’interessato abbia preventivamente fornito il proprio consenso al trattamento o se questo sia necessario per l’esecuzione di un contratto e che il trattamento sia effettuato con mezzi automatici.

Valutazione di impatto sulla protezione dei dati (DPIA)

Il Regolamento promuove la responsabilizzazione (accountability) dei titolari del trattamento e l’adozione di approcci e politiche che tengano conto costantemente del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati. Il principio-chiave è «privacy by design», ossia garantire la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o di un sistema, e adottare comportamenti che consentano di prevenire possibili problematiche.

Nel caso in cui il trattamento possa presentare rischi elevati per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve effettuare, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali.

La valutazione d’impatto sulla protezione dei dati è richiesta, in particolare ma non esclusivamente, nei casi seguenti:

a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;

b) il trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati;

c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Registro dei trattamenti

Il Regolamento prevede che il titolare del trattamento tenga un registro delle attività svolte sotto la propria responsabilità che riporti le seguenti informazioni:

• il nome e i dati di contatto del titolare del trattamento;
• le finalità del trattamento;
• una descrizione delle categorie di interessati e delle categorie di dati personali;
• le categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
• i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale;
• i termini per la cancellazione delle diverse categorie di dati;
• la descrizione generale delle misure di sicurezza tecniche e organizzative.
• L’obbligo di tenere il Registro riguarda anche il responsabile del trattamento per le attività di trattamento svolte per conto di un titolare del trattamento.

Il Registro deve essere conservato sia in forma scritta che in formato elettronico e deve essere esibito su richiesta dal Garante.

Nota Bene. La tenuta del registro non è obbligatoria per le imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento effettuato possa presentare un rischio per i diritti e le libertà dell’interessato, non sia occasionale o riguardi categorie particolari di dati (dati sensibili) o dati personali relativi a condanne penali e a reati.

Responsabile della protezione dei dati (DPO)

Il Regolamento stabilisce l’obbligo per il titolare del trattamento ed il responsabile del trattamento di nominare un responsabile della protezione dei dati (DPO), nei seguenti casi:

• le attività principali del titolare o del responsabile consistono in trattamenti che, per la loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
• le attività principali del titolare e del responsabile consistono nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.

Nota Bene.
L’obbligo di designazione del DPO sussiste solo se il trattamento di dati costituisce l’attività primaria e non si tratta di attività accessoria.

Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti assegnati dal Regolamento, tra cui informare e fornire consulenza in materia di protezione dei dati al titolare o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento. Il DPO può essere interno, un dipendente del titolare del trattamento, oppure esterno ed assolvere i suoi compiti in base a un contratto di servizi. Il titolare o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all’autorità di controllo.

Notifica delle violazioni dei dati (c.d. Data Breach)

In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’Autorità Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica al Garante non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.

Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo.

Informazioni

Ufficio legislativo, dott.ssa Mila Bertoldi (tel. 0461/880326).