GDPR: cosa cambia con il nuovo regolamento privacy europeo?

Dal D.lgs 196/2003 al Reg. 2016/679/UE

di Manuela Bianchi

La prossima entrata in vigore, prevista per il 25 maggio 2018, del Regolamento Europeo della Privacy n. 2016/679, comunemente detto GDPR, pone la necessità di evidenziare le principali differenze tra tale normativa e quella attualmente in vigore in Italia, in modo da avere presente quali devono essere i punti di attenzione per  risultare in linea con la disciplina europea.

Invero, il D. Lgs. n. 196/2003, Codice del trattamento dei dati personali, non viene del tutto abrogato, ma alcune disposizioni in esso contenute devono essere modificate o integrate alla luce delle disposizioni del GDPR, il cui scopo è fornire a tutti gli Stati membri della

UE regole comuni in materia di trattamento dei dati personali, in modo da eliminare le disparità di trattamento tra i soggetti dell’Unione.

Fin dalla sua pubblicazione nella gazzetta Ufficiale della UE, nel 2016, il GDPR ha posto questioni interpretative, alcune delle quali ancora da risolvere da parte principalmente del Garante Privacy (non solo italiano, ma di qualunque Stato membro) e di coordinamento con la disciplina nazionale già in vigore. A tal fine, il Garante Privacy ha attivato non solo una serie di tavoli di lavoro con i rappresentanti delle maggiori realtà associative italiane, private e pubbliche, ma sta anche svolgendo un lavoro interpretativo e coordinativo, in modo da fornire agli interessati le indicazioni chiare e necessarie per poter adeguarsi alla nuova normativa.

Tra le varie iniziative finora intraprese, lo stesso Garante ha pubblicato una Guida in cui illustra le principali modifiche che il GDPR apporta al D. Lgs. n. 196/2003, rilevando le differenze tra le due leggi. Scopo del presente articolo è, quindi, riassumere in maniera sintetica le più rilevanti tra tali modifiche.

 

  • Fondamenti di liceità del trattamento: sono indicati nell’art. 6 del GDPR e, in linea di massima, coincidono con quelli del D. Lgs. n. 196/2003 (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, doveri del titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati sono comunicati), con alcuni cambiamenti:
    • Consenso: (i) deve essere esplicito per i dati sensibili e in caso di trattamenti automatizzati, compresa la profilazione. “Esplicito” non è sinonimo di forma scritta, benché questa è la modalità idonea per configurare l’inequivocabilità del consenso e, in ogni caso, il titolare deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento; (ii) il consenso dei minori è valido a partire dai 16 anni.
    • Interesse vitale di un terzo: è invocabile a condizione che, nella fattispecie concreta, nessuna delle altre condizioni di liceità può trovare applicazione.
    • Interesse legittimo prevalente di un titolare o di un terzo: il bilanciamento tra tale interesse e i diritti e la libertà dell’interessato spetta allo stesso titolare (estensione del principio di “responsabilizzazione”, uno dei cardini del GDPR).
    • Informativa: i contenuti dell’Informativa sono tassativamente indicati negli artt. 13, par. 1, e 14, par. 1, del GDPR. In particolare, essa deve contenere: (i) i dati di contatto del RDP-DPO (Responsabile della protezione dati – Data Protection Officer), ove esistente; (ii) la base giuridica del trattamento; (iii) l’interesse legittimo, se costituisce la base legittima del trattamento; (iv) se i dati sono trasferiti in Paesi terzi e, in caso affermativo, attraverso quali strumenti; (v) periodo di conservazione dei dati o i criteri per stabilire tale periodo; (vi) diritto di presentare un reclamo all’autorità di controllo; (vi) in caso di processi decisionali automatizzati, compresa la profilazione, indicazione della logica di tali processi e delle conseguenze previste per l’interessato.
      Nell’ipotesi di dati personali non raccolti direttamente presso l’interessato, l’Informativa deve essere fornita entro un tempo non superiore a un mese dalla raccolta, oppure al momento della comunicazione dei dati.

      • Caratteristiche dell’Informativa: concisa, trasparente, intellegibile per l’interessato e facilmente accessibile, uso di un linguaggio chiaro e semplice e previsione di idonee informative per i minori.
      • Forma dell’Informativa: date le imprescindibili caratteristiche sopra delineate, in linea di principio è data per iscritto e preferibilmente in formato elettronico, fermo restando che sono ammessi altri mezzi, compresa la forma orale. È ammesso l’uso di icone che ne riassumono i contenuti principali, ma solo in combinazione con l’Informativa estesa. Le icone devono essere uguali in tutti gli Stati membri e saranno definite dalla Commissione europea.
      • Tempi: l’Informativa deve essere fornita all’interessato prima di effettuare la raccolta dei dati o, se questi non sono raccolti direttamente presso l’interessato, deve comprendere anche le categorie dei dati personali oggetto di trattamento. Il titolare deve sempre comunque specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati e, se esiste un responsabile del trattamento, la sua identità e quali sono i destinatari dei dati.

 

  • Diritti degli interessati:
    • Modalità per l’esercizio dei diritti (artt. 11 e 12 GDPR): il termine per la risposta all’interessato è un mese, estendibile fino a tre mesi in casi di particolare complessità. Il titolare deve sempre dare un riscontro all’interessato entro un mese dalla richiesta, anche in caso di diniego. Spetta al titolare valutare la complessità del riscontro all’interessato e l’ammontare dell’eventuale contributo da chiedere a quest’ultimo, ma solo se si tratta di richieste manifestamente infondate o eccessive o ripetitive, o se prevedono il rilascio di più copie dei dati personali nell’ipotesi di diritto di accesso. La risposta all’interessato deve essere data per iscritto (la forma orale è ammessa solo se espressamente richiesta dall’interessato), concisa, trasparente, facilmente accessibile ed espressa con un linguaggio semplice e chiaro.
    • Diritto di accesso (art. 15 GDPR): è il diritto a ricevere una copia dei dati personali oggetto di trattamento nonché l’indicazione del periodo di conservazione previsto o, se non è possibile prevederlo, dei criteri utilizzati per definire tale periodo e le garanzie applicate in caso di trasferimento dei dati in Paesi terzi.
    • Diritto di cancellazione – diritto all’oblio (art. 17 GDPR): è il diritto di cancellazione dei propri dati personali in forma rafforzata. I titolari hanno l’obbligo, se hanno reso pubblici tali dati, ad esempio pubblicandoli su un sito web, di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi “qualsiasi link, copia o riproduzione”. Rispetto al D. Lgs. n. 196/2003 l’interessato ha il diritto di chiedere la cancellazione dei propri dati anche dopo la revoca del consenso al trattamento.
    • Diritto di limitazione del trattamento (art. 18 GDPR): è un diritto diverso e più esteso rispetto all’attuale “blocco” del trattamento previsto dall’art. 7, comma 3, lett. a) del D. Lgs. n.196/2003. Il GDPR prevede, infatti, che tale diritto possa essere esercitato non solo in caso di violazione dei presupposti di liceità del trattamento (quale alternativa alla cancellazione dei dati), bensì anche se l’interessato chiede la rettifica dei suoi dati o si oppone al trattamento, in attesa della valutazione di tale opposizione da parte del titolare.
    • Diritto alla portabilità dei dati (art. 20 GDPR): è uno dei nuovi diritti introdotti dalla normativa europea. Esso non si applica ai trattamenti non automatizzati (archivi o registri cartacei); sono portabili solo i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato e solo i dati che siano stati forniti dall’interessato al titolare. Quest’ultimo deve, inoltre, essere in grado di trasferire direttamente i dati portabili a un altro titolare indicato dall’interessato, se tecnicamente possibile.

 

  • Titolare, Responsabile, Incaricato del trattamento (artt. 26 e ss. GDPR):
    • Contitolarità del trattamento (art. 26 GDPR): i titolari devono definire specificamente con un atto giuridicamente valido il rispettivo ambito di responsabilità e i relativi compiti con particolare riguardo all’esercizio dei diritti degli interessati, che hanno la possibilità di rivolgersi indifferentemente a qualunque titolare operante congiuntamente. Con riferimento al predetto atto giuridicamente valido, l’art. 29 GDPR specifica che deve trattarsi di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente le materie riportate all’art. 28, par. 3, al fine di dimostrare che il titolare offre garanzie sufficienti (natura, durata e finalità del trattamento, categorie di dati oggetto di trattamento, misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e delle disposizioni regolamentari). È consentita la nomina di sub-responsabili del trattamento da parte di un responsabile (art. 28, par. 4 GDPR) per specifiche attività di trattamento. Il responsabile risponde davanti al titolare per eventuali inadempimenti del sub-responsabile, salvo che dimostri che l’evento dannoso “non gli è in alcun modo imputabile”.
    • Obblighi specifici in capo ai responsabili del trattamento, distinti da quelli dei titolari: tenuta del registro dei trattamenti svolti (art. 30, par. 2 GDPR); adozione di misure tecniche e organizzative per garantire la sicurezza dei trattamenti (art. 32 GDPR); designazione di un RDP-DPO nei casi previsti dal Regolamento o dalla normativa nazionale (art. 37 GDPR).
      Importante, infine, la previsione dettata dall’art. 27, par. 3, GDPR relativa all’obbligo di nomina di un rappresentante in Italia da parte del responsabile non stabilito nella UE.

 

  • Approccio basato sul rischio e misure di accountability (i.e. responsabilizzazione) di titolari e responsabili: in generale, si tratta dell’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento. In pratica, viene affidato ai titolari il compito di stabilire autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, sempre nel rispetto delle normative e dei criteri contenuti nel GDPR.
    • Data protection by default e by design (art. 25 GDPR): analisi preventiva per configurare il trattamento prevedendo a monte, ovvero prima di procedere al trattamento, le garanzie indispensabili al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati. L’analisi preventiva deve attuarsi attraverso una serie di attività specifiche e dimostrabili, tra cui quelle connesse al rischio inerente al trattamento. Tale rischio è rappresentato da impatti negativi sulle libertà e i diritti degli interessati, che devono essere analizzati attraverso un apposito processo di valutazione, al cui esito il titolare potrà autonomamente decidere se iniziare il trattamento (perché ha adottato misure idonee a mitigare sufficientemente il rischio) o a consultare l’autorità di controllo competente per avere informazioni su come gestire il rischio. Da notare che l’intervento dell’autorità è quindi successiva alle determinazioni del titolare e non è autorizzativa. Ciò spiega l’abolizione, a partire dal 25 maggio 2018, della notifica preventiva dei trattamenti e della verifica preliminare prevista dall’art. 17 del D. Lgs. n. 196/2003.
    • Registro dei trattamenti (art. 30, par. 5 GDPR): tutti i titolari e i responsabili del trattamento, eccettuati gli organismi con meno di 250 dipendenti, ma solo se non effettuano trattamenti a rischio, devono tenere un registro dei trattamenti effettuati, in forma scritta, anche elettronica, che dovrà essere esibito dietro richiesta del Garante.
    • Misure di sicurezza (art. 32 GDPR): il Regolamento prevede una lista aperta e non esaustiva delle misure tali da garantire un livello di sicurezza adeguato al rischio del trattamento. Dopo il 25 maggio 2018 non potranno sussistere obblighi generalizzati di adozione di misure minime di sicurezza, la cui valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati.
    • Notifica delle violazioni di dati personali: prevede l’obbligo in capo a tutti i titolari di notificare all’autorità competente le violazioni di dati personali di cui vengano a conoscenza entro 72 ore e comunque senza giustificato ritardo, ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati. Ne deriva che la notifica all’autorità non è obbligatoria, essendo subordinata (e qui ritorna il principio di responsabilizzazione) alla valutazione da parte del titolare.
    • Responsabile della protezione dei dati (RDP-DPO): è finalizzata a facilitare l’attuazione del Regolamento da parte del titolare/responsabile. Tale figura (che deve rispondere ai requisiti di indipendenza, autorevolezza e competenza mangariale), infatti, deve, tra l’altro, sensibilizzare e formare il personale in merito agli adempimenti privacy, nonché sorvegliare sulla valutazione di impatto del rischio. La sua designazione è obbligatoria nei casi previsti dall’art. 37. Si rimanda alle Linee Guida stabilite dal Gruppo art. 29 per le maggiori specifiche relative ala DPO.

 

  • Trasferimenti di dati verso Paesi terzi e organismi internazionali (artt. 45 ss. GDPR):
    Resta in vigore la necessità della previa autorizzazione del Garante solo nel caso in cui il titolare desidera utilizzare clausole contrattuali non riconosciute come adeguate dalla Commissione europea oppure accordi amministrativi stipulati tra autorità pubbliche. Il Regolamento consente di ricorrere anche a codici di condotta o schemi di certificazione per dimostrare le garanzie adeguate previste dall’art. 46 GDPR. Ne consegue che i titolari o i responsabili del trattamento dei Paesi terzi potranno far valere gli impegni sottoscritti attraverso l’adesione a codici di condotta o a schemi di certificazione, ove questi disciplino anche o esclusivamente i trasferimenti di dati verso Paesi terzi. In ogni caso, tali titolari dovranno assumere un impegno vincolante mediante uno specifico strumento contrattuale o altro strumento giuridicamente vincolabile o azionabile dagli interessati. È vietato il trasferimento verso Paesi terzi sulla base di decisioni giudiziarie o ordinanze amministrative emesse da autorità di tale Paese terzo in mancanza di accordi internazionali di mutua assistenza giudiziaria o simili. In deroga al principio generale, il Regolamento ammette il trasferimento di dati personali verso un Paese terzo non adeguato “per importanti motivi di interesse pubblico”, purché tale interesse sia riconosciuto dal diritto dello Stato membro del titolare o dal diritto dell’UE (quindi, non  rileva l’interesse pubblico riconosciuto dal solo Paese terzo).

Si noti che, nella sintesi richiesta dal presente contributo, sono stati messi in evidenza in linea generale i principali elementi caratterizzanti il GDPR, in maniera esemplificativa. Si rinvia ad ulteriori approfondimenti oggetto di separati articoli, fermo restando che si tratta di un diritto in fieri, da tenere costantemente sotto controllo alla luce di Linee Guida, interpretazioni e strumenti che verranno sicuramente resi dal Garante e dal Working Group art. 29.


Autore:

 


Libri consigliati:

     

it_ITItaliano
en_USEnglish it_ITItaliano