L’evoluzione della normativa Privacy

Cosa cambia e cosa viene mantenuto

Di seguito cercheremo di fornire informazioni chiare e semplici in relazione alle modifiche che il Regolamento ha introdotto per le aziende e cosa è necessario fare per adeguare un sistema privacy già esistente ed elaborato ai sensi di quanto previsto dal D.Lgs. 196/03.

Fondamenti di liceità del trattamento

Il regolamento conferma che ogni trattamento deve trovare fondamento in un’idonea base giuridica; i fondamenti di liceità del trattamento sono indicati all’art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice privacy – d.lgs. 196/2003 (consenso, adempimento obblighi contrattuali, interessi vitali della

persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati).

Cosa cambia

  • Per i dati “sensibili” il consenso deve essere “esplicito”; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione).
  • Non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per i dati sensibili); inoltre, il titolare deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento.
  • Il consenso dei minori è valido a partire dai 16 anni (il limite di età può essere abbassato fino a 13 anni dalla normativa nazionale); prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.

Cosa non cambia

  • Deve essere, in tutti i casi, libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo).
  • Deve essere manifestato attraverso “dichiarazione o azione positiva inequivocabile”.

Il nostro servizio, oltre a permettere l’evoluzione dei modelli attualmente utilizzati dall’azienda, mira anche a verificare che il consenso raccolto precedentemente al 25 maggio 2018 resti valido, analizzando se ha tutte le caratteristiche sopra individuate. In caso contrario, sarà nostra cura predisporre un piano di azione per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento, se si vuole continuare a fare ricorso a tale base giuridica.

Informativa

Cosa cambia

  • I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del regolamento e in parte sono più ampi rispetto al Codice. In particolare, il titolare deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati – Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.).
  • Il regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo.
  • Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.
  • Nel caso di dati personali non raccolti direttamente presso l’interessato (art. 14 del regolamento), l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato) (diversamente da quanto prevede attualmente l’art. 13, comma 4, del Codice).
  • Il regolamento specifica molto più in dettaglio rispetto al Codice le caratteristiche dell’informativa, che deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative.
  • L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online), anche se sono ammessi “altri mezzi”, quindi può essere fornita anche oralmente, ma nel rispetto delle caratteristiche di cui sopra. Il regolamento ammette, soprattutto, l’utilizzo di icone per presentare i contenuti dell’informativa in forma sintetica, ma solo “in combinazione” con l’informativa estesa (art. 12, paragrafo 7); queste icone dovranno essere identiche in tutta l’Ue e saranno definite prossimamente dalla Commissione europea.

Cosa non cambia

  • L’informativa (disciplinata nello specifico dagli artt. 13 e 14 del regolamento) deve essere fornita all’interessato prima di effettuare la raccolta dei dati (se raccolti direttamente presso l’interessato – art. 13 del regolamento). Se i dati non sono raccolti direttamente presso l’interessato (art. 14 del regolamento), l’informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento. In tutti i casi, il titolare deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati.

La nostra attività consiste anche nella verifica della rispondenza delle informative attualmente utilizzate a tutti i criteri sopra delineati, con particolare riguardo ai contenuti obbligatori e alle modalità di redazione, in modo da apportare le modifiche o le integrazioni eventualmente necessarie ai sensi del regolamento.

Diritti degli interessati

Cosa cambia

  • Il termine per la risposta all’interessato è, per tutti i diritti (compreso il diritto di accesso), 1 mese, estendibile fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego.
  • Spetta al titolare valutare la complessità del riscontro all’interessato e stabilire l’ammontare dell’eventuale contributo da chiedere all’interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive (anche ripetitive) (art.12, paragrafo 5. Il riscontro all’interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità; può essere dato oralmente solo se così richiede l’interessato stesso.
  • La risposta fornita all’interessato non deve essere solo “intelligibile”, ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.
  • Il diritto di accesso prevede in ogni caso il diritto di ricevere una copia dei dati personali oggetto di trattamento. Fra le informazioni che il titolare deve fornire non rientrano le “modalità” del trattamento, mentre occorre indicare il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi.
  • Vengono introdotti nuovi diritti specifici:
    • Diritto di limitazione del trattamento (art. 18)
    • Diritto alla portabilità dei dati (art. 20)

 Cosa non cambia

  • ll titolare del trattamento deve agevolare l’esercizio dei diritti da parte dell’interessato, adottando ogni misura (tecnica e organizzativa) a ciò idonea.
  • L’esercizio dei diritti è, in linea di principio, gratuito per l’interessato, ma possono esservi eccezioni.
  • Sono ammesse deroghe ai diritti riconosciuti dal regolamento, ma solo sul fondamento di disposizioni normative nazionali, ai sensi dell’articolo 23 nonché di altri articoli relativi ad ambiti specifici.

Il nostro intervento mira all’individuazione di le misure tecniche e organizzative eventualmente necessarie per favorire l’esercizio dei diritti e il riscontro alle richieste presentate dagli interessati, che – a differenza di quanto attualmente previsto – dovrà avere per impostazione predefinita forma scritta (anche elettronica). Inoltre ha come obiettivo la verifica delle modalità di accesso offerta agli interessati per esercitare anche i nuovi diritti che precedentemente non erano previsti nel Codice.

 

 

 

Titolare, responsabile, incaricato del trattamento

Cosa cambia

Il Regolamento:

  • disciplina la contitolarità del trattamento e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente;
  • fissa più dettagliatamente (rispetto al Codice) le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente che il responsabile fornisce “garanzie sufficienti” quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, e categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento;
  • consente la nomina di sub-responsabili del trattamento da parte di un responsabile, per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario;
  • prevede obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari, come la designazione di un RPD-DPO.

La nostra attività è finalizzata a valutare attentamente l’esistenza di eventuali situazioni di contitolarità (essendo obbligati in tal caso a stipulare l’accordo interno di cui parla l’art. 26, paragrafo 1, del regolamento). Sarà necessario, in particolare, individuare il “punto di contatto per gli interessati” previsto dal suddetto articolo ai fini dell’esercizio dei diritti previsti dal regolamento. Si procederà inoltre con la verifica che i contratti o altri atti giuridici che attualmente disciplinano i rapporti con i rispettivi responsabili per assicurarsi che gli stessi siano conformi a quanto previsto, in particolare, dall’art. 28, paragrafo 3, del regolamento. Si stimolerà l’adozione di disciplinari interni in attesa che il Garante approvi codici deontologici o schemi di certificazione attraverso i quali il responsabile può dimostrare le “garanzie sufficienti” di cui all’art. 28, paragrafi 1 e 4. Le disposizioni del Codice in materia di incaricati del trattamento sono pienamente compatibili con la struttura e la filosofia del regolamento, perciò il nostro intervento, anche alla luce del principio di “responsabilizzazione” di titolari e responsabili del trattamento che prevede l’adozione di misure atte a garantire proattivamente l’osservanza del regolamento nella sua interezza, è finalizzato all’adeguamento delle modalità di formazione ed individuazione degli incaricati o comunque dei soggetti autorizzati al trattamento.