FAQs
I cambiamenti introdotti per le PUBBLICHE amministrazioni:
➢ dal D. Lgs. n. 196/2003 al Nuovo Regolamento Europeo n. 679/2016 in materia di Privacy
-
Il Regolamento si applica ai titolari e/o ai responsabili del trattamento dei dati personali, aventi uno stabilimento all’interno dell’Unione Europea, indipendentemente dal fatto che il trattamento sia effettuato nella stessa UE.
-
Il testo impone alle Pubbliche Amministrazioni la nomina OBBLIGATORIA di una NUOVA FIGURA PROFESSIONALE c.d. “Responsabile per la Protezione dei Dati” e una forte responsabilizzazione, un cambio di passo, un approccio proattivo al cambiamento.
La protezione dei dati personali diventa, finalmente, un asset strategico delle Pubbliche amministrazioni che deve essere valutato prima, già nel momento di progettazione di nuove procedure, prodotti o servizi, (principi “data protection by design” e “data protection by default) senza derive burocratiche che hanno negli anni passato relegato LA PROTEZIONE DEI DATI PERSONALI ad un mero adempimento formale di mettere una firma per presa visione dell’informativa o per il consenso al trattamento di dati sanitari: con il Regolamento si torna alla concretezza.
Le Pubbliche Amministrazioni hanno, a seguito delle disposizioni del regolamento Europeo, l’OBBLIGO di effettuare una valutazione d’impatto (“privacy impact assessment”) dei trattamenti previsti dal regolamento quando un tipo di trattamento, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
La valutazione d’Impatto in materia di Privacy richiede una puntuale e documentata ANALISI DEI RISCHI per i diritti e le libertà degli interessati. -
Il Regolamento ha previsto un inasprimento delle sanzioni amministrativo a carico di imprese e pubbliche amministrazioni: nel caso di violazioni dei principi e disposizioni del regolamento, le SANZIONI, possono arrivare fino a 20 milioni di euro o per le imprese fino al 4% del fatturato totale annuo.
NOVITÀ SOSTANZIALI
Il Responsabile Protezione Dati (RPD) o Data Protection Officer (DPO)
Tra le prime novità merita sicuramente ATTENZIONE PARTICOLARE una nuova figura professionale che obbligatoriamente si affianca al titolare, al responsabile e all’incaricato del trattamento dei dati.
Tale nuova figura è quella del c.d. Data Protection Officer (“DPO”), ovvero il “Responsabile della protezione dei dati”.
-
IL RPD potrà essere un dipendente della società titolare del trattamento (cosa sconsigliabile dato il requisito di autonomia funzionale ed operativa che mal si concilia con un rapporto subordinato) o decisamente meglio optare per un consulente esterno capace di assolvere i propri compiti in base ad un CONTRATTO DI SERVIZI in piena autonomia ed indipendenza.
Ad ogni modo, ogni azienda dovrà rendere noti i dati del proprio RPD – il quale dovrà essere contattabile facilmente da tutti i soggetti “interessati” (quindi il nominativo dovrà essere inserito nell’informativa privacy) – nonché comunicarli al locale Garante per la protezione dei dati personali. -
Il RPD all’interno dell’azienda riferirà direttamente al Titolare del Trattamento o comunque ai vertici gerarchici della società, senza intermediazioni, e con grande autonomia e indipendenza, rispetto agli altri dirigenti interessati.
Principali compiti del RPD:
• informare e consigliare il titolare o il responsabile del trattamento, nonché formare (formazione obbligatoria) i dipendenti e quadri, in merito agli obblighi derivanti dal Regolamento;
• verificare l’attuazione e l’applicazione della normativa, oltre alla sensibilizzazione del personale e dei relativi auditors;
• fornire pareri e consulenza in merito alla valutazione d’impatto (Privacy Impact) sulla protezione dei dati e sorvegliare i relativi adempimenti;
• fungere da punto di contatto per gli “interessati”, in merito a qualunque problematica connessa al trattamento dei loro dati nonché all’esercizio dei loro diritti;
• fungere da punto di contatto per il Garante per la Protezione dei Dati Personali oppure, eventualmente, consultare il Garante di propria iniziativa con interpellanze, pareri e quesiti. -
Il RPD dovrà essere obbligatoriamente presente all’interno di tutte:
• le aziende pubbliche P.A. od assimilate;
• le aziende od anche studi professionali ove i trattamenti presentino specifici rischi, come ad esempio quelle nelle quali sia richiesto un monitoraggio regolare e sistematico degli “interessati”, su larga scala, e quelle che trattano i c.d. “dati sensibili” sanitari o giudiziari su larga scala;
• Le società, con più di 250 dipendenti. La figura del DPO deve essere incaricata, con contratto di servizio, tra personale qualificato, interno od esterno all’azienda (outsourcing). -
Ogni titolare del trattamento dei dati ha l’obbligo di effettuare una “valutazione di impatto sulla protezione dei dati” (Privacy Impact Assessment).
Tale adempimento è richiesto in relazione ai trattamenti automatizzati con strumenti informatici, ivi compresa la profilazione, o con riguardo ai trattamenti su larga scala di categorie particolari di dati (sensibili), nonché relativamente ai dati ottenuti dalla sorveglianza sistematica, sempre su larga scala, di zone accessibili al pubblico.
Sono esonerati da alcuni adempimenti, quelli più gravosi, solo alcune categorie tipo piccole PMI e chi tratta dati semplici, fermo restando però l’obbligo di adempiere a quelli di base obbligatori per chiunque tratta dati specie con strumenti informatici.
Questo esonero non può essere applicato anche agli esonerati nel momento in cui però: “…il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato”, il “trattamento non sia occasionale” o “includa il trattamento di categorie particolari di dati (sensibili)…o i dati personali relativi a condanne penali…”. -
Altra novità di rilievo, è l’introduzione dell’obbligo, per ogni azienda titolare del trattamento dei dati specie sensibili, di tenere un “registro delle attività di trattamento” (anche in formato elettronico) svolte sotto la propria responsabilità, al fine di poter DIMOSTRARE la CONFORMITÀ delle misure di sicurezza tecniche (informatiche) e organizzative adottate in ottemperanza alle disposizioni del Regolamento.
In detto registro dovranno essere riportate:
• la tipologia e le attività di trattamento svolte sotto la propria responsabilità;
• le finalità del trattamento e la loro non eccedenza ai requisiti;
• una descrizione delle categorie di interessati e delle categorie di dati personali coinvolti.
Cosa cambierà per i cittadini, imprese e professionisti e per le pubbliche amministrazioni?
-
Il Regolamento si applica ai titolari e/o ai responsabili del trattamento dei dati personali, aventi uno stabilimento all’interno dell’Unione Europea, indipendentemente dal fatto che il trattamento sia effettuato nella stessa UE.
La nuova normativa si applicherà a tutti i soggetti presenti nell’UE anche quando, sebbene l’azienda titolare del trattamento non abbia uno stabilimento in territorio UE, il trattamento stesso riguardi l’offerta di beni o la prestazione di servizi ai soggetti interessati od il monitoraggio del loro comportamento online, nella misura in cui tale comportamento abbia luogo all’interno dell’Unione Europeo. -
Il consenso – presupposto indispensabile per la liceità del trattamento – può essere rilasciato dall’interessato anche con sistemi automatizzati; infatti il Regolamento ritiene idonea «qualsiasi manifestazione di volontà libera, specifica, informata ed esplicita con la quale l’interessato accetta, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento» (art. 4 comma 11).
Inoltre, il titolare deve poter dimostrare in ogni momento che l’interessato ha prestato il proprio consenso al trattamento dei propri dati; se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta deve essere distinguibile, comprensibile e facilmente accessibile.
L’interessato può revocare il proprio consenso in qualsiasi momento e di tale possibilità deve essere adeguatamente informato.- Consenso dei minori.
Il Regolamento prevede che nell’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove questo abbia almeno 16 anni. Il trattamento di dati personali di minori di età 16 anni è lecito se e nella misura in cui il consenso è espresso o autorizzato dal genitore o dal tutore.
- Consenso dei minori.
-
Tra le prime novità merita sicuramente attenzione particolare una nuova professionalità che va ad affiancarsi al titolare, al responsabile e all’incaricato del trattamento dei dati. Tale nuova figura è quella del c.d. Data Protection Officer (“DPO”), ovvero il “responsabile della protezione dei dati”.
Il DPO dovrà essere obbligatoriamente presente all’interno di tutte:a. le aziende pubbliche P.A. od assimilate;
b. le aziende od anche studi professionali ove i trattamenti presentino specifici rischi, come ad esempio quelle nelle quali sia richiesto un monitoraggio regolare e
sistematico degli “interessati”, su larga scala, e quelle che trattano i c.d. “dati sensibili” sanitari o giudiziari su larga scala.c. Le società facenti parte di uno stesso gruppo, a livello nazionale o transfrontaliero, potranno nominare un unico DPO, a condizione che lo stesso sia facilmente raggiungibile da ciascuna società del gruppo stesso, per cui la figura del DPO deve essere incaricata, con contratto di servizio, tra personale qualificato, interno od esterno all’azienda (outsourcing), ma che sia nella zona di operatività della struttura.
3.1 Chi può svolgere il compito di DPO?
Il DPO potrà essere un dipendente della società titolare del trattamento (cosa sconsigliabile dato il requisito di autonomia funzionale ed operativa che mal si concilia con un rapporto subordinato) o decisamente meglio optare per un consulente esterno capace di assolvere i propri compiti in base ad un CONTRATTO DI SERVIZI in piena autonomia ed indipendenza.
Ad ogni modo, ogni azienda dovrà rendere noti i dati del proprio DPO – il quale dovrà essere contattabile facilmente da tutti i soggetti “interessati” (quindi il nominativo dovrà essere inserito nell’informativa privacy)– nonché comunicarli al locale Garante per la protezione dei dati personali.3.2 Cosa deve fare il DPO?
Il DPO all’interno dell’azienda riferirà direttamente al Titolare del Trattamento o comunque ai vertici gerarchici della società, senza intermediazioni, e con grande autonomia e indipendenza, rispetto agli altri dirigenti interessati.
Principali compiti del DPO:a) informare e consigliare il titolare o il responsabile del trattamento, nonché formare (formazione obbligatoria) i dipendenti e quadri, in merito agli obblighi derivanti dal Regolamento;
b) verificare l’attuazione e l’applicazione della normativa, oltre alla sensibilizzazione del personale e dei relativi auditors;
c) fornire pareri e consulenza in merito alla valutazione d’impatto (Privacy Impact) sulla protezione dei dati e sorvegliare i relativi adempimenti;
d) fungere da punto di contatto per gli “interessati”, in merito a qualunque problematica connessa al trattamento dei loro dati nonché all’esercizio dei loro diritti;
e) fungere da punto di contatto per il Garante per la Protezione dei Dati Personali oppure, eventualmente, consultare il Garante di propria iniziativa con interpellanze, pareri e quesiti.
-
Altra novità di rilievo, è l’introduzione dell’obbligo, per ogni azienda titolare del trattamento dei dati specie sensibili, di tenere un “registro delle attività di trattamento” (anche in formato elettronico) svolte sotto la propria responsabilità, al fine di poter
dimostrare la CONFORMITÀ delle misure di sicurezza tecniche (informatiche) e organizzative adottate in ottemperanza alle disposizioni del Regolamento.
In detto registro dovranno essere riportate:i) la tipologia e le attività di trattamento svolte sotto la propria responsabilità
ii) le finalità del trattamento e la loro non eccedenza ai requisiti
iii) una descrizione delle categorie di interessati e delle categorie di dati personali coinvolti
iv) trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale.
-
Tale adempimento è richiesto in relazione ai trattamenti automatizzati con strumenti informatici, ivi compresa la profilazione, o con riguardo ai trattamenti su larga scala di categorie particolari di dati (sensibili), nonché relativamente ai dati ottenuti dalla sorveglianza sistematica, sempre su larga scala, di zone accessibili al pubblico.
Sarà ad ogni modo il Garante Privacy (per quanto riguarda l’Italia), a redigere e rendere pubblico l’elenco delle tipologie di trattamenti soggetti al requisito della “valutazione di impatto sulla protezione dei dati“.
Sono esonerati da alcuni adempimenti, quelli più gravosi, solo alcune categorie tipo piccole PMI ed chi tratta dati semplici, fermo restando però l’obbligo di adempiere a quelli di base obbligatori per chiunque tratta dati specie con strumenti informatici.
Questo esonero non può essere applicato anche agli esonerati nel momento in cui però: “…il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il “trattamento non sia occasionale” o “includa il trattamento di categorie particolari di dati (sensibili)”…o i dati personali relativi a condanne penali…”.elle categorie di interessati e delle categorie di dati personali coinvolti. -
Il Regolamento riconosce espressamente il diritto all’oblio, ovvero la possibilità per l’interessato di decidere che siano cancellati e non sottoposti ulteriormente a trattamento i propri dati personali non più necessari per le finalità per le quali sono stati raccolti, nel caso di revoca del consenso o quando si sia opposto al trattamento dei dati personali che lo riguardano o quando il trattamento dei suoi dati personali non sia altrimenti conforme al Regolamento.
In particolare, nel testo del Regolamento il diritto all’oblio è recepito dall’art. 17, dove viene sancito che l’interessato ha il diritto di ottenere dal responsabile del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato
ritardo. In tal caso il responsabile del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
i) i dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
ii) l’interessato ritira il consenso su cui si basa il trattamento e non sussiste altro motivo legittimo per trattare i dati;
iii) l’interessato si oppone al trattamento dei dati personali e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;
iv) i dati sono stati trattati illecitamente;
v) i dati devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o degli Stati membri cui è soggetto il responsabile del trattamento;
vi) i dati sono stati raccolti relativamente all’offerta di servizi della società dell’informazione. -
Tra i nuovi diritti dell’interessato il Regolamento stabilisce il diritto alla “portabilità dei dati”. L’interessato grazie al data portability ha, dunque, il diritto di:
i) ricevere in un formato strutturato, di uso comune e leggibile ( magari in formato OpenSource) da dispositivo automatico, i dati personali che lo riguardano forniti a un titolare del trattamento
ii) trasmettere tali dati a un altro titolare del trattamento senza impedimenti, qualora l’interessato abbia fornito il proprio consenso al trattamento o se questo sia necessario per l’esecuzione di un contratto (telefonia- internet- social) -
Il Regolamento sancisce il principio di “accountability”, ovvero l’obbligo di rendicontazione per cui l’Azienda dovrà dimostrare, fattivamente e concretamente, l’adozione di politiche privacy e misure adeguate in conformità al Regolamento.
Il principio in esame si estrinseca nella VALUTAZIONE:
a) della “trasparenza”, intesa come garanzia della completa accessibilità alle informazioni, in primo luogo per i cittadini, anche in quanto utenti del servizio;
b) della “responsività”, intesa come la capacità di rendere conto di scelte, comportamenti e azioni e di rispondere alle questioni poste dagli stakeholder;
c) della “compliance”, intesa come capacità di far rispettare le norme (specie al proprio interno).
Il nuovo Regolamento recepisce tale principio all’art. 22, il quale prevede che, tenuto conto della natura, del campo di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il responsabile del trattamento mette in atto misure “tecniche (informatiche) e
organizzative adeguate per garantire – ed essere in grado di dimostrare – che il trattamento dei dati personali è effettuato conformemente al Regolamento”.
Il Regolamento introduce un altro importante elemento di novità prevedendo la possibilità per il titolare del trattamento di ricorrere ad organismi di certificazione (art. 42), al fine di dimostrare il rispetto agli obblighi derivanti dal Regolamento stesso. -
Con il Regolamento la protezione dei dati diventa un asset strategico delle aziende che deve essere valutato, già nel momento di progettazione di nuove procedure, prodotti o servizi: ciò grazie alla privacy by design e privacy by default.
Il Regolamento introduce:
a) il principio della “privacy by design”, dal quale discende l’attuazione di adeguate misure tecniche e organizzative sia all’atto della progettazione che dell’esecuzione del trattamento, affinché la protezione dei dati sia effettiva nell’intero ciclo di vita della tecnologia, dall’ideazione sino alla dismissione;
b) il principio della “privacy by default“, che ricalca il principio di necessità di cui all’attuale disciplina, stabilendo che i dati vengano trattati solamente per le finalità previste e per il periodo strettamente necessario a tali fini. Si ribadiscono con forza, dunque, il principio di minimizzazione del trattamento e il principio di finalità e conservazione. -
Importante novità introdotta dal Regolamento è l’obbligo da parte delle aziende e professionisti, in caso di violazione o perdita dei dati personali di notificare all’Autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, l’avvenuta violazione dei dati degli interessati.
Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo.
Oggi l’obbligo di notifica della violazione è previsto solo in alcuni settori (provider telecomunicazioni); il Garante della Privacy lo scorso 24.5.2016 ha pubblicato un’infografica che offre un prospetto sintetico sugli attuali obblighi in caso di violazione dei data breach. -
Il Regolamento, oltre a rafforzare i poteri delle Autorità Garanti nazionali, ha inasprito l’ammontare delle sanzioni amministrative pecuniarie, che potranno arrivare anche a 10 milioni di Euro o fino al 4% del fatturato mondiale totale annuo.