Protezione dei dati personali: le principali novità ... · 2. Guida Introduttiva ai Modelli di...

Collana Editoriale del Comitato Affari Legali

N. 10

Protezione dei dati personali: le principali novità introdotte dal

Regolamento (UE) 2016/679.

Aprile 2018

Federchimica – Linea Guida Protezione dei Dati Personali

Federchimica La Federazione Nazionale dell’Industria Chimica rappresenta circa 1.400 Imprese per un totale di circa 90.000 addetti; si articola in 17 Associazioni di settore e 42 Gruppi merceologici ed ha tra gli obiettivi primari il coordinamento e la tutela del ruolo dell’Industria Chimica operante in Italia e l’assistenza alle Imprese Associate. In particolare, per meglio governare l’impatto delle convenzioni internazionali e delle norme tecniche e giuridiche dell’Unione Europea e del Paese, nelle aree della Sicurezza, della Salute e dell’Ambiente per le Imprese Chimiche, Federchimica ha costituito il Comitato Affari Legali. Il Comitato Affari Legali Il Comitato Affari Legali di Federchimica supporta la Federazione nell’interpretazione delle norme internazionali, europee e nazionali: si dedica ad approfondimenti giuridici e manageriali, produce Position Paper e Linee Guida e organizza seminari di aggiornamento. È attualmente costituto da 70 Componenti, Esperti Legali delle Imprese associate, che con l’evoluzione delle normative di maggiore rilievo per il Settore individuano le modalità considerate più efficaci per condurre approfondimenti e azioni sulle tematiche di interesse, anche in stretta collaborazione con altri Comitati operativi all’interno della Federazione. Fra le tematiche affrontate dal Comitato nel corso degli anni, si evidenziano: D.Lgs. 231/01; Class Action; Codice Ambientale; REACH; Competition Law; Appalti; Contratti di Trasporto. La collana editoriale del Comitato Affari Legali 1. Guida al Rispetto delle Norme sulla Concorrenza nell’Applicazione del

Regolamento REACH (Luglio 2008). 2. Guida Introduttiva ai Modelli di Organizzazione previsti dal D.Lgs. 231/01 per i

reati in materia di Salute e Sicurezza (Dicembre 2008). 3. Orientamenti interpretativi in materia di rifiuti, scarichi idrici, bonifiche e danno

all’ambiente alla luce delle recenti modifiche del D.Lgs. 152/06 (Dicembre 2008).

4. Come gestire la “Class Action”: approfondimenti sull’istituto introdotto in Italia

dal nuovo art. 140-bis del “Codice del Consumo” (Novembre 2009). 5. Manuale sulla Normativa Antitrust per le Imprese (Febbraio 2010).


6. Appalti e Sicurezza sul Lavoro: Linee Guida sulla normativa di riferimento e sulla gestione operativa del contratto di appalto (Novembre 2010).

7. Pratiche Commerciali Scorrette: approfondimenti sulle disposizioni dei D.Lgs.

145 e 146 del 2007 (Febbraio 2011). 8. Il D.Lgs. 231/01: approfondimenti sui reati in materia di Sicurezza, Salute e

Ambiente (Marzo 2012).

9. Il D.Lgs. 231/01 e i reati in materia di Sicurezza, Salute e Ambiente: aggiornamenti (Marzo 2018).

10. Protezione dei dati personali: le principali novità introdotte dal Regolamento

(UE) 2016/679 (Aprile 2018).

Il Gruppo di Lavoro “Privacy” Il documento è il risultato dell’attività svolta dal Gruppo di Lavoro “Privacy”, composto da:

Gian Luca CASTELLANI Roquette Italia S.p.A.

Maura DELAINI Rivoira S.p.A.

Susanna FASOLIS Bayer S.p.A.

Alessandro FRANZA Bracco Imaging S.p.A.

Vincenzo MARCHETTI Per Endura S.p.A

Paola NOCERINO Air Liquide Italia S.p.A.

Anna PETTA Bayer S.p.A.

Emanuele POMINI Per Arkema S.r.l.

Valentina RANNO L'Oreal Italia S.p.A.

Laura ZANOTTI Rivoira S.p.A.

Antonella ZARA Rivoira S.p.A.

Amleto ZUCCHI SAPIO Produzione Idrogeno Ossigeno S.r.l.


Avvertenza Il presente documento non fornisce tutte le conoscenze necessarie sulla normativa in materia di protezione dei dati; esso è stato elaborato con l’obiettivo di supportare le Imprese nell’individuazione delle principali modifiche introdotte nell’ordinamento italiano dal Regolamento (UE) 2016/679. Gli stralci dei testi normativi riportati nel documento non sostituiscono in alcun modo quelli pubblicati sulla versione ufficiale cartacea. In merito, si precisa che: ▪ la legislazione comunitaria pubblicata nell’edizione su carta della gazzetta

ufficiale dell’Unione europea è l’unica facente fede; i documenti relativi alla legislazione comunitaria sono tratti dal sito: http://europa.eu;

▪ la legislazione nazionale pubblicata nell’edizione su carta della gazzetta ufficiale della repubblica italiana è l’unica facente fede; i documenti relativi alla legislazione nazionale sono tratti dal sito: http://www.gazzettaufficale.it.


INDICE

PREMESSA Pag. 1

1. OGGETTO, FINALITÀ E AMBITO DI APPLICAZIONE DEL GDPR

Pag. 3

2. DEFINIZIONI CHIAVE: DATO E TRATTAMENTO Pag. 4

3. LE FIGURE “DATA PRIVACY” 3.1 Il Titolare del trattamento 3.2 Il Responsabile del trattamento 3.3 L’Interessato 3.4 L’Incaricato del trattamento e l’Amministratore di sistema 3.5 Il DPO - Data Protection Officer

Pag. Pag. Pag. Pag. Pag. Pag.

5 5 5 6 6 7

4. I PRINCIPI CARDINE DELLA DISCIPLINA SULLA PROTEZIONE DEI DATI 4.1 Necessità 4.2 Liceità e correttezza 4.3 Limitazione delle finalità 4.4 Minimizzazione dei dati 4.5 Esattezza dei dati 4.6 Limitazione della conservazione 4.7 Integrità e riservatezza 4.8 Trasparenza 4.9 Accountability

4.10 Privacy by design e privacy by default

Pag. Pag. Pag. Pag. Pag. Pag. Pag. Pag. Pag. Pag. Pag.

10

10 10 11 11 11 11 12 12 14 15

5. INFORMATIVA E CONSENSO 5.1 L’informativa

5.1.1 Contenuti dell’informativa 5.1.2 Termini per l’erogazione dell’informativa 5.1.3 Linguaggio

5.2 Il Consenso 5.2.1 Definizione e requisiti del consenso 5.2.2 Il consenso al trattamento dei dati relativi a

particolari categorie di dati ed interessati 5.2.3 Il trasferimento dei dati verso un Paese Terzo o

un’organizzazione internazionale 5.2.4 L’attività promozionale/ marketing

Pag. Pag. Pag. Pag. Pag. Pag. Pag. Pag. Pag. Pag.

18 18 20 20 21 23 23 26

28

28

6. DIRITTI DEGLI INTERESSATI ED ESERCIZIO DEI DIRITTI Pag. 31

7. ADEMPIMENTI ED OBBLIGHI 7.1 I nuovi obblighi previsti dal Regolamento (UE) n. 679/2016

7.1.1 Il Registro dei Trattamenti 7.1.2 Data Breach e relativa notifica all’Autorità Garante 7.1.3 La Valutazione d’impatto privacy (DPIA)

Pag. Pag. Pag. Pag. Pag.

33 33 33 33 34

8. SISTEMA SANZIONATORIO E RESPONSABILITÀ Pag. 36


ALLEGATI

Allegato 1 - Schema di atto di designazione del Responsabile della Protezione dei Dati personali (RDP) ai sensi dell’art. 37 del Regolamento UE 2016/679.

Pag. 37

Allegato 2 - Modello comunicazione al garante dei dati dell’RPD/DPO ai sensi dell’art. 37, comma 1, lett. a) e comma 7, del GDPR.

Pag. 40

Allegato 3 – GDPR, articoli 13 e 14. Pag. 41

Allegato 4 - Il sistema sanzionatorio in dettaglio. Pag. 44


1

PREMESSA A partire dal 25 maggio 2018, due anni dalla entrata in vigore, si applicheranno direttamente, in tutta Europa, le disposizioni del Regolamento (UE) 2016/679. Si tratta del cosiddetto «General Data Protection Regulation” (di seguito, “il Regolamento” o “GDPR”), il provvedimento europeo costituito da 173 “consideranda” e 99 articoli, che abroga la precedente Direttiva Europea 95/46/CE, intervenendo sul quadro normativo che gli Stati Membri hanno sviluppato negli anni per recepire tale Direttiva (in Italia, il D.Lgs. 196/03). Obiettivo del Regolamento è quello di uniformare ed armonizzare la disciplina all’interno dell’Unione Europea, eliminando numerose asimmetrie e barriere che si erano create nel corso del tempo con normative nazionali frammentarie e diverse tra loro, le quali ostacolavano la libera circolazione dei dati tra una nazione e l’altra, con la conseguente penalizzazione dello sviluppo del mercato unico digitale. Si definisce una svolta rispetto alla disciplina definita nella Direttiva 95/46/CE, scritta in un’epoca in cui la maggioranza delle persone si scambiava ancora la corrispondenza con fax e francobolli, al fine di adeguare le norme sulla protezione dei dati personali ai cambiamenti determinati dall’incessante evoluzione delle tecnologie e dal conseguente mutamento degli scenari sociali ed economici. In tale contesto, è di tutta evidenza l’importanza della conoscenza e del rispetto della normativa Data Privacy da parte delle Imprese, non solo onde evitare l’applicazione di sanzioni di non poco conto, bensì piuttosto quale reale opportunità per rimanere competitivi e stare al passo con i tempi nell’era digitale. Tra le novità che i Titolari ed i Responsabili dei trattamenti devono, comunque, affrontare per adeguarsi al nuovo Regolamento, grande attenzione deve essere posta, in particolare, sui cambiamenti che devono essere attuati prima del prossimo 25 maggio.


2

Entro il 25 maggio le imprese dovranno:

1) effettuare una mappatura dei trattamenti di dati personali già in corso;

2) verificare la rispondenza delle informative e dei consensi al dettato del GDPR (v. cap. 5);

3) verificare la rispondenza delle clausole contrattuali al dettato del GDPR;

4) compilare un registro di tutti i trattamenti effettuati in azienda ove necessario1;

5) redigere una DPIA (“Data Protection Impact Assessment” o “Valutazione

di Impatto Privacy”) ove necessario2;

6) designare il DPO (Data Protection Officer, nuova figura prevista dal Regolamento) e darne comunicazione al Garante, ove necessario3.

Si evidenzia che è attualmente all’esame del Parlamento uno Schema di Decreto Legislativo che dovrebbe intervenire sulla regolamentazione della protezione dei dati personali, definendo l’abrogazione del D.Lgs. 196/03 e introducendo alcune specifiche sull’applicazione del GDPR in Italia. In considerazione del fatto che il testo è ancora in discussione e , dunque, passibile di modifiche, nel presente documento non si offrono anticipazioni sui contenuti, ma ci si limita ad evidenziare le novità di maggiore rilevo del Regolamento, le cui misure sono direttamente applicabili sul territorio italiano.

1 Non tutte le imprese sono tenute a tale adempimento, ma solo quelle che rientrano in determinati parametri. Per un approfondimento su tale aspetto si rinvia al paragrafo 7.2.1. 2 Non tutte le imprese sono tenute a tale adempimento, ma solo quelle che rientrano in determinati parametri. Per un approfondimento su tale aspetto si rinvia al paragrafo 7.2.3. 3 Non tutte le imprese sono tenute a tale adempimento, ma solo quelle che rientrano in determinati parametri. Per un approfondimento su tale aspetto si rinvia al paragrafo 3.5.

Come prepararsi al 25 maggio 2018


3

1. OGGETTO, FINALITÀ E AMBITO DI APPLICAZIONE DEL GDPR Secondo quanto chiaramente indicato nel primo articolo, il GDPR stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati, circolazione che non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. Pertanto, i Legislatore Europeo chiarisce che i dati riguardano le persone fisiche, anche quando sono frutto di elaborazioni ed assegna a ciascun soggetto giuridico il ruolo di garante della protezione della persona fisica in relazione al trattamento dei dati.

L’articolo 2 disegna il perimetro materiale di applicazione del GDPR, ovvero ogni trattamento interamente o parzialmente automatizzato di dati personali e il trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi. L’articolo 3 definisce i limiti territoriali di applicazione del GDPR. In sintesi, l’impresa stabilita nell’Unione Europea deve adeguarsi al GDPR ovunque si svolga il trattamento, mentre i soggetti non stabiliti nella UE soggiacciono al GDPR ove il trattamento riguardi:

• l’offerta di beni o servizi a interessati che si trovano nella UE, oppure

• il monitoraggio del loro comportamento di soggetti all’interno della UE.


4

2. DEFINIZIONI DI DATO E TRATTAMENTO L’articolo 4, quale vocabolario interno del Regolamento, declina 26 definizioni di parole chiave fondamentali per comprendere i vari passaggi del GDPR. Tra di esse, le definizioni di dato personale Trattamento. Per quella di “dato personale” deve intendersi qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”). Si considera identificabile la persona che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo on line o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. Per “trattamento” si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.


5

3. LE FIGURE “DATA PRIVACY” Nel quadro normativo introdotto dal GDPR si annoverano alcune principali figure, tra le quali: il Titolare del trattamento, il Responsabile del trattamento, il Destinatario, il Terzo, lo Stabilimento principale, il Rappresentante, l’Impresa, il Gruppo imprenditoriale. Si indicano, qui di seguito, le linee essenziali di alcune di esse.

3.1 . Il Titolare del trattamento Il Titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. É appena il caso di ricordare che secondo la costante interpretazione dello stesso Garante per la protezione dei dati personali (vedi ad es. risposta al quesito delle Ferrrovie dello Stato del 9 dicembre 1997) il riferimento alla persona fisica che compare nella definizione di “Titolare” non riguarda coloro che amministrano o rappresentano la persona giuridica, la pubblica amministrazione o l'ente, ma concerne gli individui che effettuano un trattamento di dati a titolo personale (ad esempio, il libero professionista, il piccolo imprenditore). Pertanto, se il trattamento è effettuato ad esempio nell'ambito di una società, il Titolare è l'entità nel suo complesso anziché una o più persone fisiche. In buona sostanza, l’approccio è assai diverso da quello, ben noto, che deve essere seguito nell'applicazione del D.Lgs. 81/2008 in materia di sicurezza e igiene del lavoro. Non è possibile individuare la titolarità del trattamento nelle persone fisiche preposte ad una direzione generale o ad un'area della società.

3.2. Il Responsabile del trattamento Il Responsabile del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che tratta dati personali per conto del Titolare del trattamento, sulla base di una specifica designazione. L’accezione del Regolamento UE, che pure non esclude figure manageriali interne, si riferisce a soggetti esterni, i quali sono chiamati a prestazioni di collaborazione allo scopo di garantire la conformità dei trattamenti, i quali sono poi coinvolti nella responsabilità diretta verso i soggetti danneggiati. Il Responsabile potrà designare, a cascata, sub-responsabili per compiere specifiche attività di trattamento (art. 28, comma 4). La possibilità di designazione dei sub-responsabili è una innovazione del Regolamento da considerare positivamente in quanto semplifica l’attività del Titolare.


6

3.3. L’Interessato L’Interessato è, in generale, la persona fisica a cui si riferiscono i dati, il titolare dei diritti, quella persona fisica la cui protezione è lo scopo sostanziale dell’osservanza delle regole del trattamento dei dati. Essere o non essere “Interessato” non è una questione nominalistica: la qualifica, infatti, ha il significato di trascinare tutta una serie di istituti di tutela e garanzia.

3.4. L’Incaricato del trattamento e l’Amministratore di sistema La figura dell’Incaricato del trattamento, prevista dal D.Lgs. 196/03 come “la persona fisica autorizzata a compiere operazioni di trattamento dal Titolare o dal responsabile”, con il Regolamento UE non è più obbligatoria. D’altra parte, ciò non significa che questa non sia rilevante ai fini del trattamento dei dati, dal momento che il Regolamento prevede per il Titolare del trattamento l’obbligo di formare gli addetti autorizzati al trattamento dei dati nella propria organizzazione. A tale riguardo sarebbe consigliabile, ove il contesto aziendale lo consenta, di continuare ad identificare specificatamente tali soggetti come “incaricati”4. L’Amministratore di sistema era già previsto agli albori della privacy nella disciplina di protezione dei dati preesistente al D.Lgs. 196/03, là dove si definiva come il “soggetto al quale è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l’utilizzazione” (art. 1, comma 1, lett. c) D.P.R. 318/99) viste anche le specificità professionali mirate alla protezione dei dati ed alla sicurezza degli stessi. Stupisce, quindi, non poco, la mancata affermazione, nel nuovo Regolamento europeo, di una espressa enunciazione di questa figura essenziale nel processo di trattazione e custodia dei dati considerato che, nella maggior parte delle realtà aziendali, l’amministratore di sistema è personale tecnico qualificato a sé stante e non potrà neanche coincidere con analoghe figure di controllo quale il Data Protection Officer, che svolge autonome attività di audit nell’ambito della sicurezza informatica. Tuttavia, non è escluso che il Titolare o il Responsabile del trattamento possano prevedere, nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche espressamente designate che operano sotto la loro autorità.

4 Il Garante peraltro ritiene che “titolari e responsabili del trattamento possano mantenere in essere la struttura organizzativa e le modalità di designazione degli incaricati di trattamento così come delineatesi negli anni anche attraverso gli interventi del Garante stesso (vedi Guida all’Applicazione del GDPR – Edizione aggiornata febbraio 2018, disponibile da http://194.242.234.211/documents/10160/0/Guida+all+applicazione+del+Regolamento+UE+2016+679.pdf).


7

3.5. Il DPO - Data Protection Officer La figura del Data Protection Officer (DPO, oppure RDP, acronimo di “Responsabile per la protezione dei dati” nella versione italiana del Regolamento) costituisce una delle novità più dirompenti del GDPR, che ne reca la disciplina agli articoli 37, 38 e 39. Il presente paragrafo si sofferma esclusivamente sugli aspetti di maggiore rilevanza e, in particolare, su alcune problematiche di carattere eminentemente pratico. Va innanzitutto rilevato che il D.Lgs. 196/03 non prevedeva alcun obbligo di nomina del DPO. La designazione del DPO non è obbligo che ricade su ogni Titolare e Responsabile del trattamento; l’articolo 37 del GDPR prevede infatti l’obbligo solo per gli enti pubblici e i soggetti privati che, come attività principale:

• effettuino un monitoraggio regolare e su larga scala delle persone fisiche, oppure

• trattino su larga scala categorie particolari di dati personali5. Per “attività principali” si devono intendere le operazioni essenziali che sono necessarie al raggiungimento degli obiettivi perseguiti dal soggetto (ad es. non devono considerarsi attività principali il pagamento delle retribuzioni al personale o la predisposizione di strutture standard di supporto informatico svolte dalla generalità delle imprese, mentre per una struttura sanitaria privata è attività principale il trattamento delle informazioni contenute nella cartella sanitaria di un paziente in quanto “componente inscindibile” dell’attività di una clinica). E’ da considerarsi invece – sempre a titolo esemplificativo – “su larga scala” il trattamento di dati relativi alla clientela da parte di una impresa che vende tramite e-commerce; ovvero che interagisce coi consumatori tramite siti internet. Sempre a titolo esemplificativo, il “monitoraggio” ricomprende tutte le forme di tracciamento e profilazione su Internet, anche per finalità di pubblicità comportamentale, ma non deve intendersi limitato all’ambiente online. Ciononostante, anche ove il GDPR non imponga in modo specifico la designazione di un DPO, può risultare utile procedere a tale designazione su base volontaria, tenendo comunque a mente che, in caso di nomina, troveranno applicazione tutti i requisiti di cui agli artt. 37-39 del GDPR6. Nel caso si ritenga di non essere soggetti all’obbligo di nomina del DPO e non si

5 Il diritto dell'Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati (art. 37, par. 4 GDPR). La Germania ad esempio si è avvalsa di questa possibilità. 6 Si tenga presente che il Garante italiano raccomanda “anche alla luce del principio di "accountability" che permea il Regolamento, la designazione di tale figura”. (Nuove FAQ sul Responsabile della Protezione dei Dati (RPD) in ambito privato disponibili sul sito http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8036793).


8

intenda procedere alla nomina su base volontaria, è opportuno che i Titolari e Responsabili del trattamento documentino le valutazioni compiute all’interno dell’azienda che hanno portato a tale scelta, in quanto il GDPR pone in capo alle imprese l’onere di dimostrare che il trattamento è effettuato conformemente al Regolamento stesso. La predetta valutazione dovrà naturalmente essere oggetto di aggiornamento nel caso di introduzione di nuovi trattamenti. Questa nuova figura, che il GDPR richiede sia individuata in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati, costituisce il vero fulcro del processo di attuazione del principio di Accountability (v. infra cap. 4.9.). Difatti, il diretto coinvolgimento del DPO in tutte le questioni che riguardano la protezione dei dati personali, sin dalla attuale fase transitoria, è garanzia di qualità del risultato del processo di adeguamento in atto. Il GDPR prevede esplicitamente la possibilità di nomina di un DPO di Gruppo, a condizione che questi sia facilmente raggiungibile da ciascuno stabilimento. Il concetto di raggiungibilità si riferisce in primis ai compiti del DPO in quanto punto di contatto per gli interessati, l’autorità di controllo competente e i soggetti interni alle imprese. Nei casi di imprese multi-localizzate, con sedi in più Stati, è facilmente prevedibile la necessità di supporto di un team di collaboratori (quantomeno) capace di comunicare nelle lingue utilizzate dalle autorità di controllo e dagli interessati. In relazione all’indipendenza è opportuno sottolineare che il DPO non deve ricevere istruzioni sull’approccio da seguire, ma operare in autonomia, e deve rispondere direttamente al vertice gerarchico dell’impresa. Va, conseguentemente evidenziato che si devono ritenere incompatibili con lo svolgimento delle funzioni di DPO, a titolo non esaustivo, i ruoli di amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT7. Nonostante gli indubbi vantaggi in termini di garanzia di indipendenza, è da valutare con una certa attenzione la nomina esterna, almeno nella media e grande impresa, sia per la difficoltà di garantire la conoscenza dei processi e della struttura dell’impresa, sia perché la necessaria indipendenza del DPO rende necessaria una attenta valutazione nel caso in cui il soggetto eventualmente individuato come DPO esterno svolga altre attività di servizio/professionali per l’impresa stessa. In relazione alle concrete modalità di nomina, il GDPR prevede, all'art. 37, par. 1, che il Titolare e il Responsabile del trattamento designino il DPO; da ciò deriva, quindi, che l'atto di designazione formale è parte costitutiva dell'adempimento. Nel caso in cui la scelta del DPO ricada su una professionalità interna all'impresa, occorre formalizzare un apposito atto di nomina a "Responsabile per la protezione dei dati". In caso, invece, di ricorso a soggetti esterni, la designazione costituirà parte integrante dell'apposito contratto di servizi redatto in base a quanto previsto dall'art. 37 del GDPR.

7 WP art. 29, Guidelines on Data Protection Officers ('DPOs'), wp243rev.01 - As last Revised and Adopted on 5 April 2017 (http://ec.europa.eu/newsroom/document.cfm?doc_id=44100)

http://ec.europa.eu/newsroom/document.cfm?doc_id=44100


9

Si suggerisce di prendere in considerazione, per la nomina, una delibera del CdA. Indipendentemente dalla natura e dalla forma dell'atto utilizzato, è necessario che nello stesso sia individuato in maniera inequivocabile il soggetto che opererà come DPO, ovviamente riportandone espressamente le generalità, i compiti (eventualmente anche ulteriori a quelli previsti dall'art. 39 del GDPR) e le funzioni che questi sarà chiamato a svolgere in ausilio al Titolare/Responsabile del trattamento, in conformità a quanto previsto dal quadro normativo di riferimento. L'eventuale assegnazione di compiti aggiuntivi, rispetto a quelli originariamente previsti nell'atto di designazione, dovrà comportare la modifica e/o l'integrazione dello stesso o delle clausole contrattuali. Nell'atto di designazione o nel contratto di servizi devono risultare succintamente indicate anche le motivazioni che hanno indotto l'impresa a individuare, nella persona fisica selezionata, il proprio DPO, al fine di consentire la verifica del rispetto dei requisiti previsti dall'art. 37, comma 5 del GDPR, anche mediante rinvio agli esiti delle procedure di selezione interna o esterna effettuata. Una volta individuato il DPO, il Titolare o il Responsabile del trattamento è tenuto a indicare, nell'informativa fornita agli interessati, i dati di contatto dello stesso, pubblicandoli anche sui siti web e a comunicarli al Garante (art. 37, comma 7). Si ritiene utile fornire alle imprese associate che volessero dotarsi di un DPO in questa fase di prima attuazione un possibile modello di designazione del DPO (Allegato 1 alle presenti linee guida), da adattarsi alla specifica organizzazione, basato sullo schema di atto di designazione del DPO che il Garante per la protezione dei dati personali ha predisposto in ambito pubblico, nonché un modello di comunicazione dei dati del DPO al Garante (Allegato 2). Il Garante ha comunicato che renderà disponibile una procedura per l'invio telematico della comunicazione dei dati del DPO, consigliando, contestualmente, di attendere che tale procedura venga attivata prima di procedere alla suddetta comunicazione8. Seppure il DPO non sia direttamente il responsabile per le sanzioni e i danni cagionati da ipotesi di trattamento illecito del Titolare o del Responsabile, in via teorica potrebbe essere oggetto di una azione di regresso da parte dell’impresa, ad es. in caso di pareri errati o di gravi omissioni; occorre tener conto al proposito che il mercato assicurativo non pare allo stato maturo in termini di offerta di coperture di responsabilità civile per un’accurata gestione dei rischi del management interno. Da ultimo, si ritiene utile rammentare che la violazione delle disposizioni degli artt. 37-39 in materia di DPO (es. l’omessa nomina quando obbligatoria) può comportare sanzioni amministrative pecuniarie fino a € 10.000.000, o fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente.

8 http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8036793


10

4. I PRINCIPI CARDINE DELLA DISCIPLINA SULLA PROTEZIONE DEI DATI Il Regolamento ha introdotto indubbiamente un mutamento di prospettiva e nuovi concetti generali, anche se quasi tutti trovano la loro origine e fondamento in alcune disposizioni delle legislazioni precedenti - per l’Italia il D.Lgs. 196/03 - e ne costituiscono un’evoluzione normativa.

4.1. Necessità Il principio di necessità nel trattamento dei dati prevede che i sistemi informativi e i programmi informatici siano configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi o in modo da escluderne del tutto il trattamento quando le medesime finalità possono essere perseguite in altro modo. Necessità significa innanzitutto che il trattamento, fuori dei casi di consenso dell’interessato, deve limitarsi ai casi nei quali il Titolare ha necessità di effettuarlo, per diversi motivi esplicitati nelle cd. condizioni di liceità (art. 6 comma 1 lett. da b) a f) del Regolamento). In secondo luogo, il principio di necessità comporta che i dati raccolti ed utilizzati per il trattamento devono essere solo quelli necessari rispetto alle finalità del trattamento stesso (art. 5 comma 1 lett. c) del Regolamento). Si tratta del principio di minimizzazione, che riguarda il numero e la quantità dei dati, i trattamenti, i soggetti che vi possono accedere e il periodo di conservazione: tutto deve essere contenuto nella misura dello stretto necessario.

4.2. Liceità e correttezza Secondo quanto previsto dall’art. 5, comma 1, lett a) del Regolamento i dati personali devono essere trattati in modo lecito, corretto e trasparente. La liceità ricorre quando sia presente una delle condizioni esplicitate nell’art. 6 del GDPR e che si dividono in due categorie di massima, ossia quelle inerenti al consenso dell’interessato e quelle che ne prescindono. In particolare, si ritiene lecito il trattamento se è stato prestato validamente il consenso dell’interessato nei casi in cui la legge lo prevede (sul consenso v. infra cap. 5). In alternativa al consenso, il trattamento è considerato lecito quando ricorre la necessità di eseguire un contratto di cui l’interessato è parte o misure precontrattuali adottate su richiesta dello stesso. Un’altra condizione può essere l’esecuzione di un obbligo di legge che grava sul Titolare del trattamento (ad. es. normativa antiriciclaggio). Un’ipotesi di nuova introduzione e di delicata interpretazione è la necessità della salvaguardia di interessi vitali dell’interessato o di un'altra persona fisica.


11

La successiva lett. e) dell’art. 6 riguarda principalmente la Pubblica Amministrazione e, in particolare, i trattamenti necessari per l’esecuzione di un interesse pubblico o connesso all’esercizio di poteri pubblici. Potrà però rivelarsi interessante verificare se anche i privati saranno ritenuti legittimati, in alcuni casi, a perseguire un interesse pubblico. Sia l’obbligo legale di cui sopra, sia l’interesse pubblico, devono essere determinati in base al diritto UE o dello Stato Membro in cui risiede il Titolare. A tale riguardo, il Garante dovrebbe promuovere promuoverà l’adozione di regole deontologiche che dovrebbero essere pubblicate in Gazzetta Ufficiale e il cui rispetto costituirà condizione essenziale per la liceità e correttezza del trattamento. Infine, il trattamento è lecito anche quando ricorra un legittimo interesse del Titolare o di terzi, purché non prevalga sui diritti e le libertà fondamentali dell’interessato. In prima battuta dovrà pertanto essere il Titolare del trattamento ad effettuare, a proprio rischio, un giudizio di prevalenza tra i propri interessi e le prerogative del soggetto i cui dati vengono utilizzati. La correttezza del trattamento, invece, è un concetto non codificato, ma che si rifà ai criteri prescritti per la redazione della informativa.

4.3. Limitazione delle finalità I dati devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che il trattamento non sia incompatibile con tali finalità (art. 5, comma 1, lett. b) del Regolamento). E’ considerato compatibile con le finalità iniziali un successivo trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

4.4. Minimizzazione dei dati I dati devono essere adeguati, pertinenti e limitati a quanto necessario coerentemente rispetto alle finalità del trattamento (art. 5, comma 1 lett. c) del Regolamento).

4.5. Esattezza dei dati I dati devono essere esatti e, se necessario, aggiornati. Devono essere messe in atto misure efficaci per correggere e aggiornare tempestivamente i dati errati o obsoleti (art. 5, comma 1 lett. d) del Regolamento).

4.6. Limitazione della conservazione I dati devono essere conservati in una forma che consenta l'identificazione degli


12

interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (art. 5, comma 1 lett. e) del Regolameto). Si profilano pertanto due possibili modalità di conservazione dei dati: in una prima fase, che si deve concludere nello stretto arco temporale necessario al trattamento, i dati sono associabili ad una persona determinata; nella seconda fase, di durata indeterminata, i dati non devono necessariamente essere distrutti o cancellati, se non sono più riferibili ad una specifica persona. Costituiscono eccezione i trattamenti effettuati esclusivamente ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici. In questi casi, tuttavia, devono essere attuate misure tecniche e organizzative adeguate a tutela dei diritti e delle libertà dell'interessato. Si attira l’attenzione sul fatto che vi sono alcuni dati che, per la loro natura, meritano di essere conservati per un lungo periodo che può anche andare ben al di là della conclusione del contratto a cui il trattamento dei dati si riferisce. Ad esempio i dati relativi ai contributi pensionistici versati per i propri dipendenti, ovvero i dati relativi alle eventuali malattie professionali, dovrebbero essere conservati per molto tempo anche successivamente alla conclusione del rapporto di lavoro (es.: conservazione delle cartelle sanitarie e di rischio dei lavoratori per almeno 10 anni, come previsto dall’art. 25, comma 1, lett e del D.Lgs. 81/08; ai sensi del Decreto del Ministero della Salute 155/2007, inoltre, in caso di esposizione ad agenti cancerogeni, tali cartelle devono essere conservate 40 anni dalla cessazione del lavoro comportante esposizione ad agenti cancerogeni).

4.7. Integrità e riservatezza I dati devono essere trattati in maniera da garantire un'adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (art. 5, comma 1 lett. f)). Il Titolare non deve preoccuparsi solo del modo in cui effettua il trattamento dei dati, ma deve anche assicurare che gli stessi dati non siano oggetto di trattamenti illeciti da parte di terzi. Gli artt. 9 e 10 del Regolamento contengono la disciplina di quelli che sono comunemente denominati rispettivamente dati sensibili e giudiziari, sebbene il legislatore europeo li denomini diversamente.

4.8. Trasparenza La Convenzione n. 108 (articolo 8, lettera a) del Consiglio d’Europa9 dispone che qualsiasi persona debba poter accertare l’esistenza di trattamenti dei dati, la loro finalità e il Titolare del trattamento.

9 Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale, Consiglio d’Europa, STE n. 108, 1981.


13

Nell’ambito dell’Unione Europea, l’informativa è lo strumento principale attraverso il quale prende forma tale principio. Il Regolamento nella sua interezza, ponendo al centro dell’interesse i diritti e le libertà della persona umana, è improntato alla trasparenza nei rapporti tra coloro che trattano i dati e coloro che ne sono proprietari. La responsabilizzazione e la prova del rispetto dell’adeguatezza del trattamento a carico del Titolare implicano la trasparenza dell’organizzazione e dell’attività del Titolare del trattamento. Inoltre, l’inclusione della trasparenza tra i principi fondamentali ai quali deve conformarsi il trattamento dei dati ne sottopone la violazione ad una sanzione economica di rilevante entità (v. infra cap. 8 e allegato 4). A monte del trattamento dei dati, il Titolare deve attrezzarsi per potere fornire all’Interessato le informazioni di cui gli artt. 13 e 14 nel caso, rispettivamente, che i dati siano raccolti presso di lui o presso terzi (v. infra cap. 5) e le comunicazioni di cui agli artt. da 15 a 22. Si tratta dei diritti, in gran parte nuovi, quali quello all’oblio (art. 17) alla limitazione (18), alla portabilità dei dati (19) ecc. (sui quali v. infra, cap. 6). Il principio di trasparenza si estende anche alle conseguenze di eventuali richieste degli interessati ai sensi degli artt. da 15 a 22. Il Titolare dovrà informare l’interessato in merito alle azioni che intende intraprendere a seguito di una richiesta di esercizio dei diritti e anche le motivazioni dell’eventuale mancato accoglimento dovranno essere obbligatoriamente rese note, assieme alla possibilità di proporre reclamo all’Autorità garante o ricorso in sede giurisdizionale. Nuova è la possibilità di abbinare informazioni discorsive ed informazioni grafiche, che potrà essere dettagliata dalla Commissione europea, ad oggi comunque non ancora disponibili. Il principio in esame è ribadito esplicitamente anche a livello di trattamento dei dati che deve avvenire “in modo trasparente nei confronti dell’interessato” (art. 5, comma 1 lett. a del Regolamento). Dovranno pertanto essere rese note informazioni già previste per l’informativa del Codice della Privacy ed altre introdotte ex novo dal Regolamento e così, tra le altre, le informazioni relative all’identità del Titolare, le finalità e la base giuridica del trattamento, i destinatari dei dati, il periodo di conservazione dei dati, ecc. (più diffusamente, v. infra, cap. 5). Sotto il profilo pratico, a fronte della pluralità e del contenuto innovativo delle informazioni da fornire all’interessato, pare inevitabile considerare di rielaborare i modelli di informativa sviluppati sotto la vigenza del D.Lgs. 196/03.. E’ importante, però, anche sottolineare che il diritto alla trasparenza non si limita al momento della raccolta dei dati, ma permane per tutta la durata del trattamento ed anche successivamente. Il Titolare dovrà così informare preventivamente l’interessato degli eventuali mutamenti intervenuti in merito alle finalità del trattamento (art. 13 comma 3 e 14 comma 4 del Regolamento) e comunicargli le eventuali


14

violazioni dei suoi dati, (v. infra, par.7.1.2.). Una cosa, infatti, è l’informativa che il Titolare deve fornire all’atto della raccolta dei dati, altra cosa è il variegato corpus di notizie che l’interessato ha diritto di ricevere a sua richiesta e che trovano la loro giustificazione in vari articoli del Regolamento.

4.9. Accountability Nel GDPR assume un ruolo centrale il principio di “Accountability” del Titolare e del Responsabile del trattamento, termine in lingua inglese che trova in italiano la traduzione più adatta in “responsabilizzazione”. Come già detto, l’art. 4 del Regolamento individua diverse figure di attori del trattamento dei dati, tra i quali il Titolare del trattamento e il Responsabile del trattamento (v., infra, cap. 3). Ad ogni soggetto sono assegnati compiti specificamente individuati e il loro mancato assolvimento determina conseguenze prefissate. L’esatta attribuzione dei compiti e la ripartizione delle responsabilità tra i vari soggetti è delineata nelle regole seguenti, che costituiscono il necessario supporto tecnico e concorrono a formare il principio di Accountability. Qualora i Titolari del trattamento siano più di uno, essi sono considerati contitolari e devono stabilire in modo trasparente tramite un accordo tra loro le rispettive responsabilità (art. 26). I Titolari del trattamento non stabiliti nella UE, oppure il Responsabile del trattamento, devono designare un rappresentante nella UE (art. 27). Il Titolare del trattamento può designare un Responsabile che effettuerà il trattamento per conto del Titolare mediante un atto giuridico che contempli diversi requisiti stabiliti dal Regolamento (art. 28). Il Responsabile potrà designare, a cascata, sub-responsabili per compiere specifiche attività di trattamento imponendo loro, mediante appropriate deleghe, gli stessi obblighi gravanti sul Responsabile (art. 28 comma 4). Il Titolare ha la responsabilità di determinare le finalità del trattamento e di porre in essere misure tecniche e organizzative idonee per assicurare che il trattamento dei dati avvenga conformemente agli obblighi imposti dalla disciplina ed inoltre ha l’onere di predisporre un apparato documentale tale da potere fornire la prova del sistema adottato. Le misure devono essere di tanto in tanto riesaminate e aggiornate (art. 24). In altri termini, il Titolare non avrà semplicemente l’obbligo passivo di rispettare le norme in materia mettendo in opera i minimi accorgimenti necessari, ma dovrà congegnare ed attivare un sistema che lo renda in grado di dimostrare di avere distribuito le responsabilità all’interno dell’impresa, di avere valutato i rischi del trattamento nell’ottica di protezione dell’utente, di avere una strategia complessiva e capillare di gestione dei dati altrui. In altri termini, sarà necessario adottare una vera e propria


15

politica aziendale volta a garantire la compliance effettiva del Regolamento. Il Titolare ha, inoltre, la responsabilità che il trattamento dei dati avvenga conformemente ai principi dettati dal Regolamento (art. 5 comma 2). E’ da considerare quali siano gli strumenti idonei a precostituire la prova di avere adempiuto agli obblighi previsti dalla normativa. Esemplificando, il Regolamento menziona l’adesione a codici di condotta (art. 40), ancora non disponibili ad oggi, e la certificazione (art.42), che sono considerati strumenti utili ai fini della prova richiesta (art. 24 co. 3), sebbene al momento l’Autorità italiana non abbia identificato i criteri per le certificazioni e per il riconoscimento degli enti certificatori. Altri riferimenti possono essere rinvenuti in nello stesso Regolamento: è, ad esempio, il caso del registro dei trattamenti, che deve essere tenuto a disposizione dell’Autorità (art. 30). Anche gli obblighi di trasparenza possono essere visti in tale ottica. Non è da escludere tuttavia che il Titolare possa escogitare anche altri mezzi non citati dal Regolamento che da soli o in maniera combinata siano sufficienti a costituire una prova idonea. In generale la documentazione scritta di tutte le attività svolte in materia di protezione dei dati e sicurezza dei trattamenti può costituire la base per porre il Titolare nelle condizioni di provare il rispetto del Regolamento in tutti i suoi aspetti. Nell’ambito del principio di Accountability deve considerarsi anche l’obbligo di comunicazione delle violazioni (sul quale v. infra, par. 7.1).

4.10. Privacy by design e privacy by default Trae origine dal principio di Accountability sopra esaminato il corollario che esclude l’imposizione di misure predeterminate dalla legge, ma assegna al Titolare del trattamento il compito di decidere autonomamente quali modalità e garanzie siano idonee ad assicurare l’applicazione del Regolamento e di adottarle proattivamente. Sul presupposto appena enunciato si innestano due principi introdotti dal Regolamento, che mutano radicalmente il modo di approcciarsi delle imprese al tema della privacy. Il primo (art. 25 comma 1) è comunemente definito come “privacy by design”. Consiste nell’obbligo, per il Titolare, di progettare i mezzi con i quali procedere al trattamento dei dati in modo da tutelarne la riservatezza. Scendendo più nel dettaglio, la norma impone di tenere conto dello stato dell’arte e dei costi di attuazione, della natura e dell’ambito di applicazione, del consenso e delle finalità, dei rischi per i diritti e le libertà delle persone e conseguentemente, sia nel momento di predisposizione dei mezzi sia all’atto del trattamento, di porre in essere le misure tecniche e organizzative adeguate per attuare i principi di protezione dei dati e per integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati.


16

Il Titolare del trattamento, nella scelta delle politiche aziendali e dei mezzi tecnici con i quali effettuare il trattamento, deve compiere preventivamente una valutazione basata sulle misure che possono essere disponibili sul mercato e del loro costo, del tipo di trattamento che intende svolgere e dei possibili effetti a carico dell’interessato. Una volta compiuta tale valutazione sulla sostenibilità delle misure che intende adottare, deve giungere ad un giudizio di adeguatezza delle stesse, in relazione ai principi tutelati dal Regolamento. Il Regolamento impone al Titolare di agire in maniera strutturata e preventiva così da organizzare a monte un sistema di strumenti che prevengano l’insorgere di problemi relativi alla riservatezza dei dati. Il riferimento a misure tecniche e organizzative implica il coinvolgimento degli strumenti materiali del trattamento - informatici e non - e delle risorse umane. Il considerando 78 del Regolamento esemplifica alcuni suggerimenti per dar seguito a tale previsione: ridurre al minimo il trattamento dei dati, la pseudonimizzazione10 dei dati nel più breve tempo possibile, creare e migliorare le caratteristiche di sicurezza, consentire all’Interessato di controllare il trattamento dei propri dati, ecc. Questi suggerimenti dovrebbero riguardare lo sviluppo, la progettazione, la selezione e l’utilizzo di servizi, prodotti ed applicazioni. In sintesi, la valutazione della conformità normativa dei sistemi aziendali ai requisiti della privacy deve compiersi ex ante. Non è più possibile costruire un sistema di trattamento dei dati e solo dopo verificare se rispetti o meno i parametri normativi. Il secondo principio, strettamente correlato al primo, è la c.d. “privacy by default” (art. 25 comma 2). Il Titolare del trattamento deve porre in essere le misure tecniche e organizzative per garantire che “per impostazione predefinita” siano utilizzati solo i dati necessari per ogni specifica finalità del trattamento. Tale principio si applica alla quantità di dati raccolti, alla portata del trattamento, al periodo di conservazione e all’accessibilità. Sempre per impostazione predefinita, non deve essere consentito l’accesso ai dati ad un numero indefinito di persone. La regola riguarda in primo luogo i fornitori di programmi informatici, che devono rendere i loro prodotti tali da fare sì che: ✓ in automatico siano raccolti e trattati solo i dati strettamente necessari per le

singole finalità per le quali il trattamento è effettuato; ✓ il trattamento stesso sia limitato a quanto necessario; ✓ i dati siano conservati per il tempo minimo necessario; ✓ siano resi accessibili solo a chi deve effettuarne il trattamento e per il tempo

necessario. Per l’utente rimane possibile esercitare opzioni diverse, ma è importante che nell’inerzia prevalga la scelta che minimizza il trattamento dei dati. Sarà necessario forzare i sistemi per introdurre più dati dei necessari o per eseguire un trattamento

10 Per “pseudonimizzazione”, o più correttamente “pseudoanonimizzazione”, si intende il mascheramento dei dati in modo da rendere l’interessato non più identificato o identificabile.


17

diverso da quello predeterminato, oppure, ancora, per conservare i dati in forma nominativa oltre il tempo strettamente necessario. Il Regolamento (art.25 comma 3) suggerisce la certificazione come strumento utile per dimostrare la conformità ai principi della privacy by design e by default.


18

5. INFORMATIVA E CONSENSO 5.1 L’informativa

Per assicurare l’effettività dei principi di liceità, correttezza e, in particolare,

trasparenza del trattamento dei dati, è necessario che l’interessato sia informato dal

titolare del trattamento in relazione alle modalità con cui il medesimo viene effettuato.

In difetto, il successivo eventuale consenso non potrà dirsi validamente prestato.

L’informazione avviene mediante la c.d. “informativa”, ossia una dichiarazione scritta

od orale che il Titolare e/o Responsabile del trattamento è tenuto a fornire

all’Interessato sulle maggiori caratteristiche relative all’utilizzo delle informazioni che

lo riguardano.

In ottemperanza al principio di trasparenza, l’informativa deve essere concisa, chiara,

facilmente accessibile e di facile comprensione (v. GDPR, consideranda 39 e ss. e 58

e ss.), così da consentire all’interessato di verificare, in qualunque momento, se il

trattamento avviene nel rispetto delle regole e di esercitare i suoi diritti.

Occorre ricordare che vi sono ipotesi in cui l’obbligo di informativa non sussiste, ossia

quando

a) il trattamento concerne dati che non sono personali bensì anonimi (es., dati

aggregati o statistici); oppure

b) il trattamento riguarda i dati di enti/persone giuridiche.

Il GDPR introduce delle importanti novità in merito all’informativa: essa non solo è

obbligo imprescindibile di qualsiasi Titolare del trattamento, ma si configura anche

come diritto dell’interessato (artt. 13 e 14 del GDPR).

L’informativa deve essere, inoltre, preceduta da una scrupolosa analisi da parte del

Titolare, che deve riguardare necessariamente:

1) la natura e le finalità dei vari trattamenti;

2) le categorie di interessati coinvolti;

3) i flussi dei dati oggetto del trattamento.

Simile analisi, finalizzata alla redazione dell’informativa, è quindi il fondamento di un

più vasto compendio di adempimenti e decisioni a carico del Titolare.

Agli articoli 13 e 14, il Regolamento distingue l’ipotesi in cui dati personali siano

raccolti presso l’interessato, da quella in cui invece non siano stati ottenuti dal

medesimo (v. Allegato 3 alla presente Linea Guida, che riporta i testi degli articoli 13

e 14 del GDPR).


19

In ogni caso, è confermata la regola generale per cui, a differenza del consenso che

in determinate circostanze o fattispecie non è richiesto (come nel caso di obblighi

derivanti dall’esecuzione di un contratto o dall’adempimento di un obbligo di legge

gravante sul Titolare, cfr. infra), l’informativa è dovuta sempre, a fronte di qualsivoglia

trattamento, sia che i dati siano raccolti presso l’interessato, sia che essi siano

raccolti presso altro soggetto.

Vi sono, tuttavia, alcune eccezioni alla regola appena richiamata. Il Considerando 62

e gli ultimi commi degli artt. 13 e 14 del Regolamento, infatti, stabiliscono una

eccezione comune all’obbligo di rendere l’informativa, che si verifica quando

l’interessato dispone già delle informazioni. Ulteriori eccezioni sono poi stabilite

dall’art. 14 del Regolamento nell’ipotesi in cui i dati non siano stati raccolti presso

l’interessato nei casi in cui:

1) comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo

sproporzionato (valutazione da effettuare a cura e responsabilità del Titolare del

trattamento, secondo il principio dell’Accountability)11;

2) l’ottenimento o la comunicazione sono espressamente previsti dal diritto dello

Stato membro cui è soggetto il Titolare del trattamento e che prevede misure

appropriate per tutelare gli interessi legittimi dell’interessato;

3) i dati personali debbano rimanere riservati conformemente ad un obbligo di

segreto professionale disciplinato dal diritto dell’Unione o degli Stati Membri,

compreso un obbligo di segretezza previsto per legge.

Gli elementi appena citati si muovono comunque ancora nel segno della continuità

rispetto alla precedente normativa.

Le principali novità introdotte dal GDPR sono invece ravvisabili con riferimento

(a) ai contenuti dell’informativa,

(b) ai termini entro cui la medesima deve essere resa ed

(c) alla codificazione del linguaggio utilizzato per predisporla.

11 A tal proposito il Garante Privacy suggerisce che, poiché “spetterà al titolare valutare lo sforzo sproporzionato richiesto dall'informare una pluralità di interessati, qualora i dati non siano stati raccolti presso questi ultimi, e salva l'esistenza di specifiche disposizioni normative nei termini di cui all'art. 23, paragrafo 1, del regolamento, sarà utile fare riferimento ai criteri evidenziati nei provvedimenti con cui il Garante ha riconosciuto negli anni l'esistenza di tale sproporzione (si veda, in particolare, il provvedimento del 26 novembre 1998 – http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/39624; più di recente, fra molti, http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3864423 in tema di esonero dagli obblighi di informativa).” (cfr. www.garanteprivacy.it)


20

5.1.1. Contenuti dell’informativa

Il GDPR amplia il contenuto dell’informativa, rendendolo più ricco di informazioni. Ciò

comporta maggiori oneri a carico del Titolare nella redazione della medesima.

Tuttavia, alcune delle nuove informazioni da fornire ai sensi del GDPR potrebbero

essere già ricondotte all’interno di categorie di dati già presenti nell’art. 13 del D.Lgs.

196/2003. In particolare:

1) quelle di cui all’art. 13, comma 2, lett. f) GDPR (profilazione dei dati);

2) il richiamo ai diritti dell’interessato ex art. 13, comma 2 GDPR (v. infra, cap.6);

3) l’informazione di cui all’art. 13, comma 1, lett. f) (trasferimento dati extra-UE); con

riferimento a questo punto, il Regolamento precisa che l’informativa deve

specificare se esista o meno una decisione di adeguatezza della Commissione

UE, ovvero se la Commissione ha deciso che il Paese terzo, un territorio o uno o

più settori specifici all'interno del Paese terzo, o l’organizzazione internazionale in

questione garantiscono un livello di protezione adeguato; in tal caso, il

trasferimento non necessita di autorizzazioni specifiche. In difetto, l’informativa

deve fare riferimento alle garanzie appropriate od opportune e all’indicazione dei

mezzi per ottenere una copia di tali dati o del luogo dove sono stati resi

disponibili.

Sono invece del tutto nuove le informazioni da fornire ai sensi del GDPR relative a:

a) il periodo di conservazione dei dati o, se non è possibile, quantomeno dei criteri

utilizzati per determinarlo,

b) i dati del DPO, se nominato,

c) la base giuridica del trattamento e

d) i “nuovi” diritti introdotti dal GDPR (es. diritto alla portabilità dei dati etc.).

Per “base giuridica del trattamento”, in particolare, si intende la fonte, l’origine o

comunque la giustificazione del trattamento, che può consistere in una norma di

legge, oppure nell’adempimento di un contratto o ancora nella soddisfazione di una

richiesta dell'interessato. Nel caso di sussistenza di un obbligo legale o contrattuale,

potrebbe inoltre essere opportuno fornire indicazioni più precise e dettagliate.

5.1.2. Termini per l’erogazione dell’informativa

Il GDPR specifica i tempi per l’erogazione dell’informativa, prevedendo che la

medesima deve essere fornita:

in caso di raccolta dei dati presso l'interessato, nel momento in cui i dati personali

sono ottenuti;

in caso di dati non raccolti direttamente presso l’interessato, entro un termine

“ragionevole” dall'ottenimento dei dati personali (ragionevolezza che deve essere


21

valutata con riferimento alle specifiche circostanze in cui i dati sono trattati), che

non può essere superiore ad un mese, oppure, nel caso in cui sia prevista la

comunicazione all’interessato o ad altro destinatario, non oltre la prima

comunicazione dei dati personali;

In ogni caso, il Titolare è tenuto ad informare nuovamente l’Interessato ogni

qualvolta le finalità del trattamento cambino, prima di procedere al trattamento

ulteriore.

5.1.3. Linguaggio

Il GDPR codifica un ulteriore e fondamentale requisito dell’informativa, riferito

specificamente al linguaggio che deve essere utilizzato nella sua redazione: ai sensi

dell’art. 12 e dei Considerando 39 e 58 del Regolamento, l’informativa deve essere

redatta “in forma concisa, trasparente, intelligibile e facilmente accessibile, con un

linguaggio semplice e chiaro”.

L’informativa deve essere inoltre data:

in linea di principio, per iscritto e preferibilmente in formato elettronico;

sono però ammessi “altri mezzi”, quindi può essere fornita anche oralmente, ma

nel rispetto delle caratteristiche già dette; si presume pertanto che tali indicazioni

possano essere ritenute valide se trasmesse in varie modalità, ad esempio per

iscritto, tramite un audio-messaggio oppure tramite un video-messaggio.

anche mediante “icone”, utili per presentare i contenuti dell’informativa in forma

sintetica, ma solo “in combinazione” con l’informativa estesa (cfr. art. 12, paragrafo

7 GDPR; le icone dovranno essere identiche in tutta l'Ue e dovranno essere

definite dalla Commissione europea.)12.

Per i minori, in particolare, occorrerà prevedere informative idonee e specifiche13.

Quando poi l’informativa è volta a raccogliere il consenso dell’interessato, dovrà

essere resa anche nel rispetto delle previsioni di cui all’art. 7 del Regolamento (v.

infra, par. 5.2)

12 Come affermato dal Garante Privacy: “il regolamento supporta chiaramente il concetto di informativa "stratificata", più volte esplicitato dal Garante nei suoi provvedimenti [si veda http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1712680 relativo all'utilizzo di un'icona specifica per i sistemi di videosorveglianza con o senza operatore; http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1246675 contenente prescrizioni analoghe rispetto all'utilizzo associato di sistemi biometrici e di videosorveglianza in istituti bancari], in particolare attraverso l'impiego di icone associate (in vario modo) a contenuti più estesi, che devono essere facilmente accessibili, e promuove l'utilizzo di strumenti elettronici per garantire la massima diffusione e semplificare la prestazione delle informative.” (www.garanteprivacy.it) 13 A tal proposito, il Considerando 58 afferma infatti che “dato che i minori meritano una protezione specifica, quando il trattamento dati li riguarda, qualsiasi informazione e comunicazione dovrebbe utilizzare un linguaggio semplice e chiaro che un minore possa capire facilmente”


22

INFORMATIVA: le novità introdotte da GDPR in sintesi

1) Contenuti:

- i dati di contatto del RPD-DPO (Responsabile della protezione dei dati - Data Protection Officer), ove esistente,

- la base giuridica del trattamento,

- qual è l’interesse legittimo del Titolare se costituisce la base giuridica del trattamento,

- se il Titolare trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti

- il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione

- il diritto di presentare un reclamo all'autorità di controllo

- se il trattamento comporta processi decisionali automatizzati (anche la profilazione), indicando anche la logica di tali processi decisionali e le conseguenze previste per l'interessato

2) Forma:

- concisa

- trasparente

- intelligibile per l'interessato

- facilmente accessibile

- linguaggio chiaro e semplice

- in linea di principio, per iscritto e preferibilmente in formato elettronico

- può essere fornita anche oralmente, ma nel rispetto delle altre caratteristiche

- è ammesso anche l'utilizzo di icone per presentare i contenuti dell'informativa in forma sintetica, ma solo “in combinazione” con l'informativa estesa

3) Eccezioni all’obbligo di rendere l’informativa

V. art. 13, comma 4, art. 14, comma 5 e art. 23, comma 1 GDPR)

4) Tempi di erogazione:

- entro un termine ragionevole, che non può superare 1 mese dalla raccolta,

- oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all'interessato)


23

5.2. Il Consenso

5.2.1. Definizione e requisiti del consenso

Il Regolamento interviene anche sull’istituto del consenso informato, trasformandolo

in un concetto più duttile e disponendo che non costituisce più l’unica base giuridica

che giustifica il trattamento dei dati personali, bensì solo una delle sei basi giuridiche

e condizioni di liceità del trattamento previste dal GDPR (v. infra, par.4.2).

Qualora intenda avviare attività che implicano il trattamento di dati personali, il

Titolare del trattamento dovrà valutare innanzitutto se il consenso dell’interessato sia

la base giuridica appropriata per il trattamento dei dati oppure se ricorrano nella

fattispecie altre ragioni più idonee (cfr. art. 6, lett. da b) a f) del Regolamento)14.

Pertanto, posto che il Titolare è tenuto ad identificare la base giuridica del trattamento

prima di dare inizio al medesimo e successivamente informare l’interessato in merito

(cfr. paragrafo che precede), il Titolare non potrà in un secondo momento modificare

unilateralmente la base giuridica del trattamento.

Da ciò consegue che, qualora il Titolare del trattamento abbia ottenuto inizialmente il

consenso di un interessato all’uso dei dati personali, il Titolare non potrà in seguito

continuare il trattamento, anche in presenza di una delle altre condizioni di liceità di

cui all’art. 6 GDPR, se il consenso è stato revocato oppure si rivela non conforme al

Regolamento.

Il GDPR, all’art. 4, codifica il consenso definendolo come “qualsiasi manifestazione di

volontà dell’interessato che sia espressa in maniera libera, informata, specifica ed

inequivocabile, con la quale lo stesso manifesta il proprio assenso mediante

dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano

siano oggetto di trattamento”.

Con consenso si intende, quindi, la consapevolezza e l’accordo rispetto all’attuazione

del trattamento dei propri dati.

In particolare il nuovo Regolamento, all’art. 7, richiede che il consenso sia15:

1) libero,

2) informato,

3) inequivocabile,

4) specifico.

14 Cfr. Art. 29 Data Protection Working Party, “Guidelines on Consent under Regulation 2016/679” adopted on 28 november 2017 15 WP 259 – Guidelines on Consent under Regulation 2016/679


24

Per “consenso libero” si intende che il consenso deve essere espresso senza alcun

tipo di coercizione, unicamente soggetto alla volontà dell’interessato; l'interessato

deve essere, quindi, in grado di operare una scelta effettiva, senza subire

intimidazioni o raggiri, né conseguenze negative a seguito del mancato conferimento

del consenso16.

Ciò significa che, se il consenso è incluso in una sezione non negoziabile dei termini

e condizioni, esso si presume come rilasciato non liberamente; parimenti non è

considerabile come libero se all’interessato non è data la possibilità di rifiutare o di

ritirare il consenso al trattamento dei dati senza subire danno o pregiudizio.

Dunque, ogni qual volta ci sia tra il Titolare e l’Interessato uno squilibrio di potere, il

consenso difficilmente potrà rappresentare una valida base legale per il

trattamento17.

Si parla di “consenso informato” perché il consenso presuppone la conoscenza o la

conoscibilità, da parte dell’interessato, delle maggiori caratteristiche relative

all’utilizzo delle informazioni che lo riguardano. L’interessato, infatti, deve poter

giudicare le possibili conseguenze del trattamento18 (v. infra, par. 5.2).

16 Le conseguenze negative potrebbero essere anche solo la fruizione di un servizio più scadente o più oneroso. 17 Il Considerando 43, a tal proposito, precisa che quando esiste un evidente squilibrio tra l’interessato e il titolare del trattamento, specie quando il titolare del trattamento è un’autorità pubblica, “ciò rende … improbabile che il consenso sia stato espresso liberamente in tutte le circostanze di tale situazione specifica”. In questi casi il Regolamento prevede una vera e propria presunzione di inefficacia, laddove afferma che “si presume che il consenso non sia stato liberamente espresso se non è possibile esprimere un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione”, il relativo onere della prova incomberà pertanto sul titolare. Un’altra situazione delicata si riscontra nel settore occupazionale, ove è improbabile che, dato il rapporto tra datore di lavoro e lavoratore, quest’ultimo possa rifiutarsi di prestare il proprio consenso al trattamento dei dati (ad es. ad essere sottoposto ad una videosorveglianza in istituti bancari), senza che l’eventuale rifiuto possa arrecargli un pregiudizio; il consenso eventualmente prestato in tali casi, non può, pertanto, considerarsi dato liberamente. Si osserva, comunque, che ciò non significa che il datore di lavoro non possa in nessun caso considerare il consenso quale legittima (intesa come legale) autorizzazione al trattamento dei dati (vi sono, infatti, situazioni in cui è possibile dimostrare che il consenso sia stato liberamente accordato, ad esempio nei casi in cui l’eventuale rifiuto non avrebbe comportato nessuna conseguenza dannosa in capo agli interessati). Da ultimo, sempre nel Considerando 43, si legge che “si presume che il consenso non sia stato liberamente espresso se non è possibile esprimere un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione”; in questo modo il nuovo Regolamento assicura che il trattamento dei dati personali non possa diventare parte del contratto, alla stregua di una qualsiasi altra prestazione da parte dell’interessato. 18 Il Considerando 42 e l’art. 7 del Regolamento precisano che, nel caso di dichiarazione scritta relativa a un’altra questione, occorrerebbe prevedere garanzie che assicurino che l’interessato sia consapevole del fatto di esprimere un consenso e della misura in cui ciò avviene; è pertanto opportuno che la dichiarazione di consenso predisposta dal titolare del trattamento sia redatta in una forma comprensibile e facilmente accessibile, che utilizzi un linguaggio semplice e chiaro e che non utilizzi clausole abusive.


25

Le informazioni potranno essere fornite oralmente o per iscritto, anche mediante

messaggio audio o video, purché i termini e le modalità con cui saranno trattati i dati

siano distinte da altre informazioni relative ad altre materie (per evitare ad esempio

che siano celate all’interno delle condizioni generali).

Ci si riferisce ad un “consenso inequivocabile” perché il consenso deve essere espresso in maniera chiara ed indubbia, non deve lasciar spazio ad interpretazioni deresponsabilizzanti.

Non è necessario che sia esplicito, può anche essere implicito (ma non tacito: il silenzio non equivale al consenso), purché, nel momento in cui sia desunto dalle circostanze, non sussista alcun dubbio che col proprio comportamento l'interessato abbia voluto comunicare il proprio consenso.

Sul punto, il Considerando 32 del GDPR afferma che il consenso è inequivocabile quando è espresso con un “atto positivo con il quale l’interessato manifesta l’intenzione libera, specifica, informata ed inequivocabile di accettare il trattamento dei dati personali che lo riguardano (…)” e che, con specifico riferimento all’e-commerce, il consenso può anche essere manifestato attraverso “la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per i servizi della società dell’informazione, ma anche qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle.”

L'inerzia, quindi, non può costituire manifestazione di consenso, così come non si può ritenere valido il consenso prestato tramite form precompilati e caselle già prespuntate.

Il consenso deve, invece, essere esplicito (art. 9 GDPR) nel caso di trattamento di particolari categorie di dati o nel caso di processi decisionali automatizzati (es. profilazione).

Per “consenso specifico” si intende che il consenso deve riguardare trattamenti ben individuati, aventi un preciso fine o scopo.

A tal proposito, il Considerando 32 stabilisce che “qualora il trattamento abbia più

finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso

dell’interessato deve essere prestato attraverso mezzi elettronici, la richiesta deve

essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il

consenso è espresso.”

In sostanza, per potersi considerare specifico il consenso deve:

✓ indicare le specifiche finalità, al fine di salvaguardare i dati da un utilizzo

improprio ed evitare consensi catturati in modo surrettizio;

✓ dettagliare le singole richieste alle quali si riferisce;

In ogni caso “ai fini di un consenso informato l’interessato dovrebbe essere posto a conoscenza almeno dell’identità del titolare del trattamento cui sono destinati i dati personali”.


26

✓ separare in modo chiaro le informazioni relative all’ottenimento del consenso

dalle informazioni relative ad altre materie, se il consenso viene prestato in una

dichiarazione che riguarda anche altre questioni19.

Altri aspetti che l’art. 7 affronta per valutare la legittimità del trattamento dei dati e,

quindi, del consenso prestato dall’interessato, sono:

la verificabilità della genuinità del consenso, nel senso che il Titolare del

trattamento deve essere in grado di dimostrare che l’interessato ha prestato il

consenso (con conseguente responsabilità prevista in coerenza con il c.d.

principio di Accountability20);

la revocabilità del consenso prestato, nel senso che l’interessato ha diritto di

revocare il consenso in ogni momento, nel modo più semplice possibile e senza

dover esplicitare una motivazione, fermo restando che il trattamento dei dati

effettuato precedentemente alla revoca del consenso rimane lecito; in concreto,

ciò significa che se il consenso è stato ottenuto attraverso una determinata

interfaccia operatore-utente, con la medesima interfaccia elettronica potrà essere

revocato e non saranno pertanto ammissibili consensi espressi mediante la

semplice selezione di una casella all’interno di una pagina web se, poi, per il loro

ritiro, venga richiesto di contattare un numero verde attivo solo in orari di ufficio.

Ne deriva che la procedura per l’ottenimento del consenso non sarà valida se il

diritto di revoca non soddisferà i requisiti richiesti dal GDPR.

I consensi raccolti prima dell’entrata in vigore del Regolamento restano validi

solo se rispecchiano i criteri richiesti dalla nuova normativa europea (che

comunque non si discostano tanto da quelli forniti dal D.Lgs. 196/03), in caso

contrario sarà onere del Titolare del trattamento raccoglierne di nuovi che rispettino

tutti i requisiti sopra indicati.

5.2.2. Il consenso al trattamento dei dati relativi a particolari categorie di

dati ed interessati

Il Regolamento identifica con la locuzione “categorie particolari di dati” quei dati

sensibili per i diritti e le libertà fondamentali (cfr. art. 9), nello specifico:

✓ dati personali rivelatori dell’origine razziale o etnica;

✓ opinioni politiche;

✓ convinzioni religiose o filosofiche;

✓ appartenenza sindacale;

✓ dati relativi a salute e vita sessuale;

19 Già in passato, peraltro, sono stati sanzionati dall’Autorità garante i c.d. consensi promiscui, ovvero quelli relativi a plurime finalità. 20 Si veda, a tal proposito, il provvedimento del Garante della Privacy del 26 novembre 1998 -http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/39624


27

✓ dati genetici e biometrici intesi ad identificare in modo univoco la persona.

Per le particolari categorie di dati in questione, il consenso non può essere desunto

da azioni o comportamenti concludenti anche se inequivocabili ma, per essere

legittimo, deve essere esplicito, l’interessato deve quindi porre in essere un’azione

positiva o una dichiarazione, meglio ancora se in forma scritta.

In caso di condanne penali e reati, l’art. 10 del Regolamento prevede che il

trattamento di tali informazioni può avvenire solo sotto il controllo dell’autorità

pubblica o se autorizzato dal diritto dell’Unione o degli Stati Membri (quest’ultimo

caso è applicabile unicamente se lo Stato Membro prevede garanzie appropriate per

la libertà degli interessati).

Il Regolamento contiene inoltre una disciplina ad hoc per il consenso prestato dal

minorenne in relazione ai servizi della società dell’informazione, ossia tutti quei

contratti conclusi o trasmessi a distanza per via elettronica (on line: attenzione

all’iscrizione sui social e all’utilizzo di App); trattandosi infatti di una personalità in fieri,

il trattamento dei dati richiede una maggiore protezione21.

L’art. 8 esige infatti che il consenso del minore, per essere valido, debba essere

prestato da un soggetto che abbia almeno 16 anni di età, con possibilità da parte di

ogni Stato membro di ridurre la soglia di età fino a 13 anni. Nel caso di età inferiore a

16 anni, il trattamento sarà lecito soltanto se e nella misura in cui tale consenso

venga prestato o autorizzato dal titolare della potestà genitoriale. Il tutto salve le

disposizioni generali di ciascuno Stato membro in ordine alla validità, formazione ed

efficacia di un contratto rispetto ad un minore.

Il Titolare che voglia fornire servizi on line sulla base del consenso del minore dovrà,

quindi, compiere ogni ragionevole sforzo per verificare l’età del minore e, se questa è

inferiore a quella consentita, per ottenere l’autorizzazione del genitore o tutore.

Il Titolare, successivamente alla raccolta del consenso, ha anche il compito, in questi

casi, di vigliare sulla corretta esecuzione del trattamento in maniera lecita e nel

rispetto delle norme vigenti.

21 A tal proposito il Considerando n. 38 afferma che : “i minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali. Tale specifica protezione dovrebbe, in particolare, riguardare l’utilizzo dei dati personali dei minori ai fini di marketing o di creazione di profili di personalità o di utente e la raccolta di dati personali relativi ai minori all’atto dell’utilizzo di servizi forniti direttamente a un minore”.


28

5.2.3 Il trasferimento dei dati verso un Paese Terzo o un’organizzazione

internazionale

Il trasferimento dei dati è ammesso nei seguenti casi:

la Commissione europea valuta che il Paese terzo o l’organizzazione

internazionale garantisce un livello di protezione adeguato (art. 45 GDPR),

se il Responsabile del trattamento può fornire adeguate garanzie (art. 46 GDPR);

l’autorità di controllo competente ha approvato le “binding corporate rules” di un

gruppo societario (art. 47 GDPR);

in tutti i restanti casi, il trasferimento di dati transfrontaliero è permesso solo nel

caso in cui si incorra in una delle deroghe elencate all’art. 49 GDPR, che, come

prima fra tutte, al comma 1 lett. A) dispone che il trasferimento sia permesso se vi

è il consenso espresso dell’interessato; in questo caso l’interessato dovrà essere

ampiamente ed adeguatamente informato dei rischi legati alla mancanza di una

valutazione di adeguatezza da parte della Commissione o delle opportune

garanzie (v. infra par. 5.1, sui contenuti dell’informativa).

5.2.4 L’attività promozionale/ marketing

Il Regolamento fissa una nuova griglia di condizioni di legittimità del trattamento: oltre al consenso e ai casi in cui il trattamento è direttamente previsto da una norma, è previsto che il legittimo interesse del Titolare del trattamento sia condizione sufficiente a giustificare il trattamento (cfr. articolo 6 e Considerando n. 47), a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'Interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.

Il Regolamento non fornisce un elenco tassativo dei casi di legittimo interesse, ma solo alcuni esempi, tra cui vi è il marketing diretto, ossia quel tipo di comunicazione commerciale o di marketing attraverso la quale le aziende, comunicando con i propri clienti e senza avvalersi di intermediari, promuovono beni e servizi da loro direttamente commercializzati.

Il GDPR sembrerebbe introdurre quindi un presupposto per cui, in presenza di giustificati legittimi interessi e di una adeguata informativa, non sarebbe necessario richiedere uno specifico consenso da parte dell'interessato affinché quest’ultimo possa essere legittimo destinatario di comunicazioni commerciali dirette, ma solo fornire una comunicazione chiara e trasparente circa la possibilità di esprimere il proprio diniego, potendosi opporre, in qualsiasi momento, alle operazioni di trattamento per finalità di marketing diretto (c.d. “opt-out”).

Le previsioni del Regolamento tuttavia non prevalgono su eventuali specifiche norme, quali ad esempio quelle della direttiva 2002/58/CE in materia di e-privacy, tanto che


29

l'articolo 95 ed il Considerando 173 del GDPR vi fanno espresso riferimento e prevedono che “per chiarire il rapporto tra il presente regolamento e la direttiva 2002/58/CE, è opportuno modificare quest'ultima di conseguenza. Una volta adottato il presente regolamento, la direttiva 2002/58/CE dovrebbe essere riesaminata in particolare per assicurare la coerenza con il presente regolamento”.

Il Legislatore italiano è poi recentemente intervenuto sul punto con il comma 1022 dell’art. 1 della Legge di bilancio 2018 (L. 205/2017), il quale stabilisce che il trattamento fondato sull’interesse legittimo che preveda l’uso di nuove tecnologie o strumenti automatizzati deve essere previamente comunicato al Garante per la protezione dei dati personali (attraverso un apposito modello che sarà reso disponibile dallo stesso). In assenza di risposta da parte dell’autorità di controllo entro quindici giorni dalla comunicazione il Titolare può procedere al trattamento. Il Garante da parte sua, qualora ravvisi il rischio di una lesione dei diritti e delle libertà degli interessati, può disporre una moratoria del trattamento per un massimo di trenta giorni, chiedendo informazioni ed integrazioni, e disporre l’inibitoria al trattamento dei dati nel caso in cui ravvisi comunque una lesione dei diritti e delle libertà degli interessati.


30

CONSENSO: le novità introdotte da GDPR in sintesi

1) Il consenso deve essere, oltre che libero, specifico, informato e inequivocabile, anche esplicito per i dati “sensibili” e i trattamenti automatizzati.

2) La richiesta di consenso deve essere chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’Interessato.

3) Il consenso non deve essere necessariamente documentato per iscritto.

4) Il Titolare deve essere in grado di dimostrare che l’Interessato ha prestato il consenso ad uno specifico trattamento.

5) L’Interessato ha diritto di revocare il consenso in qualsiasi momento.

6) Il consenso dei minori è valido a partire dai 16 anni (prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci); la soglia di età è modificabile dagli Stati membri ma in ogni caso non può essere inferiore ai 13 anni.

7) Se il trattamento dei dati deve essere effettuato per adempiere ad un obbligo legale al quale è soggetto il Titolare del trattamento e nei casi in cui è richiesto nell’ambito dell’esecuzione di un compito di interesse pubblico o connesso con l’esercizio di pubblici poteri di cui è investito il Titolare del trattamento, è consentito agli Stati di introdurre (o mantenere nel caso in cui ne siano già in possesso) disposizioni ad hoc per disciplinare il trattamento dei dati. Se manca il consenso o manca la norma interna dello Stato membro ed il trattamento è effettuato per finalità diverse da quelle originarie, occorre verificare se la nuova finalità è compatibile con quella per la quale i dati sono stati raccolti in precedenza.

8) Il consenso non è necessario per il marketing postale o realizzato

attraverso utenze non registrate negli elenchi, salvo “opt-out”.


31

6. DIRITTI DEGLI INTERESSATI ED ESERCIZIO DEI DIRITTI

Con il termine “Diritti” si fa riferimento ai diritti soggettivi posti a protezione del rispetto della vita privata dei cittadini, costituzionalmente garantito.

Gli interessati a far valere questi diritti di riservatezza sulle informazioni, o dati, che li riguardano sono quindi le persone fisiche.

Il Regolamento definisce tali diritti agli articoli 15 ss., dedicati rispettivamente a:

✓ diritto di accesso (art. 15);

✓ diritto di rettifica (art. 16);

✓ diritto di cancellazione / diritto all’oblio (art.17);

✓ diritto di limitazione del trattamento (art. 18);

✓ diritto alla portabilità dei dati (art. 20);

✓ diritto di opposizione (Art. 21).

Le modalità per l’esercizio di tutti i diritti da parte degli interessati sono stabilite, in via generale, negli artt. 11 e 12 del Regolamento.

Il termine per la risposta all’interessato è, per tutti i diritti (compreso il diritto di accesso), 1 mese, estendibile fino a 3 mesi in casi di particolare complessità; il Titolare del trattamento deve comunque dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego.

Il riscontro all’interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità; può essere dato oralmente solo se così richiede l’interessato stesso (art. 12, paragrafo 1; v. anche art. 15, paragrafo 3 del Regolamento). La risposta fornita all’interessato deve essere “intelligibile”, concisa, trasparente e facilmente accessibile, si deve quindi utilizzare un linguaggio semplice e chiaro.

ll Titolare del trattamento deve agevolare l’esercizio dei diritti da parte dell’interessato, adottando ogni misura tecnica e organizzativa a ciò idonea.

Benché sia il solo Titolare a dover dare riscontro in caso di esercizio dei diritti (art. 15-22, Regolamento), il Responsabile del trattamento è tenuto a collaborare con il Titolare del trattamento ai fini dell’esercizio dei diritti degli interessati (art. 28, paragrafo 3, lettera e Regolamento (UE) n. 679/2016).

L’esercizio dei diritti è, in linea di principio, gratuito per l’interessato, ma possono esservi eccezioni. Qualora, per esempio, il Titolare del trattamento nutra ragionevoli dubbi circa l'identità dell’interessato che intende esercitare i propri diritti, può richiedere ulteriori informazioni necessarie per confermarne l'identità e quest’ultimo ha il dovere di fornirle, secondo modalità idonee (art. 12, paragrafo 6, Regolamento).


32

Le principali novità introdotte dal GDPR, sui diritti degli interessati Il diritto di conoscere i propri dati. Il GDPR regola il diritto di accesso di tutti gli interessati ai propri dati personali trattati dai titolari. E’ dunque fondamentale che le aziende eseguano una mappatura di tutti i dati trattati e che verifichino puntualmente tutti gli aggiornamenti necessari. Il consumatore potrà infatti, in ogni momento, chiedere all’azienda di accedere ai propri dati e potrà chiedere ragione di come vengono trattati e conservati . … di cancellarli, di modificarli o limitarne il trattamento. Oltre a conoscere i dati forniti, i consumatori potranno anche chiederne la cancellazione, la modifica o limitarne il trattamento. È dunque importantissimo prevedere un sistema aziendale che permetta un aggiornamento rapido. Per facilitare questo lavoro, un consiglio per le aziende è fornire agli interessati degli strumenti idonei alla consultazione da remoto dei dati personali forniti e dei consensi eventualmente espressi.

… e alla portabilità dei dati personali. Il diritto alla portabilità è una delle grandi novità del Regolamento. I dati trattati sulla base di un consenso o di un contratto, potranno formare l’oggetto dell’esercizio di tale diritto, se direttamente forniti dall’interessato. In questi casi, il Titolare dovrà essere pronto a trasmettere i dati personali, organizzati in maniera chiara, fruibile e intellegibile all’interessato o ad altro titolare indicato dall’Interessato stesso.

Più ampio diritto all’oblio. Il GDPR estende anche il campo del cosiddetto diritto all’oblio: i consumatori hanno diritto di essere cancellati dai data base e anche dai motori di ricerca, decorso il periodo di tempo per cui il consenso era stato dato, e divenuta non più necessaria o di pubblica utilità la diffusione di una determinata informazione.


33

7. ADEMPIMENTI ED OBBLIGHI

7.1. I nuovi obblighi previsti dal Regolamento Di seguito una breve illustrazione dei più importanti nuovi obblighi previsti dal Regolamento.

7.1.1. Il Registro dei Trattamenti

Tutti i titolari e i responsabili di trattamento, fatto salvo le persone giuridiche con meno di 250 dipendenti se non effettuano trattamenti a rischio22 (art. 30, paragrafo 5, Regolamento), devono tenere un registro delle operazioni di trattamento in cui indicare le caratteristiche, modalità e finalità dei trattamenti (sempre art. 30, Regolamento). Il registro in forma scritta ed in formato elettronico, deve essere messo a disposizione dell’Autorità Garante per la Protezione dei Dati Personali per ispezioni e controlli. La tenuta del registro dei trattamenti non costituisce solo un adempimento formale, ma è parte integrante di un sistema di corretta gestione dei dati personali.

7.1.2. Data Breach e relativa notifica all’Autorità Garante Per Data Breach, o meglio Violazione di dati personali, s’intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati. Si estende a tutti i Titolari la regola della notifica della violazione dei dati personali. Il Titolare è tenuto a notificare la violazione dei dati personali al Garante per la Protezione dei Dati Personali senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche (Art. 33 GDPR). Quando la violazione comporta un rischio elevato per i diritti e le libertà delle persone fisiche il Titolare del trattamento è obbligato a comunicare la violazione dei dati

22 Nel rispetto del principio dell’accountability, la valutazione sul fatto che il trattamento dei dati sia o meno “rischioso” spetta al Titolare. Per effettuare tale valutazione il Titolare deve valutare se il trattamento 1) possa presentare un rischio per i diritti e le libertà dell’interessato, o 2) non sia occasionale o 3) includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1 (dati riguardanti

l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona), o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.


34

personali anche agli interessati (Art. 34 GDPR), senza ingiustificato ritardo, e con un linguaggio semplice e comprensibile. Non è richiesta la comunicazione agli interessati se viene soddisfatta una delle seguenti condizioni (art. 34 GDPR): a) il Titolare del trattamento ha messo in atto le misure tecniche e organizzative

adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;

b) il Titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;

c) detta comunicazione richiederebbe sforzi sproporzionati; in tale ultimo caso, si procede, invece, a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

Nel caso in cui il Titolare del trattamento non abbia ancora comunicato all'interessato la violazione dei dati personali, il Garante per la Protezione dei Dati Personali può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui sopra (a, b o c) sia soddisfatta.

7.1.3. La Valutazione d’impatto privacy (DPIA)

La Valutazione di impatto sulla protezione dei dati (a cui ci si riferisce con l’acronimo “DPIA”, Data Privacy Impact Assessment) è una procedura prevista dall’articolo 35 del Regolamento che mira a descrivere un trattamento di dati per valutarne la necessità ed i relativi rischi, allo scopo di approntare misure idonee ad affrontarli. Una DPIA può riguardare un singolo trattamento oppure più trattamenti che presentano analogie in termini di natura, ambito, contesto, finalità e rischi. La DPIA deve essere condotta prima di procedere al trattamento. La responsabilità della DPIA spetta al Titolare del trattamento. Il Titolare ne monitora lo svolgimento consultandosi con il DPO e acquisendo - se i trattamenti lo richiedono - il parere di esperti di settore. La DPIA è obbligatoria (art. 35 GDPR) in tutti i casi in cui un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche ed è richiesta nei casi seguenti23: a) valutazione sistematica e globale di aspetti personali relativi a persone fisiche,

23 N.B. Per quanto attiene il settore farmaceutico, viene sicuramente in rilievo la tabella prevista dal “Gruppo Art. 29” nel documento http://194.242.234.211/documents/10160/0/WP+248+-+Linee-guida+concernenti+valutazione+impatto+sulla+protezione+dati che prefigura come necessaria la valutazione d'impatto (più nota come Data Protection Impact Assessment “DPIA”, per il trattamento di “dati sensibili personali pseudonimizzati relativi a interessati vulnerabili coinvolti in progetti di ricerca o sperimentazioni cliniche”. Si ricorda che sarà il futuro European Board (nuovo nome del “Gruppo Art. 29”) a confermare obbligo del DPIA che costituisce uno dei maggiori casi nei quali il DPO va necessariamente coinvolto.


35

basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;

b) trattamento, su larga scala, di categorie particolari di dati personali (dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, dati genetici, dati biometrici, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona) o dati relativi a condanne penali; o

c) sorveglianza sistematica su larga scala di una zona accessibile al pubblico. Secondo le Linee guida del “Gruppo Art. 29”, la DPIA non è necessaria per i trattamenti che: ✓ non presentano rischio elevato per diritti e libertà delle persone fisiche; ✓ hanno natura, ambito, contesto e finalità molto simili a quelli di un trattamento per

cui è già stata condotta una DPIA; ✓ sono stati già sottoposti a verifica da parte di un’Autorità di controllo prima del

maggio 2018 e le cui condizioni (es: oggetto, finalità, ecc.) non hanno subito modifiche;

✓ saranno compresi nell’elenco facoltativo dei trattamenti (che il Garante preparerà) per i quali non è necessario procedere alla DPIA;

✓ fanno riferimento a norme e regolamenti, Ue o di uno stato membro, per la cui definizione è stata condotta una DPIA.

All'esito della DPIA il Titolare potrà decidere in autonomia se iniziare il trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero consultare il Garante per la Protezione dei Dati Personali qualora la DPIA indichi che il trattamento presenti un rischio elevato in assenza di misure adottate dal Titolare del trattamento per attenuare il rischio (Art. 36 GDPR). Il Garante per la Protezione dei Dati Personali avrà il compito di indicare le misure ulteriori eventualmente da implementare a cura del Titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell'art. 58 del Regolamento dall'ammonimento del Titolare fino alla limitazione o al divieto di procedere al trattamento.


36

8. SISTEMA SANZIONATORIO E RESPONSABILITÀ Tra gli aspetti maggiormente meritevoli di attenzione all’interno del Regolamento figura senz’altro quello della disciplina della responsabilità delle imprese in caso di violazione delle norme del Regolamento, soprattutto se si considerano le conseguenze economiche, anche ingenti, che una non compliance al Regolamento potrà determinare in capo alle imprese inadempienti. Il Capo VIII del Regolamento (artt. 77 e segg.; ai quali occorre peraltro aggiungere, come meglio si vedrà, anche il precedente art. 58) contiene la disciplina degli istituti e delle misure dirette a colpire, con differenti modalità e intensità, eventuali violazioni alle norme del Regolamento recanti i diritti, gli obblighi e i principi già esaminati nei capitoli che precedono. Il sistema a tale scopo delineato dal legislatore comunitario può essere riassunto in quattro principali aree di intervento: a) l’introduzione di “sanzioni amministrative pecuniarie”, che possono

raggiungere, a seconda delle circostanze, anche importi molto elevati (cfr. l’art. 83);

b) la previsione di “poteri correttivi” in capo all’autorità di controllo, che possono essere esercitati in aggiunta alle, o in sostituzione delle, sanzioni amministrative pecuniarie (cfr. l’art. 58, comma 2);

c) la possibilità, per ciascuno Stato membro, di stabilire norme relative ad “altre sanzioni” per le violazioni del Regolamento (cfr. l’art. 84);

d) infine, una disciplina specifica del diritto al risarcimento del danno subito dall’interessato a causa di una violazione del Regolamento (cfr. l’art. 82).

Una compiuta disamina del sistema sanzionatorio è contenuta nell’allegato 4 al presente documento.


37

Allegato 1

Schema di atto di designazione del Responsabile della Protezione dei Dati personali (RDP) ai sensi dell’art. 37 del Regolamento UE 2016/679

Premesso che:

Il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)» (di seguito GDPR), in vigore dal 24 maggio 2016, e applicabile a partire dal 25 maggio 2018, introduce la figura del Responsabile dei dati personali (Data Protection Officer - DPO) (artt. 37-39);

Il predetto Regolamento prevede l’obbligo per il titolare o il responsabile del trattamento di designare il DPO quando “le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala”; oppure “le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10. (art. 37, paragrafo 1, lett b o c GDPR);

Le predette disposizioni prevedono che il DPO «può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi» (art. 37, paragrafo 6) e deve essere individuato «in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39» (art. 37, paragrafo 5 GDPR) e «il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento» (considerando n. 97 GDPR);

Nel caso in cui si opti per la designazione di un DPO di Gruppo si dovrà aggiungere:

- Le disposizioni prevedono inoltre che «Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento» (art. 37, paragrafo 2);

Considerato che la Società:

è tenuta alla designazione obbligatoria del DPO nei termini previsti, rientrando nella fattispecie prevista dall’art. 37, comma 1, lett b) o c) del GDPR;

Oppure non è tenuta alla designazione obbligatoria del DPO nei termini previsti, non rientrando nelle fattispecie previste dall’art. 37, comma 1del GDPR ma intende avvalersi della facoltà designare un DPO


38

Nel caso in cui si opti per la designazione di un DPO di Gruppo si dovrà aggiungere:

- ha ritenuto di avvalersi della facoltà, prevista dall’art. 37, paragrafo 2, del GDPR, di procedere alla nomina di un DPO di Gruppo, sulla base delle seguenti valutazioni (es. affinità tra le relative strutture organizzative, funzioni (attività) e trattamenti di dati personali, razionalizzazione della spesa);

all’esito di … (indicare la procedura selettiva interna o esterna, gara, altro) ha ritenuto che […………….], sia in possesso del livello di conoscenza specialistica e delle competenze richieste dall’art. 37, comma 5, del GDPR, per la nomina a DPO, e non si trova in situazioni di conflitto di interesse con la posizione da ricoprire e i compiti e le funzioni da espletare;

DESIGNA

(generalità della persona individuata), Responsabile della protezione dei dati personali (DPO) per la Società [o per il Gruppo di imprese ….] Il predetto, nel rispetto di quanto previsto dall’art. 39, comma 1, del GDPR è incaricato di svolgere, in piena autonomia e indipendenza, i seguenti compiti e funzioni: a) informare e fornire consulenza al titolare del trattamento o al responsabile del

trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR, nonché da altre disposizioni nazionali o dell’Unione relative alla protezione dei dati;

b) sorvegliare l’osservanza del GDPR, di altre disposizioni nazionali o dell’Unione relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, ove richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35 del GDPR;

d) cooperare con il Garante per la protezione dei dati personali; e) fungere da punto di contatto con il Garante per la protezione dei dati personali per

questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36 GDPR, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione;

(è possibile inserire di seguito anche ulteriori compiti, purché non incompatibili, quali ad es.:

f) tenere il registro delle attività di trattamento sotto la responsabilità del titolare o del responsabile ed attenendosi alle istruzioni impartite…)

I compiti del Responsabile della Protezione dei Dati personali attengono all’insieme dei trattamenti di dati effettuati dalla Società [o dal Gruppo di imprese ….] . La Società si impegna a: a) mettere a disposizione del DPO le seguenti risorse al fine di consentire l’ottimale

svolgimento dei compiti e delle funzioni assegnate … (specificare, ad es. se è stato istituito un apposito Ufficio o gruppo di lavoro, le relative dotazioni logistiche e di risorse umane, nonché i compiti o le responsabilità individuali del personale);


39

b) non rimuovere o penalizzare il DPO in ragione dell’adempimento dei compiti affidati nell’esercizio delle sue funzioni;

c) garantire che il DPO eserciti le proprie funzioni in autonomia e indipendenza e in particolare, non assegnando allo stesso attività o compiti che risultino in contrasto o conflitto di interesse;

DELIBERA

di designare ……………………………… come Responsabile dei dati personali (DPO) per la Società [o per il Gruppo di imprese ….] Data ………….. Il nominativo e i dati di contatto del DPO (recapito postale, telefono, email) saranno resi disponibili nella intranet della Società [o del Gruppo di imprese ….] (url….) e comunicati al Garante per la protezione dei dati personali. I dati di contatto saranno, altresì, pubblicati sul sito internet istituzionale.


40

Allegato 2

MODELLO COMUNICAZIONE AL GARANTE DEI DATI DELL’RPD/DPO AI SENSI DELL’ART. 37, COMMA 1, LETT. A) E COMMA 7, DEL GDPR DATI DEL TITOLARE/RESPONSABILE DEL TRATTAMENTO Denominazione ente: …………………………………….………………………………............ Codice Fiscale /P.Iva ……………………………………………………………………….……. Via / Piazza ……………………………………………………….. N. civico .……………..…… Città …………….……………………Cap. ……………… Provincia…………………..………. Telefono …………………………………. Fax…………………………………………….…….. Email ………………………….… Pec …………………………………………………..…… Sito istituzionale ……………………………………………………………………………...…… DATI DEL RESPONSABILE DELLA PROTEZIONE DEI DATI Nome e cognome: ………………………………………………………………………………... Data e luogo di nascita:…………..………………………………………………………………. Sede (solo ove diversa da quella del titolare) Via / Piazza ……………………………………………………….. N. Civico.………………….. Città …………….……………………Cap. ……………… Provincia ………………………….. Telefono …………………………………. Fax ………………………………………………….. Email ………………….. Pec.…………………………………………………………………….. In caso di stipulazione del contratto di servizio con una persona giuridica, indicare anche i seguenti dati della medesima: Denominazione:………………………………………….………………………………………... Via / Piazza ……………………………………………………….. N. Civico.………………….. Città …………….……………………Cap. ……………… Provincia…………………………… Telefono …………………………………. Fax ..………………………………………………… Email ……………….…….. Pec ………………………. Sito web .…………………………… Informativa ai sensi della disciplina in materia di protezione dei dati personali Il Garante per la protezione dei dati personali utilizzerà i dati personali trasmessi, con modalità elettroniche e su supporti cartacei, affinché il RPD possa fungere da punto di contatto tra il titolare/responsabile del trattamento e l’Autorità per le questioni riguardanti la protezione dei dati personali. Il loro conferimento è obbligatorio ai sensi degli artt. 37-39 del Regolamento (UE) 2016/679. Ciascun interessato ha diritto di accedere ai dati personali a sé riferiti e di esercitare gli altri diritti previsti dal Regolamento in relazione al trattamento degli stessi dati.


41

Allegato 3 GDPR - Articolo n.13 - Informazioni da fornire qualora i dati personali siano

raccolti presso l'interessato

1. In caso di raccolta presso l'interessato di dati che lo riguardano, il titolare del

trattamento fornisce all'interessato, nel momento in cui i dati personali sono

ottenuti, le seguenti informazioni:

a) l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del

suo rappresentante;

b) i dati di contatto del Responsabile della protezione dei dati, ove applicabile;

c) le finalità del trattamento cui sono destinati i dati personali nonché la base

giuridica del trattamento;

d) qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f), i legittimi

interessi perseguiti dal titolare del trattamento o da terzi;

e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati

personali;

f) ove applicabile, l'intenzione del titolare del trattamento di trasferire dati

personali a un paese terzo o a un'organizzazione internazionale e l'esistenza o

l'assenza di una decisione di adeguatezza della Commissione o, nel caso dei

trasferimenti di cui all'articolo 46 o 47, o all'articolo 49, secondo comma, il

riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una

copia di tali dati o il luogo dove sono stati resi disponibili.

2. In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati

personali sono ottenuti, il titolare del trattamento fornisce all'interessato le

seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e

trasparente:

a) il periodo di conservazione dei dati personali oppure, se non è possibile, i

criteri utilizzati per determinare tale periodo;

b) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento

l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la

limitazione del trattamento che lo riguardano o di opporsi al loro trattamento,

oltre al diritto alla portabilità dei dati;

c) qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure

sull'articolo 9, paragrafo 2, lettera a), l'esistenza del diritto di revocare il

consenso in qualsiasi momento senza pregiudicare la liceità del trattamento

basata sul consenso prestato prima della revoca;

d) il diritto di proporre reclamo a un'autorità di controllo;

e) se la comunicazione di dati personali è un obbligo legale o contrattuale

oppure un requisito necessario per la conclusione di un contratto, e se

l'interessato ha l'obbligo di fornire i dati personali nonché le possibili

conseguenze della mancata comunicazione di tali dati;

f) l'esistenza di un processo decisionale automatizzato, compresa la profilazione

di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni


42

significative sulla logica utilizzata, nonché l'importanza e le conseguenze

previste di tale trattamento per l'interessato.

3. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali

per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale

ulteriore trattamento fornisce all'interessato informazioni in merito a tale diversa

finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2.

4. I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l'interessato dispone già delle informazioni.

GDPR - Articolo n.14 - Informazioni da fornire qualora i dati personali non

siano stati ottenuti presso l'interessato

1. Qualora i dati non siano stati ottenuti presso l'interessato, il titolare del

trattamento fornisce all'interessato le seguenti informazioni:

a) l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del

suo rappresentante;

b) i dati di contatto del Responsabile della protezione dei dati, ove applicabile;

c) le finalità del trattamento cui sono destinati i dati personali nonché la base

giuridica del trattamento;

d) le categorie di dati personali in questione;

e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati

personali;

f) ove applicabile, l'intenzione del titolare del trattamento di trasferire dati

personali a un destinatario in un paese terzo o a un'organizzazione

internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della

Commissione o, nel caso dei trasferimenti di cui all'articolo 46 o 47, o all'articolo

49, secondo comma, il riferimento alle garanzie adeguate o opportune e i mezzi

per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

2. Oltre alle informazioni di cui al paragrafo 1, il titolare del trattamento fornisce

all'interessato le seguenti informazioni necessarie per garantire un trattamento

corretto e trasparente nei confronti dell'interessato:

a) il periodo di conservazione dei dati personali oppure, se non è possibile, i

criteri utilizzati per determinare tale periodo;

b) qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f), i legittimi

interessi perseguiti dal titolare del trattamento o da terzi;

c) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento

l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la

limitazione del trattamento dei dati personali che lo riguardano e di opporsi al

loro trattamento, oltre al diritto alla portabilità dei dati;

d) qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure

sull'articolo 9, paragrafo 2, lettera a), l'esistenza del diritto di revocare il


43

consenso in qualsiasi momento senza pregiudicare la liceità del trattamento

basata sul consenso prima della revoca;

e) il diritto di proporre reclamo a un'autorità di controllo;

f) la fonte da cui hanno origine i dati personali e, se del caso, l'eventualità che i

dati provengano da fonti accessibili al pubblico;

g) l'esistenza di un processo decisionale automatizzato, compresa la profilazione

di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni

significative sulla logica utilizzata, nonché l'importanza e le conseguenze

previste di tale trattamento per l'interessato.

3. Il titolare del trattamento fornisce le informazioni di cui ai paragrafi 1 e 2:

a) entro un termine ragionevole dall'ottenimento dei dati personali, ma al più

tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati

personali sono trattati;

b) nel caso in cui i dati personali siano destinati alla comunicazione con

l'interessato, al più tardi al momento della prima comunicazione all'interessato;

oppure

c) nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima

comunicazione dei dati personali.

4. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali

per una finalità diversa da quella per cui essi sono stati ottenuti, prima di tale

ulteriore trattamento fornisce all'interessato informazioni in merito a tale diversa

finalità e ogni informazione pertinente di cui al paragrafo 2.

5. I paragrafi da 1 a 4 non si applicano se e nella misura in cui:

a) l'interessato dispone già delle informazioni;

b) comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo

sproporzionato; in particolare per il trattamento a fini di archiviazione nel

pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatte salve le

condizioni e le garanzie di cui all'articolo 89, paragrafo 1, o nella misura in cui

l'obbligo di cui al paragrafo 1 del presente articolo rischi di rendere impossibile o

di pregiudicare gravemente il conseguimento delle finalità di tale trattamento. In

tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le

libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le

informazioni;

c) l'ottenimento o la comunicazione sono espressamente previsti dal diritto

dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento e che

prevede misure appropriate per tutelare gli interessi legittimi dell'interessato;

oppure

d) qualora i dati personali debbano rimanere riservati conformemente a un

obbligo di segreto professionale disciplinato dal diritto dell'Unione o degli Stati

membri, compreso un obbligo di segretezza previsto per legge.


44

Allegato 4 Il sistema sanzionatorio in dettaglio

1. Le sanzioni amministrative pecuniarie Innanzitutto, il Regolamento attribuisce all’autorità di controllo (ossia, in Italia, il Garante per la protezione dei dati personali) il potere di infliggere, in caso di violazione dei diritti, degli obblighi e dei principi disciplinati nel Regolamento, sanzioni amministrative pecuniarie, stabilendone gli importi massimi e fornendo principi e criteri direttivi per la loro irrogazione. Sotto il profilo dell’importo della sanzione applicabile, le violazioni alle norme del Regolamento possono essere suddivise in due gruppi. Un primo gruppo (cfr. l’art. 83, comma 4) è caratterizzato dall’applicazione di una sanzione di importo massimo pari a 10.000.000 di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente. Sono soggette a tale sanzione le violazioni degli obblighi ricadenti su: (i) Titolare e sul Responsabile del trattamento (e, precisamente, gli obblighi di

cui agli artt. 8, 11, da 25 a 39, 42 e 43); (ii) organismi di certificazione (obblighi di cui agli artt. 42 e 43); (iii) organismi di controllo (obblighi di cui all’art. 41, comma 4). Un secondo gruppo (cfr. l’art. 83, parr. 5 e 6) è invece caratterizzato dall’applicazione di una sanzione di importo massimo ancora più elevato, pari a 20.000.000 di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente. Sono soggette a tale sanzione le violazioni: (i) dei principi base del trattamento, comprese le condizioni per il consenso, di

cui agli artt. 5, 6, 7 e 9; (ii) dei diritti degli interessati di cui agli artt. da 12 a 22; (iii) delle disposizioni concernenti i trasferimenti verso paesi terzi o

organizzazioni internazionali a norma degli artt. da 44 a 49; (iv) degli obblighi derivanti dalla legislazione nazionale relativa a specifiche

situazioni di trattamento di cui al Capo IX del Regolamento; (v) degli ordini o degli altri provvedimenti (limitazioni, sospensioni, richieste di

accesso) assunti dall’autorità di controllo ai sensi dell’art. 58, parr. 1 e 2 del Regolamento.

Un’importante precisazione in merito al richiamo alle soglie percentuali di fatturato dell’impresa è contenuta nel Considerando n. 150 del Regolamento, secondo il quale “se le sanzioni amministrative sono inflitte a imprese, le imprese dovrebbero essere intese quali definite agli articoli 101 e 102 TFUE a tali fini”. Ciò significa che, nel determinare il parametro di raffronto cui applicare la percentuale di fatturato, l’autorità di controllo potrà fare riferimento non alla singola società (intesa come entità giuridica) direttamente coinvolta, ma al cd. “gruppo di imprese”, ossia, secondo la definizione della nozione di impresa fornita dalla


45

Corte di giustizia dell’Unione europea ai fini dell’applicazione dei citati artt. 101 e 102 TFUE, un’unità economica che può essere anche costituita, sotto il profilo giuridico, da più soggetti distinti (impresa madre e tutte le filiali coinvolte). Dalle norme richiamate in relazione a ciascuna violazione si evince come non solo le sanzioni amministrative pecuniarie possano colpire sia il Titolare che il Responsabile del trattamento, a seconda del soggetto al quale la violazione sia imputabile (in quanto soggetto obbligato), ma anche come il legislatore comunitario abbia inteso attribuire a tale strumento di repressione delle violazioni un’importanza centrale, essendo gran parte delle prescrizioni regolamentari assistita da sanzione amministrativa pecuniaria. Accanto alla previsione dei massimi edittali in relazione al quantum della sanzione, il Regolamento fissa alcuni importanti criteri e principi direttivi ai quali l’autorità di controllo deve attenersi al momento di decidere, nel caso di specie, se infliggere una sanzione amministrativa pecuniaria e per quale importo. In particolare, la sanzione deve sempre essere inflitta in funzione delle circostanze di ogni singolo caso, deve essere effettiva, proporzionata e dissuasiva (cfr. l’art. 83, comma 1), essendo a tal fine l’autorità tenuta a considerare i seguenti elementi, sia di carattere soggettivo che oggettivo (cfr. l’art. 83, comma 2): a) la natura, la gravità e la durata della violazione (tenendo in considerazione la natura, l'oggetto o la finalità del trattamento in questione, nonché il numero di interessati lesi dal danno e il livello del danno da essi subito); b) il carattere doloso o colposo della violazione; c) le misure adottate dal Titolare del trattamento o dal Responsabile del trattamento per attenuare il danno subito dagli interessati; d) il grado di responsabilità del Titolare del trattamento o del Responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli artt. 25 e 32; e) eventuali precedenti violazioni pertinenti commesse dal Titolare del trattamento o dal Responsabile del trattamento; f) il grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; g) le categorie di dati personali interessate dalla violazione; h) la maniera in cui l'autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il Titolare del trattamento o il Responsabile del trattamento ha notificato la violazione; i) qualora siano stati precedentemente disposti provvedimenti di cui all'art. 58, comma 2, nei confronti del Titolare del trattamento o del Responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti; j) l'adesione ai codici di condotta approvati ai sensi dell'art. 40 o ai meccanismi di certificazione approvati ai sensi dell'art. 42; k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad es. i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.


46

Pur dovendosi attendere le pronunce dell’autorità per verificare le modalità con le quali verranno applicati tali criteri, un documento utile in tal senso è già oggi disponibile, ossia le “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679” adottate il 3 ottobre 2017 dal “Gruppo di Lavoro Articolo 29” per la protezione dei dati. All’interno di tali linee guida, peraltro reperibili sul sito internet del Garante anche in lingua italiana, si trova infatti una sezione dedicata a fornire orientamenti alle autorità di controllo su come interpretare le singole circostanze del caso alla luce dei criteri di cui all’art. 83, comma 2 sopra esposti. Sempre sotto il profilo della determinazione dell’importo della sanzione in concreto applicabile, occorre precisare che, in caso di più violazioni di differenti norme regolamentari in relazione ad uno stesso trattamento o a trattamenti collegati, l’art. 83, comma 3 del Regolamento dispone che l’ammontare totale della sanzione non possa in ogni caso superare l’importo specificato per la violazione più grave.

2. I poteri correttivi

Le sanzione amministrative pecuniarie esaminate nel paragrafo precedente, pur costituendo una novità di non trascurabile rilievo, non esauriscono tuttavia, come già anticipato, il sistema di repressione delle violazioni delle norme regolamentari introdotto dal legislatore comunitario. L’art. 83, comma 2 dispone infatti che le sanzioni amministrative pecuniarie siano inflitte in aggiunta o in luogo delle misure di cui all’art. 58, comma 2, lett. da a) a h) e j), il quale indica gli strumenti che le autorità di controllo hanno a disposizione per far fronte a un’inadempienza da parte di un Titolare o Responsabile del trattamento. Tali strumenti, definiti dallo stesso art. 58 come “poteri correttivi”, possono andare dal semplice avvertimento a un vero e proprio ordine o ingiunzione, potendo l’autorità, per loro tramite, limitare o addirittura vietare un trattamento di dati non conforme alle previsioni regolamentari. Ciò rende evidente come anche le conseguenze economiche derivanti dall’esercizio di uno o più dei cd. poteri correttivi possano essere, per le imprese che li subiscono, di non trascurabile rilievo, se non in certi casi addirittura più gravi di quelle derivanti dall’applicazione di una sanzione amministrativa pecuniaria. Basti considerare che l’ordine di sospendere o limitare un trattamento di dati potrebbe comportare, per l’impresa Titolare del trattamento, anche la necessità di sospendere l’esecuzione di un’attività o di un servizio verso i propri clienti. Più in dettaglio, l’art. 58, comma 2 prevede che l’autorità di controllo possa: a) rivolgere avvertimenti al Titolare del trattamento o al Responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del presente regolamento;


47

b) rivolgere ammonimenti al Titolare e del trattamento o al Responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del presente regolamento; c) ingiungere al Titolare del trattamento o al Responsabile del trattamento di soddisfare le richieste dell'interessato di esercitare i diritti loro derivanti dal presente regolamento; d) ingiungere al Titolare del trattamento o al Responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine; e) ingiungere al Titolare del trattamento di comunicare all'interessato una violazione dei dati personali; f) imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento; g) ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento a norma degli artt. 16, 17 e 18 e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali ai sensi dell'art. 17, comma 2, e dell'art. 19; h) revocare la certificazione o ingiungere all'organismo di certificazione di ritirare la certificazione rilasciata a norma degli artt. 42 e 43, oppure ingiungere all'organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono più soddisfatti; i) infliggere una sanzione amministrativa pecuniaria ai sensi dell'art. 83, in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso; j) ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un'organizzazione internazionale. Trattasi di un elenco minimo, in quanto l’art. 58, comma 6 del Regolamento fa salva la possibilità, per ciascuno Stato membro, di prevedere per legge che la sua autorità di controllo abbia ulteriori poteri rispetto a quelli elencati al comma 2. Rispetto alle sanzioni amministrative pecuniarie, nel caso dell’esercizio dei poteri correttivi il Regolamento non ha esplicitamente previsto criteri e principi direttivi ai quali l’autorità di controllo debba attenersi, essendosi limitato a precisare che l’esercizio dei predetti poteri è comunque soggetto “a garanzie adeguate, inclusi il ricorso giurisdizionale effettivo e il giusto processo, previste dal diritto dell'Unione e degli Stati membri conformemente alla Carta” (così, l’art. 58, comma 4). Peraltro, nel Considerando n. 129, proprio in merito ai poteri delle autorità di controllo, è stato precisato che “ogni misura dovrebbe essere appropriata, necessaria e proporzionata al fine di assicurare la conformità al presente regolamento, tenuto conto delle circostanze di ciascun singolo caso”. Nel silenzio della norma regolamentare è da ritenere che le misure di cui all’art. 58, comma 2 possano anche essere cumulate tra loro, dando così luogo a un intervento che preveda più di una misura correttiva, oltre naturalmente alla possibilità che a tali misure, come già rilevato ed espressamente previsto dalla lett. i) di cui sopra, si aggiunga anche l’applicazione di una sanzione amministrativa pecuniaria.


48

Infine, si fa presente come i poteri correttivi di cui si è detto siano preceduti dal riconoscimento, sempre in capo alla stessa autorità di controllo, di determinati e correlati poteri di indagine (cfr. l’art. 58, comma 1 del Regolamento), tra cui: i) il potere di ingiungere al Titolare o al Responsabile del trattamento di fornire ogni informazione necessaria per l’esecuzione dei suoi compiti istituzionali; ii) il potere di condurre indagini; iii) il potere di notificare al Titolare o al Responsabile del trattamento le presunte violazioni al Regolamento; iv) il potere di ottenere l’accesso a tutti i locali del Titolare e del Responsabile del trattamento, compresi tutti gli strumenti e mezzi di trattamento dei dati; peraltro, rispetto a quest’ultimo penetrante potere, lo stesso art. 58, comma 1 dispone che esso debba essere esercitato in conformità con il diritto dell’Unione o il diritto processuale degli Stati membri.

3. Le “altre sanzioni” e il coordinamento con il sistema sanzionatorio ex Codice Privacy (D.lgs. n. 196/2003)

Accanto alle sanzioni amministrative pecuniarie e ai poteri correttivi di cui si è detto, il Regolamento prevede altresì, con una sorta di norma di chiusura del sistema sanzionatorio (segnatamente l’art. 84), la possibilità che ciascuno Stato membro possa stabilire “altre sanzioni” per la violazione delle norme regolamentari. Il riferimento è, in particolare, all’eventuale introduzione e/o mantenimento di sanzioni penali a presidio delle norme violate, come peraltro indicato nel Considerando n. 149 del Regolamento, secondo cui i singoli Stati membri devono poter stabilire le disposizioni concernenti le sanzioni penali applicabili in caso di violazione del Regolamento e in caso di violazione delle norme nazionali adottate in virtù ed entro i limiti posti dal Regolamento. È quindi utile ricordare in questa sede che il D.Lgs. 196/2003 (Codice Privacy), accanto a ipotesi di sanzioni amministrative pecuniarie (cfr. il Capo I del Titolo III del Codice, artt. 161 e ss.), già prevede una serie di illeciti assistiti da sanzione penale (cfr. il Capo II del Titolo III del Codice, artt. 167 e ss.), ossia: i) il trattamento illecito di dati (art. 167): punito, se commesso al fine di trarne per sé o per altri profitto o di recare ad altri un danno, e salvo che il fatto costituisca più grave reato, con la pena della reclusione che può variare, a seconda delle norme sul trattamento violate, da 6 a 18 mesi, da 6 a 24 mesi o da 1 a 3 anni; ii) la falsità nelle dichiarazioni e notificazioni al Garante (art. 168): punita, salvo che il fatto costituisca più grave reato, con la pena della reclusione da 6 mesi a 3 anni; iii) l’omissione dell’adozione delle misure di sicurezza (art. 169): punita con la pena dell’arresto sino a 2 anni; è prevista, in tale ipotesi, la possibilità di estinzione del reato a seguito dell’adempimento alla prescrizione di adeguamento impartita dal Garante e del pagamento di una somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa (che, ai sensi dell’art.


49

162, comma 2-bis, è pari a 120.000 euro); iv) l’inosservanza di provvedimenti del Garante (art. 170): punita con la reclusione da tre mesi a due anni; v) la violazione del divieto di indagine sulle opinioni dei lavoratori e del controllo a distanza (art. 171): punita con l’arresto da 15 giorni a un anno o con l’ammenda da 51 a 516 euro, ma nei casi più gravi le pene dell’arresto e dell’ammenda sono applicate congiuntamente e, qualora per le condizioni economiche del reo l’ammenda può presumersi inefficace, il giudice ha la facoltà di aumentarla fino al quintuplo. Non è tuttavia semplice stabilire se e in che misura tali disposizioni sanzionatorie possano considerarsi ancora vigenti a seguito dell’entrata in vigore del Regolamento, dal momento che, tra l’altro, alcune delle disposizioni del Codice Privacy sanzionate penalmente potrebbero essere considerate abrogate per incompatibilità rispetto alle disposizioni sul medesimo argomento introdotte dal Regolamento, con conseguente inapplicabilità della relativa sanzione penale. In questo contesto il suggerimento è di continuare a tenere in considerazione anche le disposizioni del Codice Privacy già in vigore sulla responsabilità penale, quanto meno in attesa dell’intervento di revisione e riordino della disciplina interna in materia di privacy demandato al Governo, dal quale potrebbe scaturire anche la totale o parziale abrogazione del Codice Privacy, e quindi anche delle sanzioni penali cui si è fatto cenno. Nell’ambito della legge n. 136/2017 di delegazione europea 2016-2017 per il periodico adeguamento dell’ordinamento nazionale a quello dell’Unione Europea è stata infatti prevista all’art. 13 l’adozione, entro sei mesi dall’entrata in vigore della predetta legge (avvenuta il 21.11.2017), di uno o più decreti legislativi al fine di adeguare il quadro normativo nazionale - e quindi anche l’apparato sanzionatorio - alle disposizioni del Regolamento. Il Governo, tra le deleghe ricevute, è stato chiamato ad “adeguare il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del regolamento, con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse”. Nel fare ciò, il legislatore delegato dovrà attenersi a principi e criteri direttivi specifici, tra cui (i) l’abrogazione delle disposizioni del Codice Privacy incompatibili con le disposizioni del Regolamento e (ii) il coordinamento delle disposizioni vigenti del Codice Privacy con le disposizioni di cui al Regolamento. Anche alla luce di tali principi e criteri direttivi, chiaramente diretti a semplificare quanto più possibile il rapporto tra regolamentazione nazionale e comunitaria, è verosimile attendersi un intervento da parte del legislatore nazionale che, con riferimento alla disciplina sanzionatoria, faccia per così dire tabula rasa delle disposizioni attualmente vigenti, restando poi da vedere se e in che casi il legislatore intenda reintrodurre ipotesi di illecito penale sfruttando l’apertura concessa in tal senso dal citato art. 84 del Regolamento. Ciò è in effetti quanto sembra emergere dalla lettura dello Schema, poiché sulla base del combinato disposto degli artt. 101 e 35, quanto meno nel testo risultante dall’attuale


50

proposta di formulazione, il Codice verrebbe interamente abrogato, mentre sarebbero solo due le ipotesi di illecito penale introdotte dal legislatore, ossia la falsità nelle dichiarazioni al Garante e l’interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante.

4. Il risarcimento del danno

Un ultimo ambito di intervento del Regolamento sempre afferente al tema della responsabilità delle imprese in tema di data privacy è quello della tutela risarcitoria. Ai sensi dell’art. 82 del Regolamento, qualora un’impresa provochi, a causa della violazione di una norma del Regolamento, un danno materiale o immateriale al soggetto interessato, quest’ultimo ha il diritto di ottenere il risarcimento del danno subito dal Titolare del trattamento o dal Responsabile. In particolare, il Titolare del trattamento risponde per il danno cagionato dal suo trattamento che violi il Regolamento, mentre il Responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto agli obblighi specificamente posti a suo carico dal Regolamento o se ha agito in modo difforme o contrario rispetto alle legittime istruzioni del Titolare del trattamento quest’ultimo. Nel caso in cui il soggetto interessato intenda procedere giudizialmente per far valere il proprio diritto al risarcimento del danno, il Titolare o il Responsabile del trattamento possono essere convenuti, a scelta dell’interessato, dinanzi all’autorità giurisdizionale dello Stato membro in cui hanno uno stabilimento o, in alternativa, dinanzi all’autorità giurisdizionale dello Stato membro di residenza abituale dell’interessato (cfr., in questo senso, il combinato disposto degli artt. 82, comma 6 e 79, comma 2 del Regolamento). La responsabilità risarcitoria in questione è, per espressa previsione regolamentare, di tipo solidale. Ciò significa che, qualora più titolari del trattamento o responsabili del trattamento oppure entrambi (Titolare e Responsabile) siano coinvolti nello stesso trattamento e siano responsabili dell’eventuale danno causato dal trattamento, ogni Titolare e/o ogni Responsabile risponde in solido per l’intero ammontare del danno accertato; ciò con l’evidente scopo di garantire il più possibile il risarcimento effettivo all’interessato che tale danno abbia subito. Resta inteso, come peraltro già affermato nel nostro ordinamento dai principi generali in tema di responsabilità solidale, che il soggetto che abbia provveduto al pagamento dell’intero risarcimento del danno all’interessato ha diritto di agire in regresso nei confronti dei corresponsabili solidali per il recupero della parte del risarcimento corrispondente alla parte di responsabilità che ciascuno di loro ha avuto nella determinazione del danno.


51

Un ultimo, ma non meno rilevante, aspetto da sottolineare in merito alla disciplina risarcitoria è relativo a quanto disposto dall’art. 82, comma 3 del Regolamento. Tale norma, infatti, prevedendo che il Titolare del trattamento o il Responsabile del trattamento sia esonerato dalla responsabilità risarcitoria di cui si è detto solo se in grado di dimostrare che l’evento dannoso non gli è in alcun modo imputabile, sembra aver a tutti gli effetti introdotto un’inversione dell’onere della prova, gravando il soggetto danneggiante dell’onere di dimostrare, in caso di violazione di una norma del Regolamento, la sua totale estraneità alla causazione dell’evento dannoso da ciò derivante.


Per ulteriori informazioni:

Lorenzo Faregna Tel. +39. 02. 34565.218 Fax +39. 02. 34565.456

E – Mail: [email protected]

Nieves Estrada Tel. +39. 02. 34565.297 Fax +39. 02. 34565.329

E – Mail: [email protected]

20149 Milano Via Giovanni da Procida 11 Tel. +39.02.34565.1 Fax. +39.02.34565.310 [email protected] 00186 Roma Largo Arenula 34 Tel. +39.06.54273.1 Fax. +39.06.54273.240 [email protected] 1040 Bruxelles (Belgio) 1, Avenue de la Joyeuse Entrée Tel. +32.2.2803292 Fax. +32.2.2800094 [email protected] www.federchimica.it

http://www.federchimica.it/

Protezione dei dati personali: le principali novità ... · 2. Guida Introduttiva ai Modelli di...

Documents

Transcript of Protezione dei dati personali: le principali novità ... · 2. Guida Introduttiva ai Modelli di...