GDPR

Il Regolamento dell’Unione Europea n. 679/2016

General Data Protection Regulation (G.D.P.R.)

 

Il Regolamento europeo sulla privacy, approvato il 14 aprile 2016 dal Parlamento UE contiene molte novità rispetto al precedente Codice della Privacy in vigore in Italia (D. Lgs. 196/2003).

In questa sede si vuole esclusivamente elencare e semplificare, al lettore, alcuni spunti sui concetti base della normativa affinché, se d’interesse, possa poi approfondire l’argomento: si è convinti, infatti, che solo un informato confronto possa accrescere e migliorare la cultura della riservatezza.

Ogni argomento affrontato in questa sede, infatti, ben potrebbe essere oggetto di una specifica e corposa trattazione. Ed invero, come ogni normativa, anche in quella in commento vengono lasciati “spazi di manovra concettuale” che già hanno portato alla luce più interpretazioni del medesimo argomento.

Divulgare e diffondere la cultura della riservatezza, pertanto, è l’obiettivo del presente scritto.

Sperando di aver fatto cosa gradita, si augura

Buona lettura.

  1. Entrata vigore del G.D.P.R.
  2. Ambito di applicazione: competenza per territorio e per oggetto
  3. Il trattamento dei dati personali
  4. Il dato personale
  5. I principi generali del trattamento
  6. Il Titolare del Trattamento ed il Responsabile del Trattamento
  7. Il Data Protection Officer
  8. Il Consenso
  9. I diritti dell’interessato:
    1. L’informativa;
    2. Diritto di accesso;
    3. Diritto di rettifica;
    4. Diritto di oblio;
    5. Limitazione al trattamento;
    6. Portabilità dei dati;
    7. Opposizione al trattamento.
  10. Il Garante della Privacy;
  11. Responsabilità e risarcimento del danno;
  12. Altri termini del mondo privacy: profilazione on line; privacy by design e privacy by default; principio della trasparenza; accountability; joint controllers; data breach; data protection impact assessment.

* * *

  1. Entrata in vigore del G.D.P.R.

Il Regolamento è entrato in vigore il giorno successivo alla pubblicazione nella G.U. dell’Unione Europea, avvenuta il 04 maggio 2016. Quindi il regolamento è vigente dal giorno 25 maggio 2016.

Ed invero, infatti, trattandosi di un regolamento, esso è direttamente applicabile in tutti gli Stati membri dell’U.E., senza necessità di essere recepito attraverso un provvedimento.

L’efficacia del Regolamento, invece, era stata “sospesa” per due anni. Ecco perché dal 25 maggio 2018 si considera applicabile.

In questi due anni la normativa nazionale avrebbe dovuto allinearsi, se del caso, con i nuovi principi e le nuove prassi contenute nel nuovo regolamento.

Anticipando quanto più appresso, si specifica come un consenso al trattamento dei dati prestato secondo quanto disposto dalla normativa previgente sarà sufficiente ed autorizzerà il titolare a continuare il trattamento solo se espresso conformemente alle condizioni del Regolamento.

  1. Ambito di applicazione: competenza per territorio e per materia (oggetto)

Una delle esigenze alla base del Regolamento è quella di garantire un’applicazione uniforme delle medesime regole in tutta l’Unione Europea.

Il Regolamento, infatti, si applicherà non solo a tutti i cittadini ed alle istituzioni europee, bensì anche a tutte quelle persone, fisiche e giuridiche che operino sul territorio europeo.

Si precisa che il Regolamento, pur applicandosi anche alle persone giuridiche, tuteli solo i diritti delle persone fisiche.

Il legislatore europeo, quindi, soprattutto per adeguarsi alla dimensione della “rete”, applica un concetto ampio di territorialità. Si applicherà il Regolamento, quindi, quando il soggetto che tratta i dati (sia esso Titolare del trattamento o Responsabile del trattamento) risulterà stabilito all’interno dell’U.E., anche se il trattamento non avviene in U.E.; oppure si applicherà il Regolamento quando l’Interessato del trattamento si trovi nell’U.E..

Per capirci, anche i più famosi social network legalmente con sede extra-europea dovranno adeguarsi alla normativa in commento quando dovranno relazionarsi con utenti europei.

In merito all’oggetto di competenza del Regolamento (cd. Competenza per materia), invece, si specifica come questo tuteli il diritto alla protezione ed alla libera circolazione dei dati personali delle persone fisiche quale “diritto e libertà fondamentale” di rango costituzionale. L’art. 8, par. 1, della Carta dei diritti fondamentali dell’U.E. E l’art. 16, par. del Trattato stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

  1. Il trattamento dei dati personali

Le disposizione del Regolamento disciplinano il trattamento dei dati personali affinché questo venga posto in essere attuando principi che più avanti verranno individuati singolarmente.

Bisogna domandarsi quindi cosa si intenda per “trattamento”.

Il trattamento risulta essere qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Esempi di trattamento:

  • gestione del personale e amministrazione delle paghe;
  • accesso/consultazione di una banca dati di contatti contenente dati personali;
  • invio di e-mail promozionali (per l’invio delle quali è necessario rispettare le regole di marketing stabilite nella direttiva e-privacy);
  • triturazione di documenti contenenti dati personali;
  • postare/mettere una foto di una persona su un sito web;
  • memorizzazione di indirizzi IP o indirizzi MAC;
  • videoregistrazione (CCTV).

Il Regolamento, all’art. 2, elenca alcuni trattamenti esclusi: A) trattamento di dati per finalità estranee al diritto dell’Unione; B) trattamento di dati nell’esercizio di attività rientranti nella politica estera e di sicurezza comune; C) trattamento di dati effettuati da una persona fisica per l’esercizio di attività esclusivamente personale o domestico; D) trattamento di dati effettuato dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati, esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica.

Preme evidenziare come, quindi, la normativa qui in esame non troverà applicazione al trattamento di dati personali effettuato da una persona fisica nell’ambito di attività senza una connessione con un’attività commerciale o professionale.

Il regolamento protegge i dati personali a prescindere dalla tecnologia utilizzata per trattare tali dati. Si dice quindi neutrale sotto il profilo tecnologico e si applica sia al trattamento automatizzato che a quello manuale, a condizione che i dati siano organizzati in base a criteri predefiniti (ad es. in ordine alfabetico). Inoltre, non importa come vengono archiviati i dati: in un sistema informatico, tramite videosorveglianza o su carta; in tutti questi casi, i dati personali sono soggetti agli obblighi di protezione stabiliti nel regolamento.

  1. Il dato personale

Ma cosa si intende per dato personale?

Secondo l’art. 4 del Regolamento: “Ai fini del presente regolamento s’intende per: 1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Quindi i dati personali sono tutte le informazioni relative a una persona vivente identificata o identificabile. Anche le varie informazioni che, raccolte insieme, possono portare all’identificazione di una determinata persona costituiscono i dati personali.

I dati personali sottoposti a deidentificazione, cifratura o pseudonimizzazione, ma che possono essere utilizzati per reidentificare una persona, rimangono dati personali e rientrano nell’ambito di applicazione della normativa.

I dati personali che sono stati resi anonimi, in modo tale che l’individuo non sia o non sia più identificabile, non sono più considerati dati personali. Perché i dati siano veramente anonimi, l’anonimizzazione deve essere irreversibile.

Esempio di dati personali:

  • nome e cognome;
  • indirizzo di casa;
  • indirizzo e-mail, come cognome@azienda.com;
  • numero della carta d’identità;
  • dati sulla posizione (ad es. la funzione di posizionamento su un telefono cellulare) (In alcuni casi è prevista una normativa settoriale specifica che regola, ad esempio, l’uso dei dati relativi alla posizione o all’uso dei cookie: la direttiva e-privacy (direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002 (GU L 201 del 31.7.2002, pag. 37) e il regolamento (CE) n. 2006/2004 del Parlamento europeo e del Consiglio del 27 ottobre 2004 (GU L 364 del 9.12.2004, pag. 1)
  • un indirizzo IP (Internet Protocol);
  • un ID cookie;
  • l’identificativo pubblicitario del proprio telefono;
  • i dati conservati in un ospedale o da un medico, che possono essere un simbolo che identifica univocamente una persona.

Esempi di dati non considerati personali:

  • numero di iscrizione al registro delle imprese di una società;
  • indirizzo e-mail, come info@azienda.com;
  • dati resi anonimi.
  1. I principi generali del trattamento

In virtù dell’art. 5 e del considerando 39 del Regolamento, il tipo e la quantità di dati personali che un’azienda/organizzazione può trattare dipendono dal motivo del trattamento (motivo giuridico utilizzato) e da ciò che si desidera fare con essi.

L’azienda/organizzazione deve rispettare diverse norme chiave, tra cui:

  • i dati personali devono essere trattati in modo lecito e trasparente, garantendo l’equità nei confronti delle persone di cui si trattano i dati («liceità, correttezza e trasparenza») (per quanto attiene al concetto di liceità ci si riporta al paragrafo 8. Consenso);
  • occorre avere finalità specifiche per il trattamento dei dati e l’azienda/organizzazione deve indicarle alle persone quando si raccolgono i loro dati personali. Un’azienda/organizzazione non può raccogliere dati personali per scopi non definiti («limitazione delle finalità»);
  • l’azienda/organizzazione può raccogliere e trattare solo i dati personali necessari a tale scopo («minimizzazione dei dati»);
  • l’azienda/organizzazione deve assicurarsi che i dati personali siano esatti e aggiornati, tenendo conto delle finalità per le quali vengono trattati, e, in caso contrario, correggerli («accuratezza»);
  • l’azienda/organizzazione non può utilizzare i dati personali per altri scopi non compatibili con la finalità originaria della raccolta;
  • l’azienda/organizzazione deve garantire che i dati personali siano conservati per un periodo non superiore a quello necessario agli scopi per i quali sono stati raccolti («limiti di tempo per la conservazione»);
  • l’azienda/organizzazione deve predisporre adeguate misure tecniche e organizzative che garantiscano la sicurezza dei dati personali, compresa la protezione contro il trattamento non autorizzato o illecito e contro la perdita accidentale, la distruzione o il danno, utilizzando tecnologie appropriate («integrità e riservatezza»).
  1. Il Titolare del Trattamento ed il Responsabile del Trattamento

Indubbia risulta essere la complessità della protezione dei dati nella nostra era tecnologica.

Per tale motivo il Regolamento individua, all’art. 4, le figure del Titolare e del Responsabile del Trattamento.

A differenza dell’interessato del trattamento che, come detto, può essere solo una persona fisica, il Titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente od insieme ad altri, determina le finatlià e i mezzi del trattamento di dati personali.

Le sue responsabilità sono definite dal successivo articolo 24: “ Responsabilità del titolare del trattamento 1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario. 2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento. 3. L’adesione ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione di cui all’articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.

Fondamentalmente il Titolare del trattamento ha il compito di adottare misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare (anche aderendo a dei codici di condotta), che il trattamento dei dati personali viene effettuato conformemente ai sopra richiamati principi del Regolamento.

Per quanto attiene al Responsabile del trattamento, questo è la persona fisica o giuridica (ma anche l’autorità pubblica, il servizio o altro organismo) che tratta dati personali per conto di un titolare del trattamento.

L’art. 28 stabilisce che: “1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

  1. Il Data Protection Officer

Il Data Protection Officer (D.P.O.), figura già presente in alcune legislazioni europee, per quanti ci riguarda è una nuova figura introdotta dal Regolamento Europeo che ne regola la nomina nei seguenti casi:

  1. a)il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  2. b)le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
  3. c)le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati particolari | sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10.

L’articolo 9 del Regolamento al comma 1 definisce quelli che sono le categorie particolari di dati personali (ex dati sensibili) ed in particolare i dati personali che: “rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.

L’art. 39 del Regolamento europeo sulla protezione dei dati personali elenca i principali compiti del DPO (Responsabile della protezione dei dati): “ 1. Il responsabile della protezione dei dati | DPO | è incaricato almeno dei seguenti compiti:

  1. a) informare e fornire consulenzaal Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighiderivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  2. b) sorvegliare l’osservanzadel presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personaleche partecipa ai trattamenti e alle connesse attività di controllo;
  3. c) fornire, se richiesto, un parere in merito alla valutazione d’impattosulla protezione dei dati e sorvegliarne lo svolgimentoai sensi dell’articolo 35;
  4. d) cooperare con l’autorità di controllo; e
  5. e) fungere da punto di contatto per l’autorità di controlloper questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
  6. Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.”.

La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

  1. Il Consenso

Uno dei pilastri della normativa sulla riservatezza è il concetto che, in caso di qualsivoglia ispezione e/o controllo, il Titolare del trattamento, tra l’altro, possa dimostrare che l’interessato (cioè colui al quale i dati si riferiscono) ha prestato il proprio consenso al trattamento dei propri dati personali.

Le linee guida del (ex)Gruppo di Lavoro dell’Articolo 29 adottano un approccio rigido rispetto ai requisiti del consenso al trattamento dei dati personali. Il consenso è identificato come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento“.

Manifestazione di volontà libera (quindi qualsiasi tentativo di condizionare il consenso e qualsiasi consenso prestato in presenza di uno sbilanciamento forza tra le parti rischia di rendere il consenso non valido), specifica (quindi il consenso deve essere espresso in virtù di una richiesta distinguibile, non potendo essere genericamente inserita in ulteriore dichiarazione scritta. In tal caso il consenso al trattamento dei dati deve risultare distinguibile da tutto il resto del documento), informata (prima di prestare il proprio consenso l’interessato deve aver ricevuto “l’informativa” della quale si dirà meglio al paragrafo “9. I Diritti dell’interessato: L’informativa”. Anche qui, però, v’è una eccezione: nel caso in cui i dati non vengano raccolti presso l’interessato l’informativa deve essere consegnata “in termini ragionevoli”), inequivocabile (quindi fornito mediante un “chiaro atto affermativo” che significa che l’interessato deve aver intrapreso un’azione deliberata per consentire il trattamento specifico. Ad esempio, lo scorrimento delle pagine su uno schermo è considerato dal WP29 come non sufficiente. Allo stesso modo, non sono validi le caselle già spuntate, il silenzio o l’inattività).

Le informazioni di cui sopra non possono essere fornite attraverso lunghe informative illeggibili o dichiarazioni piene di gergo legale e il consenso deve essere chiaro e distinguibile da altre questioni e fornito in una forma comprensibile e facilmente accessibile.

L’interessato ha diritto di revocare in qualsiasi momento il proprio consenso: tale revoca non pregiudica il trattamento attuato sul consenso prima della revoca.

Circa il trattamento dei dati di soggetti minorenni, l’art. 8 del Regolamento prevede che “il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale. Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni.

L’art. 6 del Regolamento prevede che “il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso; c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica; e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento; f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore. La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.” .

*

Tra i dati personali il Regolamento Europeo distingue, all’art. 9, quella particolare categoria di dati che possano rivelare “l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.

Per tali dati è previsto un generale divieto di trattamento ma, contemporaneamente, viene anche prevista una lunga serie di eccezioni tra le quali: “ a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1; b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale (…) c) il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso; (…) e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato; f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali; g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita (…) j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

  1. I diritti dell’Interessato.

Il Regolamento prevede una serie di diritti in capo all’interessato: diritto all’Informativa, diritto di accesso, di rettifica, di oblio, di limitazione del trattamento, di portabilità dei dati, di opposizione al trattamento.

Obbligo del Titolare del trattamento è portare a conoscenza dell’interessato, proprio attraverso l’informativa, l’esistenza di questi diritti e le modalità per esercitarli.

 

  1. A) L’informativa

Affinché il consenso prestato dall’interessato possa essere considerato legittimo, il Titolare del trattamento deve poter dimostrare di aver preventivamente edotto questo con alcune informazioni.

A seconda che la raccolta dei dati personali avvenga o meno in presenza dell’interessato, il Regolamento prevede agli artt. 13 e 14, numerosi requisiti che l’informativa dovrà contenere.

Art. 13 Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato:

  1. a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
  2. b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;
  3. c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
  4. d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
  5. e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  6. f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo (…);

Ed ancora: il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati; l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca; il diritto di proporre reclamo a un’autorità di controllo; se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati; l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

Nel caso in cui i dati personali non siano ottenuti presso l’interessato il Titolare del trattamento dovrà fornire le stesse informazioni sub art. 13, con sola modifica delle tempistiche previste per tale comunicazione. Ed invero infatti, l’art. 14, punto 3, prevede che vengano fornite tali informazioni

  1. a) entro un termine ragionevole dall’ottenimento dei dati personali, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati;
  2. b) nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato, al più tardi al momento della prima comunicazione all’interessato; oppure
  3. nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali.

Le disposizioni sugli obblighi informativi in capo al Titolare non si applicano se l’interessato già dispone di tali informazioni e:

  • qualora comunicare tali informazioni risulti impossibile o implicherebbe uno sforzo sproporzionato oppure rischierebbe di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento;
  • qualora i dati personali debbano rimanere riservati conformemente a un obbligo di segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri, compreso un obbligo di segretezza previsto per legge.
  1. B) Diritto di accesso

Il diritto di accesso consiste, come previsto dall’art. 15, paragrafo 1 del GDPR, nel diritto in capo al soggetto interessato “di ottenere dal titolare del trattamento la conferma che sia in corso o meno un trattamento dei dati personali che lo riguardano“.

Il GDPR prevede, in particolare, che l’interessato abbia il diritto di conoscere:

  • le finalità del trattamento;
  • le categorie dei dati personali di cui il titolare è in possesso;
  • i destinatari cui i dati sono stati o saranno comunicati, specificando in particolare se si tratta di soggetti che si trovano in paesi terzi rispetto all’Unione Europea o se si tratta di organizzazioni internazionali. In particolare, qualora ricorra una di queste ultime ipotesi, l’interessato ha anche il diritto di essere informato sull’esistenza di adeguate garanzie concernenti il trasferimento dei suoi dati personali (uscendo in questi casi, almeno parzialmente dalla copertura del GDPR), come precisato nel Capo V del GDPR, dedicato proprio ai trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali;
  • se possibile, la durata prestabilita del periodo di conservazione dei dati o quanto meno i criteri cui il titolare fa riferimento per determinare tale durata;
  • l’esistenza del suo diritto: (a) a chiedere la rettifica o la cancellazione dei dati; (b) a chiedere la limitazione del trattamento dei dati personali, e (c) di opporsi al loro trattamento, perché ritenuto illegittimo;
  • il diritto di proporre un reclamo all’autorità di controllo quando l’interessato ritiene che vi sia stata violazione dei propri diritti o delle proprie libertà;
  • tutte le informazioni disponibili sull’origine dei dati nel caso in cui non siano stati raccolti presso l’interessato, ma ricevuti da soggetti terzi (a quali l’interessato potrebbe aver dato il consenso anche a tal fine) oppure ottenuti tramite elenchi pubblici;
  • infine, la logica su cui è basato un processo automatizzato, come ad esempio la profilazione, e il funzionamento di tali meccanismi e le possibili conseguenza del loro utilizzo (ovvero in cosa consistono sostanzialmente, quali dati e come vengono elaborati).

L’interessato ha il diritto di ricevere dal titolare le informazioni richieste esercitando il proprio diritto di accesso il prima possibile e, comunque,al massimo entro un mese.

Soltanto in casi particolari, ad esempio quando le richieste siano molto numerose oppure le informazioni da fornire siano particolarmente complesse, il titolare potrà estendere questo termine ad un periodo massimo di due mesi, informando però, sempre entro un mese dalla sua richiesta, l’interessato della necessità di proroga e dei relativi motivi che l’hanno resa necessaria. Si configura in questo modo l’obbligo per il titolare (o per il responsabile, se presente) di riscontrare sempre la richiesta dell’interessato entro un mese dalla ricezione, anche nel caso in cui non intenda ottemperare.

Le informazioni dovranno essere date a titolo gratuito all’interessato, salvo il caso eccezionale in cui il titolare debba sostenere delle spese tecniche rilevanti per adempiere (ad esempio, qualora siano state richieste più copie) oppure le richieste dell’interessato siano risultate infondate o eccessive: in presenza di simili condizioni, il titolare potrà, quindi, addebitare, entro limiti ragionevoli all’interessato una parte delle spese e richiedergli il versamento di un contributo.

Di norma, poi, la risposta dovrà essere data in forma scritta, anche al fine di poter dimostrare di averla fornita. Lo stesso Regolamento, poi, precisa che quando l’interessato avanza delle richieste utilizzando mezzi elettronici, anche le risposte da parte del titolare dovranno fare ricorso alle medesime modalità.

Ovviamente il Titolare dovrà prima verificare l’identità di chi chiede l’accesso, con particolare attenzione ai casi in cui ciò avvenga direttamente online.

L’esercizio del diritto in esame non deve creare delle violazioni a diritti di altri soggetti: il Considerando n. 63, al riguardo, a titolo esemplificativo, fa riferimento ai segreti industriali e ai diritti di proprietà industriale (si pensi alla tutela dei diritti d’autore relativi a software).

  1. C) Diritto di rettifica

L’interessato ha diritto di ottenere dal Titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo.

Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

Il Titolare deve anche comunicare a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato.

  1. D) Diritto di oblio

Dall’enciclopedia Treccani “(Diritto all’Oblio) loc. s.le m. Diritto di un individuo a essere dimenticato e, in particolare, a non essere più menzionato in relazione a fatti che lo hanno riguardato in passato e che erano stati oggetto di cronaca.

Ed invero esercitando il diritto all’oblio il soggetto non vuole propriamente “cancellare il passato” quanto piuttosto “proteggere il presente”.

Lasciando ad altro momento una più approfondita analisi, in questa sede si reputa sufficiente evidenziare come l’interessato abbia diritto ad ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano, senza giustificato ritardo, se sussiste uno dei motivi seguenti:

  1. a) dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
  2. b) l’interessato revoca il consenso su cui si basa il trattamento;
  3. c) l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;
  4. d) i dati personali sono stati trattati illecitamente;
  5. e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento.

L’interessato non può esercitare il diritto all’oblio a) se il trattamento è effettuato per l’esercizio del diritto alla libertà di espressione e di informazione; b) se il trattamento è effettuato per l’adempimento di un obbligo legale, o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il Titolare del trattamento.

  1. E) Limitazione al trattamento

Il Regolamento Europeo riconosce all’interessato di pretendere una limitazione dell’uso che il titolare fa dei propri dati, alla presenza di determinate condizioni che l’art. 18 elenca specificamente:

  • qualora l’interessato contesti l’esattezza dei dati personali, per il periodo necessario al fine di verificarne l’esattezza (ovvero il trattamento è “congelato” nel tempo tecnico richiesto per verificare se i dati siano esatti o meno, dopodiché si agirà di conseguenza, correggendo o integrando i dati);
  • quando il trattamento dei dati sia illecito e l’interessato si opponga alla loro cancellazione, preferendo che ne sia disposta una limitazione d’utilizzo;
  • quando il titolare non abbia più bisogno di conservare i dati ai fini del trattamento, ma essi sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
  • infine, quando l’interessato si sia opposto al trattamento nell’attesa delle necessarie verifiche sulla prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.

In queste ipotesi i dati non vengono cancellati, ma ne viene ridotto l’utilizzo consentito da parte del titolare.

           

  1. F) Portabilità dei dati

E’ un diritto sussistente quando i propri dati vengono trattati con mezzi automatizzati (quindi non cartacei).

In base all’articolo 20 del GDPR, “l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti“.

I dati devono essere forniti “senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa“. In tal modo le persone possono spostarsi da un fornitore di servizi ad un altro, così impedendo il formarsi di fenomeni di lock-in (blocco all’interno di un servizio).

L’interessato ha il diritto di ricevere, gratuitamente (tranne il rimborso delle spese, nel caso ad esempio di dati forniti su DVD e spediti), i dati in forma strutturata e leggibile da un elaboratore di dati (quindi assolutamente non in formato cartaceo), in un formato comunemente usato (“formato strutturato, di uso comune e leggibile da dispositivo automatico“).

Anche il titolare ricevente i dati è soggetto a specifici obblighi, in particolare diventa il nuovo titolare e quindi deve garantire che i dati non siano eccessivi rispetto al servizio che fornisce. Ad esempio, potrebbe essere necessario non elaborare parte dei dati appunto perchè non necessari per fornire il servizio.

Il diritto alla portabilità dei dati, quindi, non si limita ad aumentare il controllo dell’interessato sui suoi dati, ma favorisce anche la libera circolazione dei dati stimolando l’economia digitale.

Ovviamente, il diritto alla portabilità dei dati non implica alcun obbligo di conservare i dati oltre il periodo stabilito dalle norme al solo fine di garantire l’esercizio della portabilità.

  1. G) Opposizione al trattamento

L’interessato ha diritto ad opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano.

Conseguenza dell’esercizio di tale diritto è l’obbligo, in capo al titolare, di astenersi dal trattamento dei dati. Questo particolare diritto riguarda però situazioni in cui il titolare stia lecitamente trattando dei dati personali: pertanto, è riconosciuta la facoltà per il titolare di dimostrare che i suoi interessi specifici connessi al trattamento prevalgono su quelli evidenziati dall’interessato.

Nel caso in cui i dati personali siano trattati con finalità di marketing diretto, l’interessato ha il diritto di opporsi in qualsiasi momento e gratuitamente al trattamento, anche nel caso in cui questo avvenga mediante attività di profilazione. Tale possibilità deve essere resa nota dal titolare in maniera chiara, esplicita e separatamente rispetto alle altre informazioni: non potrà, ad esempio, ritenersi corretto un generico riferimento nell’informativa ai diritti riconosciuti dal GDPR, ma sarà necessario evidenziare in modo facilmente intellegibile per l’interessato l’esistenza e la portata del diritto di opposizione.

 

  1. Il Garante della Privacy

L’interessato ha il diritto di proporre un reclamo a un’autorità garante, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo nel quale si è verificata la presunta violazione.

In Italia tale autorità risulta essere il Garante della Privacy che in tale materia emette decisioni giuridicamente vincolanti.

E’ fatto salvo ogni altro ricorso amministrativo o giurisdizionale. Infatti l’interessato ben potrà rivolgersi all’autorità giudiziaria ordinaria avverso una decisione dell’autorità garante, o se questa sia rimasta inerme per tre mesi dopo la proposizione di un reclamo.

 

  1. Responsabilità e risarcimento del danno

Il Titolare del trattamento è il soggetto tenuto al risarcimento dei danni eventualmente causati da un illegittimo trattamento.

Il Responsabile del trattamento risponde per il danno causato dal trattamento se non ha adempiuto agli obblighi del regolamento espressamente previsti per il Responsabile o se ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.

Nel caso in cui sia il Titolare che il Responsabile siano responsabili del danno causato, il Regolamento prevede la responsabilità in solido dei due, salvo il diritto di rivalsa (in base alla quota parte di responsabilità) per chi abbia pagato l’intero risarcimento del danno

 

  1. Altri termini del mondo privacy: profilazione on line; privacy by design e privacy by default; principio della trasparenza; accountability; joint controllers; data breach; data protection impact assessment.

            Profilazione: Forma di trattamento automatizzato dei dati personali;

            Privacy by design: Protezione dei dati sin dalla progettazione;

           Privacy by default: La protezione del dato deve diventare l’impostazione predefinita;

Trasparenza: Le informazioni destinate all’interessato debbono essere concice, facilmente accessibili, di facile comprensione e che sia usato n linguaggio semplice e chiaro. Il Regolamento ammette l’utilizzo di icone per presentare i contenuti dell’informativa in forma sintetica, ma solo “in combinazione” con l’informativa estesa (articolo 12, paragrafo 7); queste icone in futuro dovranno essere uniformate in tutta l’Ue attraverso l’intervento dalla Commissione europea. In base al Regolamento, si deve porre particolare attenzione alla formulazione dell’informativa, che deve essere soprattutto comprensibile e trasparente per l’interessato, attraverso l’uso di un linguaggio chiaro e semplice. In particolare, bisogna ricordare che per i minori si devono prevedere informative idonee (anche considerando 58).

Accountability: Il Regolamento pone l’accento sulla “responsabilizzazione” di titolari e responsabili, ossia, sull’ adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento (artt. 23-25, in particolare, e l’intero Capo IV del Regolamento). Dunque, viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel Regolamento.

Joint controllers: Art. 26 Regolamento: “ Contitolari del trattamento” 1.Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. (…) 3. Indipendentemente dalle disposizioni dell’accordo di cui al paragrafo 1, l’interessato può esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun titolare del trattamento”.

Data Breach: L’art 33 del GDPR dispone che in caso di violazione dei dati personali, il titolare del trattamento deve notificare la violazione all’autorità di controllo competente entro 72 ore.

Data protection impact assessment: Una DPIA consiste in una procedura finalizzata a descrivere il trattamento, valutarne necessità e proporzionalità, e facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento dei loro dati personali4 (attraverso la valutazione di tali rischi e la definizione delle misure idonee ad affrontarli).

E’ richiesta in particolare ai trattamenti su larga scala che mirano al trattamento di una notevole quantitàò di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato.

***

Alcune Fonti: