Data Protection e Regolamento UE 679/2016

Nell’attuale società dell’informazione il concetto di privacy è inscindibilmente legato a quello di diritto alla protezione dei dati personali, il quale, negli ultimi anni, si è consolidato nei testi normativi nazionali ed internazionali, cosicché a seguito di un lungo processo normativo, oggi nell’ordinamento italiano vige il “Codice sulla protezione dei dati personali”^[1] introdotto con il D.Lgs. n. 196/2003^[2].

Nel maggio 2016 è stato pubblicato sulla Gazzetta ufficiale dell’unione europea il Regolamento n. 679/2016^[3] o GDPR (General Data Protection Regulation) che diventerà definitivamente applicabile in via diretta da parte dei giudici nazionali in tutti i Paesi UE a partire dal 25 maggio 2018, momento a partire dal quale dovrà essere garantito il perfetto rispetto delle disposizioni del Regolamento.

LEGGE DI BILANCIO E GDPR

A tal fine il legislatore nazionale con la Legge di Bilancio 2018^[4] ha introdotto delle previsioni a carattere rafforzativo delle norme del Regolamento 679/2016.

L’art. 1^[5] nel comma 1020 della Legge di Bilancio statuisce che “al fine di adeguare l'ordinamento Italiano al Regolamento (UE) 2016/679 (GDPR), il Garante per la protezione dei dati personali assicura la tutela dei diritti fondamentali e delle libertà dei cittadini”. Nel comma^[6] immediatamente successivo si enunciano le modalità attraverso cui il Garante dovrà, appunto, assicurare la tutela dei cittadini in tema di protezione dei dati personali. Sul punto, infatti, dovrà disciplinare le modalità con cui monitorerà l'applicazione del GDPR e vigilerà sulla sua applicazione ed i sistemi di verifica, quali ad esempio l'acquisizione di informazioni dai titolari dei dati personali trattati per via automatizzata o tramite tecnologie digitali.

Il Garante, altresì, dovrà predisporre un modello di informativa e delle linee-guida in materia di trattamento dei dati personali fondato sull'interesse legittimo del Titolare.

Un ulteriore comma^[7] concerne l’introduzione di una verifica preliminare dell’Autorità e della necessità di un provvedimento autorizzativo per procedere in caso di “trattamenti fondati sull'interesse legittimo che prevedano l'uso di nuove tecnologie o di strumenti automatizzati” ovvero del c.d. prior checking^[8] dei dati forniti.

IL REGOLAMENTO EUROPEO 679/16

Il nuovo Regolamento o GDPR in Italia che al suo interno prevede numerosi adempimenti ed obblighi per le imprese e la PA, abrogherà la direttiva 95/46/CE ed andrà a sostituire il Codice Privacy (D.lgs 196/2003).

Lo stesso dovrà essere applicato quando ci si trovi di fronte:

• al trattamento di dati personali effettuato da un Titolare o Responsabile stabilito nella UE, indipendentemente dal fatto che il trattamento sia effettuato o meno nella UE;
• al trattamento di dati personali effettuato da Titolari o Responsabili non stabiliti nell’UE, indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione, se il trattamento ha ad oggetto dati personali di interessati che si trovano nella UE e riguarda l’offerta di beni o servizi ai suddetti interessati oppure il monitoraggio del loro comportamento nel territorio della UE;
• al trattamento effettuato da un Titolare stabilito in uno Stato extra UE soggetto al diritto di uno Stato UE in virtù del diritto internazionale pubblico.

Le finalità del Regolamento sono la protezione delle persone fisiche^[9] e la regolamentazione della circolazione dei dati personali.

Rispetto alla definizione riportata nel D.lgs. 196 del 2003^[10], la nuova definizione di “dato personale”, contenuta nel Regolamento, appare più dettagliata. Infatti rientrano al suo interno tutti i tipi di categorie di dati, quali ad esempio dati personali, dati genetici, dati biometrici e dati relativi alla salute, riferibili ad una persona fisica. Con una specifica normativa, all’art 10 del Regolamento vengono disciplinati i dati giudiziari ovvero il trattamento dei “dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza” per i quali la manipolazione deve avvenire soltanto sotto il controllo dell’autorità pubblica o previa autorizzazione dal diritto dell’Unione o degli Stati membri.

I dati raccolti dal Titolare di trattamento dovranno essere organizzati con modalità specifiche.  L’art. 25 dal Regolamento introduce le modalità di gestione della protezione dei dati personali obbligatorie: privacy by design e privacy by default.

Privacy by design^[11] significa protezione dei dati fin dalla progettazione, mediante misure tecniche e organizzative. L'obbligo di privacy by design è basato sulla valutazione del rischio (risk based approach), con il quale si determina la misura di responsabilità del Titolare o del Responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti.

Privacy by default^[12] significa che la tutela della protezione dei dati deve diventare l’impostazione predefinita. Il Titolare del trattamento deve trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini.

Tutti i titolari e i responsabili di trattamento, con più 250 dipendenti o che effettuano trattamenti a rischio^[13], devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all'art. 30^[14].

Si tratta di uno strumento indispensabile per ogni valutazione e analisi del rischio. Il registro deve essere esibito su richiesta al Garante e può essere redatto in forma scritta o elettronica.

ESEMPIO DI MODULISTICA

L’istituto del consenso^[15] ha nel Regolamento un’importanza fondamentale in quanto condizione di liceità del trattamento dei dati personali. Esso è inteso come atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informale e inequivocabile di accettare il trattamento dei dati personali che lo riguardano. A manifestazione di accettazione può avvenire mediante dichiarazione scritta, orale o con mezzi elettronici. In quest’ultimo caso la richiesta all’interessato deve essere chiara, concisa e non deve interferire immotivatamente con il servizio con il servizio per il quale il consenso è espresso. Ai fini del consenso informato, l’interessato dovrebbe essere posto a conoscenza del identità del Titolare del trattamento e delle finalità del trattamento cui sono destinati i dati personali.

I requisiti del consenso possono essere così sintetizzati:

• Profilo probatorio: si stabilisce un onere della prova sul Titolare del trattamento il quale deve dimostrare che l’interessato ha acconsentito al trattamento dei propri dati.
• Profilo formale: se la dichiarazione è scritta deve essere redatta in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro, specificando le diverse finalità in caso di più materie.
• Profilo dell’efficacia: il consenso è valido fino a quando non viene revocato. Gli artt. 13 e 14 dispongono che tra le informazioni da fornire all’interessato vi sia anche l’esistenza del diritto di revoca del consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca.

Oltre a tale diritto, all’interessato è garantito l’accesso ai propri dati personali per ottenere informazioni sulle finalità e le modalità del trattamento.

Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere la rettifica dei propri dati ovvero l’integrazione dei dati incompleti attraverso la produzione di una dichiarazione integrativa. In alcun casi, ad esempio in cui sia contestata l’esattezza dei dati o vi sia un trattamento illecito dei dati, l’interessato può richiedere la limitazione del trattamento al Titolare dei dati. La limitazione può consistere nel trasferimento temporaneo dei dati selezionati verso altro sistema di trattamento, nel rendere gli stessi inaccessibili agli utenti o rimuoverli momentaneamente.

Una delle principali novità, regolamentata all'art. 17, riguarda il diritto all'oblio con cui l'interessato ha il diritto di ottenere la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo solo in caso di particolati motivazioni^[16].

Il Titolare del trattamento, se ha reso pubblici dei dati personali ed è obbligato a cancellarli, deve adottare le misure ragionevoli per informare i titolari del trattamento, che stanno trattando i dati personali, della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.

Tale diritto, garantendo la cancellazione dei dati dagli archivi del Titolare, permette all’individuo di non essere rintracciato.

Il diritto all’oblio incontra però delle eccezioni, infatti esso non può intervenire se il trattamento dei dati è effettuato nell’esercizio del diritto alla libertà di espressione e di informazione, per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il  Titolare del trattamento, per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il  Titolare del trattamento, per motivi di interesse pubblico nel settore della sanità pubblica, in caso di utilizzo dei dati a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente, nel caso in cui il diritto all’oblio rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento ed infine per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

RESPONSABILITÀ CIVILE e SANZONI

Principio cardine alla base del Regolamento è il diritto ad ottenere un risarcimento del c.d. “danno da trattamento”. L’art. 82 prescrive di fatti che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente Regolamento ha il diritto di ottenere il risarcimento del danno dal Titolare del trattamento o dal Responsabile del trattamento”. Le posizioni di responsabilità dei soggetti interessati vengono così distinte:

• Il Titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento;
• Il Responsabile del trattamento risponde del danno causato solo se non ha adempiuto gli obblighi del Regolamento specificatamente diretti a responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del Titolare del trattamento.

La responsabilità civile di questi soggetti è solidale e dunque rispondono ciascuno per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato, salvo la previsione specifica di azioni di regresso reciproche nei limiti della quota di responsabilità.

Oltre alla responsabilità civile, il Regolamento disciplina il sistema sanzionatorio amministrativo.

Ai sensi dell’art. 58 del Regolamento il Garante può, in caso di violazione:

• Rivolgere avvertimenti sull’eventualità che i trattamenti dei dati previsti possano violare gli obblighi del Regolamento;
• Rivolgere ammonimenti in caso di violazione degli obblighi del Regolamento.

Inoltre, a seconda delle circostanze dei casi, in aggiunta alle misure di ammonimento il Garante può infliggere una sanzione amministrativa pecuniaria.

In caso di violazione di obblighi^[17] del Titolare e del Responsabile, dell’organismo di certificazione e dell’organismo di controllo le sanzioni pecuniarie arrivano fino a 10 milioni di euro o al 2% del fatturato dell’impresa. In caso di violazione degli interessi^[18] e delle condizioni del trattamento fino a 20 milioni di euro e al 4% del fatturato dell’impresa. L’onere della prova è a carico del presunto autore della violazione in quale può esonerarsi dimostrando che l’evento dannoso non è a lui imputabile.

Sul punto occorre sottolineare la sottesa problematica relativa all’applicazione delle sanzioni amministrative, previste a livello europeo, confliggenti con le sanzioni penali, previste nel nostro ordinamento, per la trasgressione dei medesimi istituti^[19].

Da questa sommaria analisi si può dedurre che il nuovo Regolamento EU, tra le numerose novità e gli adempimenti generici lascia, alle imprese e agli enti pubblici l’onere, di integrare le disposizioni legislative con norme e policy interne.

_____________________

SITOGRAFIA E BIBLIOGRAFIA

• http://www.garanteprivacy.it/guida-all-applicazione-del-Regolamento-europeo-in-materia-di-protezione-dei-dati-personali
• http://www.mondoprivacy.it/Regolamento-europeo-privacy
• https://www.diritto.it/Regolamento-privacy-dati-personali-comuni-sensibili-e-giudiziari-definizioni-e-regole-per-il-trattamento
• https://protezionedatipersonali.it/privacy-by-design-e-by-default
• “Privacy: cosa cambia con il nuovo Regolamento europeo”, Rivista Guida Giuridica n. 13 di Italia oggi
• “Privacy e Regolamento Europeo” di A. Ciccia Messina e N. Bernardi, IPSOA, Wolters Kluwer, ed. II.
• Francesca Santoro, “Legge di bilancio 2018: le disposizioni previste in attuazione del GDPR”, in WEB e TECH: PRIVACY Quotidiano Giuridico, UTET giuridica del 15.01.2018.
• “IL NUOVO REGOLAMENTO GENERALE UE SULLA PROTEZIONE DEI DATI PERSONALI N. 679/2016 PERSONALI N. 679/2016- Analisi pratica del quadro generale di insieme e dei nuovi adempimenti privacy” slide per Confindustria Venezia, di Avv. Alessandro Vasta