La nuova normativa europea sulla Protezione dei Dati Personali (Reg. UE 2016/679) “IL GDPR”
Premessa Il regolamento CE, 27 aprile 2016, n. 2016/679/UE “Relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE” è un atto molto complesso formato da ben: - 173 “Considerando” - 99 “Articoli” Sarebbe pertanto velleitario qualsiasi tentativo di spiegazione complessiva. Del resto un simile tentativo non è qui richiesto, trattandosi di illustrare brevemente il nuovo sistema e recepire richieste di approfondimento nonché di problematiche varie da affrontare in un momento successivo!
Obbiettivi del Regolamento In precedenza a regolare la materia vi era la dir. europea n. 95/46/CE, che però non ha impedito la frammentazione dell’applicazione della protezione dei dati personali nel territorio dell’Unione Le divergenze hanno così dato luogo alla compresenza di diversi livelli di protezione dei dati personali» e ciò, secondo il legislatore comunitario, può ostacolare la libera circolazione di tali dati all’interno dell’Unione e costituire un freno all’esercizio delle attività economiche su scala dell’Unione, falsare la concorrenza e impedire alle autorità nazionali di adempiere agli obblighi loro derivanti dal diritto dell’Unione. L’esigenza di una riforma della materia è sorta anche (e forse soprattutto) dalla continua evoluzione degli stessi concetti di privacy e di data protection dovuta principalmente all’incessante progresso dei servizi on line.
Tutela del “dato personale” e relativo trattamento Il “dato personale” coincide con qualsiasi informazione riguardante una persona fisica identificata o identificabile (il c.d. interessato). Naturalmente particolare attenzione è riservata ad alcune categorie di dati personali: i “dati genetici” i “dati biometrici i “dati relativi alla salute”. Il “trattamento” è una qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali. Pertanto, costituiscono trattamento di dati personali: raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica, estrazione, consultazione, uso, comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
Precisazione Tutta la materia che ci occupa interessa essenzialmente il tema del “trattamento dati”, ossia del “come” i soggetti che per ragioni di lavoro ne hanno la disponibilità devono gestire gli stessi …
Precisazione ulteriore Aspetti più interessanti per i tecnici … (oltre ai doc. che poi vi farò vedere …) è bene precisare che non abbiamo ancora una quadro chiaro di quella che sarà la normativa applicabile. Difatti è stata emanata di recente una legge delega n. 163/2017 che all’art. 13 contiene una delega al Governo per l’adeguamento della normativa nazionale alle disposizioni del GDPR, per cui verranno abrogate, modificate o integrate molte disposizioni del Codice incompatibili con il provvedimento comunitario. In realtà abbiamo molte disposizioni del GDPR che non sono direttamente applicabili nel nostro ordinamento e che quindi dovranno essere integrate dalla normativa nazionale o da provvedimenti del Garante. Fatta questa necessaria premessa indubbiamente i tecnici al di là di tutti gli obblighi richiesti al titolare del trattamento in quanto tale, dovranno fare particolare attenzione all’utilizzo di tutti i prodotti o software tecnologicamente avanzati che trattino dati personali, difatti in questi casi potrebbe rivelarsi necessaria una Data Protection Impact Assessment (DPIA) richiesta dall’art. 35 del GDPR quando si è in presenza di un rischio elevato per i diritti e le libertà delle persone fisiche. Anche l’adozione di procedure tecnologicamente complesse, di processi decisionali automatizzati, di attività sistematiche di monitoraggio potrebbero presentare rilevanti criticità in tema di trattamenti di dati personali ...
Apparato “sanzionatorio” Artt. 77-84 del Regolamento «Mezzi di ricorso, responsabilità e sanzioni»
… segue): apparato sanzionatorio “in pillole” art. 77 “l'interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un'autorità di controllo” art. 78 “ogni persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell'autorità di controllo che la riguarda” art. 82 “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento” art. 83 “Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte (…) siano in ogni singolo caso effettive, proporzionate e dissuasive.”
… segue: sanzioni pecuniarie (art. 83, comma 4 e ss., Regolamento) (…) “la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore: a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43; (* fra cui, ad esempio, il rispetto della disciplina sui “registri del trattamento”, di cui all’art. 30 del Regolamento) (…) In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore: a) i principi di base del trattamento, comprese le condizioni relative al consenso (…); b) i diritti degli interessati (…);
… segue: sanzioni amministrative Le sanzioni amministrative pecuniarie sono inflitte in funzione delle circostanze di ogni singolo caso. Dunque, in base all’art. 83, comma 2, al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l'ammontare della stessa si tiene debito conto dei seguenti elementi: a) natura, gravità e durata della violazione (…) nonché il numero di interessati lesi dal danno e il livello del danno da essi subito; b) carattere doloso o colposo della violazione; c) misure adottate (…) per attenuare il danno subito dagli interessati; d) grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32; e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento; f) grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; g) categorie di dati personali interessate dalla violazione; h) maniera in cui l'autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione; i) (…) j) l'adesione ai codici di condotta (…) k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso (…)
Principi applicabili al trattamento PRINCIPI “GENERALISSIMI” 1) i dati personali sono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato 2) i dati sono raccolti per finalità determinate, esplicite e legittime, e trattati in un modo che non può essere incompatibile con tali finalità; 3) i dati sono conservati in una forma che consenta l’identificazione degli interessati per un tempo non superiore a quello necessario per il conseguimento delle finalità del trattamento 4) i dati sono adeguati, pertinenti e limitati a quanto necessario per le finalità del trattamento
Principio di liceità Trova specificazione nell’art. 6 del regolamento. Questa disposizione collega la liceità del trattamento a due requisiti alternativi: la necessità del trattamento e il consenso dell’interessato. Il trattamento è lecito solo se fondato, alternativamente, sulla necessità dello stesso o sul consenso dell’interessato I casi di necessità sono individuati dallo stesso art. 6: si tratta, per es.: 1. trattamento «necessario all’esecuzione di un contratto di cui l’interessato è parte» 2. trattamento «necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica» (come, ad esempio, le emergenze cliniche) 3. trattamento «necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento» (si pensi, ad esempio, al trattamento che il notaio deve fare dei dati personali dei suoi clienti, al fine di dar corso alla pubblicità immobiliare di un suo atto, cui egli è tenuto per legge a dar corso). invece, l’art. 4 definisce il requisito del consenso, che rappresenta il parametro di liceità del trattamento quante volte questo non sia connotato dal carattere della necessità
Principio di trasparenza Riguarda il rapporto fra titolare del trattamento e interessato con riferimento all’informazione e all’accesso ai dati Interessa l’informativa riguardante i rischi e le garanzie relative al trattamento dei propri dati; le finalità specifiche del trattamento, onde consentire di valutare se i dati richiesti e le modalità di raccolta e conservazione siano effettivamente in linea con tali finalità .
Diritto all’oblio Il diritto dell’interessato alla rettifica dei dati personali a lui riferiti e alla cancellazione degli stessi allorchè: - i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti; - i dati personali sono stati trattati illecitamente; - l’interessato revoca il consenso su cui si basa il trattamento e non sussiste altro fondamento giuridico per il trattamento * Il diritto all’oblio, tuttavia, non può essere esercitato laddove il trattamento sia necessario ad esempio: - per l’adempimento di un obbligo legale (si pensi al notaio obbligato a dare pubblicità a un suo atto); - per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
Principio di accountability L’art. 24 del regolamento stabilisce che il titolare «deve mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al (...) regolamento. Dette misure sono riesaminate e aggiornate qualora necessario» Il principio di accountability impone ai titolari del trattamento l’adozione di «un sistema di controllo della protezione dati, strutturato in base a standard di buona amministrazione riconosciuti universalmente e che sia verificabile all’esterno”
I RUOLI RUOLI “Qualificare correttamente i soggetti che trattano dati personali” Con-titolare (art. 26) Responsabile (art. 28) Titolare (art. 24) In caso di condivisione in ordine a finalità e modalità del trattamento, i titolari devono definire con uno specifico atto il rispettivo ambito di responsabilità ed i compiti con particolare riguardo all’esercizio dei diritti degli interessati che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente (accordo di contitolarità) Qualora un trattamento debba essere effettuato per conto del titolare, questo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento e garantisca la tutela dei diritti Mette in atto misure tecniche e organizzative adeguate (minimizzazione del rischio) per garantire, ed essere in grado di dimostrare, che Il trattamento è effettuato conformemente al regolamento. Dette misure sono riesaminate e aggiornate qualora necessario. Deve adottare policy adeguate in materia di protezione dei dati personali.
“Qualificare correttamente i soggetti che I RUOLI RUOLI “Qualificare correttamente i soggetti che trattano i dati” Soggetti autorizzati (art. 29) Data Protection Officer Sub-responsabile (sub art. 28) Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri. (il vecchio “incaricato” del trattamento ex art. 30 Codice Privacy) Il titolare del trattamento deve nominarlo obbligatoriamente se è (i) un soggetto pubblico; (ii) se è un soggetto pubblico o privato che come attività principale svolge attività implicanti monitoraggio regolare e sistematico di interessati su larga scala; implicanti trattamenti di dati particolari (ex sensibili) e/o dati giudiziari su larga scala Quando un responsabile del trattamento ricorre ad un altro responsabile del trattamento per l'esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3
Responsabile del trattamento art. 28 Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento: a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale, salvo che lo richieda il diritto dell'Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico; b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza; c) adotti tutte le misure richieste ai sensi dell'articolo 32; d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento; e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del titolare del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di cui al capo III;
IL REGISTRO DEI TRATTAMENTI ambito di applicazione (art. 30) Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti Salvo che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato il trattamento non sia occasionale oppure includa il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, oppure i dati personali relativi a condanne penali e a reati di cui all'articolo 10.
IL REGISTRO DEI TRATTAMENTI il contenuto Ogni titolare (o responsabile) del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. I registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico. Su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell'autorità di controllo.
IL REGISTRO DEI TRATTAMENTI il contenuto nome e dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; finalità del trattamento; descrizione delle categorie di interessati e delle categorie di dati personali; categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate; f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1.
RACCOMANDAZIONI DEL GARANTE La tenuta del Registro non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Si invitano tutti i Titolari e i Responsabili, a prescindere dalle dimensioni organizzative, a compiere i passi necessari per dotarsi di tale Registro e, in ogni caso, a compiere un’accurata ricognizione dei Trattamenti svolti e delle rispettive caratteristiche – ove già non condotta. I contenuti del Registro sono fissati dall’art. 30; tuttavia, niente vieta ad un Titolare o Responsabile di inserire ulteriori informazioni se lo riterrà opportuno proprio nell’ottica della complessiva valutazione di impatto dei Trattamenti svolti. Nello specifico si richiama l’attenzione sulla sostanziale coincidenza tra i contenuti della notifica dei Trattamenti di cui all’art. 38 del Codice Privacy e quelli che devono costituire il Registro ex art. 30 Gdpr; l’Autorità sta valutando di mettere a disposizione un modello di Registro sul proprio sito, che i singoli Titolari potranno integrare nel modo opportuno
LA SICUREZZA DEI DATI Le misure di sicurezza (art. 32, e C83 del Gdpr) Il Responsabile del Trattamento deve porre in essere misure tecniche organizzative adeguate al rischio che presenta il tipo di Trattamento Tenendo conto dello stato dell’arte e dei relativi costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del Trattamento dell’analisi dei rischi che può presentare il Trattamento, svolta su base individuale dal Titolare del Trattamento e dal Responsabile del Trattamento
LE MISURE DI SICUREZZA INFORMATICA – i contenuti minimi La lista di misure di sicurezza informatiche di cui al 1° comma dell’art. 32 è una lista aperta e non esaustiva, essa comprende: La pseudonimizzazione e la cifratura dei dati personali; La capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di Trattamento; La capacità di ripristinare tempestivamente la disponibilità e l’accesso dei Dati personali in caso di incidente fisico o tecnico; Una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del Trattamento..
LE MISURE DI SICUREZZA INFORMATICA – i contenuti aperti Dopo aver elencato alcune misure di sicurezza che possono essere adottate, l’art. 32 prosegue fornendo degli elementi ulteriori da prendere in considerazione nella valutazione del livello di sicurezza. Tener in considerazione i rischi del Trattamento derivanti dalla distruzione, perdita o modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale od illegale, a Dati personali trasmessi, conservati o comunque trattati. Eventuale adesione a codici di condotta o a schemi di certificazione per attestare l’adeguatezza delle misure di sicurezza adottate. Accertarsi che chiunque agisce sotto la responsabilità del Titolare o del Responsabile ed abbia accesso ai Dati personali non tratti gli stessi se non adeguatamente istruito in tal senso
LA SICUREZZA DEI DATI Il “DATA BREACH” (art. 4, n. 12, del Gdpr) La violazione di sicurezza che comporta (accidentalmente o in modo illecito) la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo (e all’interessato) senza Ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza A meno che - I dati erano protetti (o cifrati); - La comunicazione richiederebbe sforzi sproporzionati
IL DATA BREACH La notifica della violazione al Garante La notifica della violazione al Garante deve necessariamente comprendere le seguenti informazioni: descrizione della natura della violazione dei Dati personali compresi, se possibile, le categorie e il numero approssimativo di Interessati; il nome e i dati di contatto del Dpo o di altro punto di contatto presso cui ottenere informazioni; descrizione delle probabile conseguenze derivanti dalla violazione; descrizione delle misure adottate, o di cui si propone l’adozione, da parte del Titolare per porre rimedio alla violazione dei Dati e anche, se del caso, per attenuare i possibili effetti negativi.
IL DATA BREACH La documentazione della violazione Tutti i Titolari di Trattamento dovranno in ogni caso documentare le violazioni di dati personali subite, anche se non notificate all’Autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e i provvedimenti adottati (si veda art. 33, paragrafo 5)
RACCOMANDAZIONI DEL GARANTE Sul tema è intervenuto il Gla29 pubblicando in data 3 ottobre 2017, revisionate il 6 febbraio 2018, delle linee guida, nelle quali distingue le violazioni dei Dati personali in tre categorie: Confidentiality Breach: quando vi è un accesso accidentale o abusivo a Dati personali; Availability Breach: quando vi è una perdita o distruzione accidentale o non autorizzata del Dato personale; Integrity Breach: quando vi è un’alterazione accidentale o non autorizzata del Dato personale.