La Guida del Garante Privacy all’applicazione del regolamento Ue in materia di Protezione dei Dati Personali (scarica il documento in PDF) fornisce un panorama delle principali problematiche che imprese e soggetti pubblici dovranno tenere presenti in vista della piena applicazione del regolamento, prevista il 25 maggio 2018.
Attraverso raccomandazioni specifiche vengono suggerite alcune azioni che possono essere intraprese sin d’ora perché fondate su disposizioni precise del regolamento che non lasciano spazi a interventi del legislatore nazionale (come invece avviene per altre norme del regolamento, in particolare quelle che disciplinano i trattamenti per finalità di interesse pubblico ovvero in ottemperanza a obblighi di legge).
Vengono, inoltre, segnalate alcune delle principali novità introdotte dal regolamento rispetto alle quali sono suggeriti possibili approcci.
Consenso esplicito obbligatorio
Per i dati sensibili il consenso deve essere esplicito; lo stesso vale per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione). Il consenso non deve necessariamente essere per iscritto, anche se la forma scritta del consenso resta inequivocabile. Inoltre, il titolare deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento. Il consenso dei minori è valido a partire dai 16 anni e può essere abbassato a 13 anni dalla normativa nazionale. Non è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo).
Il consenso raccolto prima del 25 maggio 2018resta valido se ha le caratteristiche sopra menzionate, altrimenti è opportuno raccoglierlo nuovamente. La richiesta di consenso deve essere chiaramente distinguibile da altre richieste e dichiarazioni rivolte all’interessato.
Informativa, la profilazione va dichiarata
I contenuti dell’informativa sono più ampi rispetto al Codice Privacy. Il titolare deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della Protezione Dati – Data Protection Officer), ove esistente, la base giuridica del trattamento, se trasferisce i dati in Paesi terzi e se lo fa con quali strumenti. Il titolare deve specificare il periodo di conservazione dei dati e il diritto di presentare reclamo all’autorità di controllo. L’informativa deve specificare se il trattamento prevede processi decisionali automatizzati (compresa la profilazione), indicando la logica dei processi automatizzati e le conseguenze previste per l’interessato.
In linea di principio, l’informativa deve essere data per iscritto e preferibilmente in formato elettronico. L’informativa va fornita all’interessato prima di effettuare la raccolta dei dati.
Diritti dell’interessato
Il termine per la risposta all’interessato che esercita i suoi diritti (stabiliti in generale negli articoli 11 e 12 del regolamento) è di un mese, estendibile a 3 mesi in casi particolarmente complessi. Il titolare del trattamento deve facilitare l’esercizio dei diritti dell’interessato. Deroghe ai diritti dell’interessato sono ammesse in particolare per quanto riguarda il diritto alla cancellazione/oblio, trattamenti di natura giornalistica e trattamenti per finalità di ricerca scientifica o storica o di statistica.
Diritto di accesso
Il diritto di accesso prevede in ogni caso il diritto di ricevere una copia dei dati personali oggetto di trattamento. I titolari possono consentire agli interessati di consultare da remoto e in smodo scuro i loro dati.
Rafforzato il diritto all’oblio
Il diritto all’oblio è rafforzato. Si prevede l’obbligo per i titolari di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi qualsiasi “link, copia o riproduzione”.
Diritto di limitazione del trattamento (novità)
Si tratta di un diritto diverso dal blocco del trattamento, che l’interessato può chiedere in attesa di una rettifica dei dati da parte del titolare.
Diritto alla portabilità dei dati (novità)
Si tratta di un nuovo diritto previsto dal regolamento, analogo in un certo senso alla number portability in ambito Tlc. Sono portabili soltanto i dati automatizzati (la data portability non si applica agli archivi o registri cartacei) e trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato e forniti dall’interessato al titolare (ad esempio in ambito bancario). Il titolare deve essere in grado di trasmettere i dati ad un altro titolare, se tecnicamente possibile, per questo dovrà mettersi nelle condizioni di poter produrre i dati in formato interoperabile.
Titolare, responsabile, incaricato del trattamento
Il regolamento disciplina la contitolarità del trattamento, le caratteristiche con cui il titolare designa un responsabile del trattamento con un contratto specifico, consente la nomina di sub-responsabili del trattamento. Prevede obblighi specifici in capo al responsabile del trattamento, primo fra tutti la tenuta del registro dei trattamenti svolti; l’adozione di misure tecniche e organizzative idonee per garantire la sicurezza dei trattamenti, la designazione di un RPD-DPO.
Anche il responsabile di trattamento non stabilito nella Ue dovrà designare un rappresentante in Italia.
Valutazione d’impatto e accountability di titolari e responsabili
Il regolamento pone l’accento sul principio di responsabilizzazione (accountability) di titolari e responsabili, in base ai criteri di privacy by default e by design, in base alla necessità di prevedere fin dall’inizio i requisiti necessari per rispettare il regolamento e tutelare i diritti degli interessati. In questo senso, il responsabile dovrà svolgere valutazioni d’impatto sui rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di adottare per mitigare i rischi.
Registro dei trattamenti (fondamentale)
Tutti i titolari e responsabili di trattamento, eccezion fatta per gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio, devono tenere un registro delle operazioni di trattamento.
Notifica delle violazioni di dati personali (72 ore per i data breach)
Tutti i titolari dovranno notificare all’Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza entro 72 ore e comunque senza ingiustificato ritardo ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati.
Responsabile della protezione dei dati (DPO profilo centrale)
La sua designazione è una novità in ottica di accountability. Questa figura è finalizzata a semplificare l’attuazione del regolamento da parte del titolare/responsabile.
Trasferimenti dati verso Paesi terzi
Il trasferimento verso un Paese terzo adeguato è consentito anche senza l’autorizzazione nazionale, che tuttavia sarà ancora necessaria da parte del Garante se un titolare desidera usare clausole contrattuali ad hoc (cioè non riconosciute come adeguate tramite decisione della Commissione Ue).