Il 28 aprile 2017 è stata pubblicata dal Garante italiano la Prima Guida Applicativa del Regolamento Europeo Privacy che si autodichiara soggetta ad integrazione. Lo scopo è quello di offrire un panorama delle principali problematiche che imprese e soggetti pubblici dovranno tenere presenti in vista della piena applicazione del Regolamento UE, prevista per il 25 maggio 2018.
La Guida si snoda attraverso raccomandazioni specifiche in cui l’Autorità suggerisce alcune azioni che possono essere intraprese fin da subito perché fondate su disposizioni precise che non lasciano spazi a interventi del legislatore nazionale (come invece avviene per altre norme del Regolamento, come ad esempio quelle che disciplinano i trattamenti per finalità di interesse pubblico).
Il testo della Guida è articolato in 6 sezioni tematiche che sono:
- Fondamenti di liceità del trattamento;
- Informativa;
- Diritti degli interessati;
- Titolare, responsabile, incaricato del trattamento;
- Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili;
- Trasferimenti internazionali di dati.
Ogni sezione illustra in modo semplice e diretto con grande uso di infografiche, cosa cambierà e cosa rimarrà immutato rispetto all’attuale disciplina del trattamento dei dati personali, aggiungendo preziose raccomandazioni pratiche per una corretta implementazione delle nuove disposizioni introdotte dal Regolamento. Si osserva il rinvio dell’Autorità ai preziosi “Considerando del Regolamento” che diventano un aiuto importante nell’interpretazione e applicazione dello stesso.
La guida è disponibile sul sito del Garante in formato ipertestuale navigabile qui.
Il consenso
Nella sezione sulla Liceità del trattamento si parla molto del “Consenso”. il Garante qui raccomanda che in caso di raccolta precedente al 25 maggio 2018 il consenso sarà ancora valido se ha tutte le caratteristiche previste dal Regolamento e cioè se è stato chiesto in modo informato, libero specifico. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati nelle modalità di cui al Regolamento.
Inoltre il consenso non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito”. Di conseguenza è sempre opportuno ottenere la documentazione per iscritto (il flag nei form dei siti internet per esempio va benissimo) o altre modalità più ingegnose o futuristiche che ne provino la inequivocabilità (come le registrazioni audio o video ecc).
Suggerimenti: Iniziare a modificare i form di richiesta di consenso e le procedure per la revoca e la conservazione già da Ora.
L’informativa
Per quel che concerne l’informativa (seconda sezione) il Garante precisa che la stessa dovrà essere più puntuale e più semplice delle precedenti, anche grazie all’ausilio di disegni e icone. Importante la novità che nel caso di dati personali non raccolti direttamente presso l’interessato l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati. Intanto è interessante che vengano stabiliti termini precisi, cosa che con il Codice Privacy non accadeva.
Inoltre il titolare deve sempre specificare i dati di contatto del RPD-DPO, ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, nel caso occorre dire attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.).
Suggerimenti: Le nuove Informative occorre effettuarle dopo la designazione del DPO sia che sia obbligatoria, sia che sia volontaria. Attenzione poi allo strumento con cui si indicano i trasferimenti in Paesi extra UE, devono essere quelli autorizzati dal Garante per la Protezione dei Dati Personali.
Diritti degli interessati
La sezione terza sui Diritti degli Interessati è una di quelle che cambia maggiormente. Innanzitutto perché i diritti sono aumentati. Vengono inseriti infatti il diritto di portabilità, di oblio e di rettifica. E su ognuno di essi c’è davvero molto da dire.
Qui ci si limita a evidenziare che il titolare del trattamento deve agevolare l’esercizio dei diritti da parte dell’interessato, adottando ogni misura (tecnica e organizzativa) a ciò idonea. Benché sia il solo titolare a dover dare riscontro in caso di esercizio dei diritti, il responsabile è tenuto a collaborare con il titolare ai fini dell’esercizio dei diritti degli interessati.
Suggerimenti: Scrivere fin da subito le Procedure per l’esercizio dei Diritti, con soggetti Incaricati alla loro evasione, tempistica e precisazioni su ognuno di essi.
I soggetti della Privacy
Per quel che riguarda i soggetti della Privacy (quarta sezione) il Garante fissa più dettagliatamente (rispetto all’art. 29 del Codice) le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno gli ambiti necessari per dimostrare che il responsabile fornisce “garanzie sufficienti” – quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento. Tali cambiamenti impongono clausole contrattuali frutto di un accordo vero e non mere designazioni copiate e incollate.
La Guida evidenzia la previsione del Regolamento di obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare, la tenuta del registro dei trattamenti svolti; l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti; la designazione di un RPD-DPO (Data Protection Officer), nei casi previsti dal Regolamento o dal diritto nazionale.
Data Protection Officer
Si ricorda che in base al Regolamento alcuni titolari sono tenuti a nominare un DPO in via obbligatoria. Ciò vale per tutte le autorità pubbliche e tutti i soggetti pubblici, indipendentemente dai dati oggetto di trattamento, e per altri soggetti che, come attività principale, effettuino un monitoraggio regolare e su larga scala delle persone fisiche ovvero trattino su larga scala categorie particolari di dati personali (dati sensibili). Tra questi ultimi rientrano senz’altro tutti gli operatori sanitari che trattino su larga scala dati sanitari che sono per loro stessa natura dati sensibili.
Suggerimenti: Occorre iniziare a ragionare da subito su chi saranno i Responsabili del Trattamento Interni ed Esterni. Nel caso degli Interni occorrerà conferire, affinché la delega sia corretta, oneri e onori. Cioè poteri e strumenti.
Accountability
La quinta sezione sulla Dichiarazione di Responsabilità è forse il più interessante. Qui il Regolamento pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento. Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.
Data protection by default and by design
Il primo fra tali criteri è sintetizzato dall’espressione inglese “data protection by default and by design” ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati. E qui si pone l’accento sull’importanza delle veridiche di impatto.
Suggerimenti: Elaborare un corretto DPIA o Valutazione d’Impatto è una cosa da Professionisti. Al momento si suggerisce di seguire le Linee Guida (in Inglese) fornite dai Garanti Europei che si trovano qui.
Trasferimento dei dati all’estero
L’ultima sezione riguarda il trasferimento di dati all’estero e si nota che le cose si fanno più serie in un’ottica di responsabilizzazione. In primo luogo, viene meno il requisito dell’autorizzazione nazionale. Ciò significa che il trasferimento verso un Paese terzo “adeguato” ai sensi della decisione assunta in futuro dalla Commissione, ovvero sulla base di clausole contrattuali modello, debitamente adottate, o di norme vincolanti d’impresa approvate attraverso la specifica procedura di cui all’art. 47 del regolamento, potrà avere inizio senza attendere l’autorizzazione nazionale del Garante – a differenza di quanto attualmente previsto dall’art. 44 del Codice. Tuttavia, l’autorizzazione del Garante sarà ancora necessaria se un titolare desidera utilizzare clausole contrattuali ad-hoc (cioè non riconosciute come adeguate tramite decisione della Commissione europea).
Suggerimenti: Studiare bene le differenze tra trasferimenti Ue, extra Ue e se su Paesi adeguati oppure no e controllare bene che strumenti usare per effettuare il trasferimento, clausole standard e consenso, oppure solo clausole contrattuali autonome ecc. Una volta che si hanno le idee chiare indicare bene cosa si intende agire, in Informativa, magari grazie alle Icone che ci verranno fornite dai Garanti Europei.