testata ADUC
Privacy, le nuove regole in ambito europeo
Scarica e stampa il PDF
Scheda Pratica di Rita Sabelli
24 maggio 2018 10:17
 
Il 25 Maggio 2018 entrano in vigore nuove regole europee in ambito privacy, fissate da un Regolamento (2016/679) e non da una Direttiva, e quindi direttamente applicabili senza necessità di recepimento con normative nazionali (di solito decreti legislativi). Ciò è probabilmente dipeso dalla valutazione del parlamento europeo che fosse meglio evitare ulteriori frammentazioni della normativa, inevitabilmente avvenute in passato rispetto alle precedenti regole europee fissate dalla Direttiva 95/46/CE ora abrogata.
il Codice italiano della privacy, D.lgs. 196/2003, è ancora in vigore in una versione "ridotta", adeguata alla normativa europea. 

Le nuove regole si applicano alle persone fisiche residenti in Europa e sono vincolanti per tutti i soggetti che trattano i loro dati sia in ambito UE che fuori UE, in quest’ultimo caso specificatamente nei casi di attività di offerta di beni e prestazione di servizi o di monitoraggio di comportamenti.

Indice scheda
TITOLARE, RESPONSABILE, REGISTRO DEI TRATTAMENTI
TRATTAMENTO – Principi, Consenso
TRASPARENZA, INFORMATIVA
DIRITTI – Accesso, cancellazione e limitazione, portabilità, opposizione
SICUREZZA
VIOLAZIONI, TUTELE
RIFERIMENTI NORMATIVI E LINK UTILI 

TITOLARE, RESPONSABILE, REGISTRO DEI TRATTAMENTI
Il Regolamento si rivolge a chiunque (persona fisica, ditta, ente, autorità) che per qualsiasi motivo (vendita, indagini di mercato, scopi medici o statistici, etc.) raccolga e gestisca dati personali di altri soggetti, detti “soggetti interessati”. A livello tecnico si parla di titolari e responsabili del trattamento di dati.
TITOLARE è la persona fisica o giuridica (o anche autorità pubblica) che singolarmente o insieme ad altri determina le finalità e i mezzi del trattamento dei dati personali.
RESPONSABILE è la persona fisica o giuridica (o anche autorità pubblica) che tratta i dati personali per conto del titolare.

Il Regolamento europeo prevede la possibilità per due soggetti diversi di condividere la titolarità del trattamento con accordi sulle rispettive responsabilità soprattutto relativamente all’esercizio dei diritti da parte dei soggetti interessati.
Viene precisato comunque che in questo caso i soggetti interessati possono rivolgersi indifferentemente ad uno qualsiasi dei titolari.
Il Regolamento prevede anche che il responsabile del trattamento, con autorizzazione del titolare, ricorra ad un altro responsabile (una sorta di sub-responsabile) per la gestione diretta dei dati. Il rapporto tra titolare e responsabile primario è sempre definito da un contratto e sottoposto alle regole di garanzia previste dal Regolamento.

Un’altra novità è il REGISTRO dei trattamenti dove i titolari e i responsabili devono riportare le operazioni di trattamento effettuate specificandone alcuni elementi (categorie di dati e di soggetti interessati, finalità, etc.).

TRATTAMENTO - Principi, Consenso 
PRINCIPI
I dati personali devono essere
- trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
- raccolti per finalità determinate, esplicite e legittime e trattati in modo compatibile con tali finalità;
- adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (minimizzazione dei dati);
- esatti e, se necessario, aggiornati. Devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per i quali sono trattati (esattezza);
- conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. Solo in certi casi (pubblico interesse, ricerca scientifica o storica, fini statistici) i dati possono essere conservati per periodi più lunghi;
- trattati in maniera da garantire un’adeguata sicurezza.

Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
- l’interessato ha espresso il consenso al trattamento per una o più specifiche finalità;
- il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
- il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
- il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
- il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
- il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.
Il trattamento dei dati per finalità diverse da quelle per le quali gli stessi dati sono stati raccolti possono essere utilizzati, senza lo specifico consenso dell’interessato, solo in certi casi e facendo determinate valutazioni soprattutto in base alla compatibilità delle due finalità.

CONSENSO
Per il consenso all’utilizzo dei dati non è prettamente necessaria una forma scritta, tuttavia questa rimane la modalità idonea considerando che il titolare del trattamento (ditta, ente o altro) ha il dovere di DIMOSTRARE che il consenso è stato ottenuto.
Esso in ogni caso deve essere richiesto in modo specifico e distinguibile rispetto ad eventuali consensi già dati per altre materie/questioni (per esempio all’interno di una modulistica). 
La richiesta di consenso deve essere inoltre comprensibile, semplice, chiara.
L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento, e la revoca deve poter avvenire con la stessa facilità con cui è avvenuto in consenso.
Quando non è necessario il consenso non va chiesto ma soprattutto non va chiesto come se lo fosse, soprattutto riguardo ai contratti di acquisto di beni e/o servizi. In parole povere l’esecuzione di un contratto non può essere condizionata al consenso NON necessario.

Consenso per minori
Il consenso dei minori è valido a partire dai 16 anni, con possibilità per ogni Stato membro di abbassare l’età a non meno di 13 anni. Per trattare i dati di soggetti più giovani occorre il consenso e l’autorizzazione del genitore o di chi ha la responsabilità genitoriale.
Consenso per la profilazione
In consenso ESPLICITO occorre anche per le decisioni basate su trattamenti automatizzati, compresa la profilazione (raccolta dati relativi a gusti personali, abitudini, acquisti, preferenze, generalmente effettuata in automatico in occasione di navigazione e attività su internet).
Si parla di decisioni di qualsiasi genere che abbiano un effetto giuridico sull’interessato o che incidano sulla sua persona, come per esempio l’elevazione di una multa (basata non su una singola rilevazione automatica ma sul monitoraggio costante del comportamento della persona). Il trattamento automatizzato è genericamente quello che avviene con mezzi tecnologici che “rilevano” una presenza o un’attività senza intervento umano (apparecchiature, computer, sistemi informatici che utilizzano cookies).
Consenso per dati sensibili
Per quanto riguarda i cosiddetti “dati sensibili” invece la regola generale è che non sono trattabili. Tuttavia il divieto non vale in determinati casi, ovvero quanto il trattamento è necessario per assolvere obblighi o diritti in materia di diritto del lavoro e della sicurezza o protezione sociale , se è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso.
Costituisce eccezione al divieto anche il trattamento effettuato da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, unicamente però se riguarda membri od ex membri o persone che hanno regolari contratti e a condizione che i dati non siano comunicati all’esterno senza consenso.
Non c’e’ divieto di utilizzo anche nel caso particolare in cui l’interessato abbia reso manifestatamente pubblici i dati o se sussiste un motivo giudiziario, di interesse pubblico o di ricerca scientifica.
Nei suddetti casi comunque il consenso al trattamento deve essere SPECIFICO ed ESPLICITO.
I dati sensibili possono essere trattati anche per finalità di medicina preventiva o del lavoro, valutazione della capacità lavorativa, diagnosi, assistenza o terapia sanitaria o sociale, ma sotto la responsabilità di un professionista soggetto al segreto professionale.
In ambito europeo sono considerati “sensibili” i dati:
- che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale;
- genetici o biometrici (intesi ad identificare in modo univoco una persona fisica);
- sulla salute;
- sulla vita sessuale o sull’orientamento sessuale della persona.
Consenso per dati relativi a condanne penali e reati
Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza deve avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell'autorità pubblica.

TRASPARENZA, INFORMATIVA
Le informazioni relative al trattamento devono essere rese all’interessato in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.
In caso di raccolta presso l’interessato dei dati che lo riguardano, il titolare del trattamento deve fornire determinate informazioni in un documento appositamente chiamato INFORMATIVA, prima di procedere alla raccolta dei dati.

L’informativa, fornita per iscritto (e preferibilmente in formato elettronico), deve contenere:
- identità e dati di contatto del TITOLARE del trattamento e del suo eventuale rappresentante;
- dati del contatto del responsabile della protezione dei dati;
- la finalità del trattamento cui stono destinati i dati personali, nonché la base giuridica del trattamento;
- eventuali legittimi interessi perseguiti dal titolare del trattamento o da terzi;
- eventuali destinatari dei dati personali;
- se del caso, l’intenzione del titolare di trasferire i dati ad un paese terzo o ad un’organizzazione internazionale.

Nel momento in cui i dati vengono ottenuti il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni:
- il periodo di conservazione dei dati oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
- l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati e la rettifica o la cancellazione degli stessi o la limitazione del trattamento oppure la volontà di opporsi al trattamento;
- l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso dato prima;
- il diritto di proporre reclamo ad un’autorità di controllo;
- l’informazione se la comunicazione dei dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione degli stessi;
- l’esistenza di un processo decisionale automatizzato compresa la profilazione (utilizzo automatico di dati anche ai fini della costruzione di “profili” personali su gusti, tendenze, abitudini, etc.), con le conseguenze previste da tale tipo di trattamento per gli interessati.

Per presentare i contenuti il Regolamento consente ai titolari del trattamento di utilizzare ICONE standardizzate -anche elettronicamente- ma a condizione che l’utilizzo avvenga in combinazione con l’informativa.

Se i dati non vengono ottenuti presso l’interessato le informazioni da dare sono le stesse ma vanno aggiunte quelle sulle categorie di dati gestiti e sulla FONTE da cui gli stessi sono originati, anche specificando eventualmente che le fonti sono accessibili al pubblico.
In questo caso il titolare del trattamento deve fornire le informazioni entro un termine ragionevole non superiore ad 1 MESE da quando ha ottenuto i dati. Se i dati sono destinati alla comunicazione le informazioni devono essere date al più tardi alla prima comunicazione all’interessato.
Agli obblighi informativi di cui sopra ci sono delle eccezioni riportate nell’art.14 del Regolamento.

Esonero
Il Regolamento precisa i casi in cui l’informativa non è obbligatoria includendovi le ipotesi in cui comunicare le informazioni risulti impossibile o “implicherebbe uno sforzo sproporzionato” (per quanto riguarda i casi in cui i dati non vengano raccolti direttamente presso l’interessato). Un concetto nuovo che implica una valutazione soggettiva nelle mani del titolare del trattamento.

DIRITTI – Accesso, cancellazione e limitazione, portabilità, opposizione
Il soggetto i cui dati sono raccolti e trattati (detto “interessato”) deve poter esercitare una serie di diritti riguardo alla gestione dei dati stessi, diritti che devono essere agevolati e soddisfatti.

A fronte di richieste riguardo i propri diritti (accesso, cancellazione, limitazione, portabilità, etc) il titolare deve rispondere senza ingiustificato ritardo e comunque al più tardi entro un mese; il termine è prorogabile di due mesi tenuto conto della complessità e del numero delle richieste. Se la richiesta viene presentata con mezzi elettronici anche la risposta dovrà avvenire con gli stessi mezzi.

Diritto di accesso
L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:
- finalità del trattamento;
- categorie dei dati trattati;
- i destinatari o le categorie di destinatari a cui i dati sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
- quando possibile, il periodo di conservazione dei dati personali previsto oppure i criteri utilizzati per determinare tale periodo;
- l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati o la limitazione del trattamento o di opporsi al trattamento;
- il diritto di proporre reclamo a un’autorità di controllo;
- l’ORIGINE dei dati, se gli stessi non sono stati raccolti presso l’interessato;
- l’esistenza di un processo decisionale automatizzato compresa la profilazione (utilizzo automatico di dati anche ai fini della costruzione di “profili” personali su gusti, tendenze, abitudini, etc.), con le conseguenze previste da tale tipo di trattamento per gli interessati.

Diritto di cancellazione (diritto all’oblio) e alla limitazione del trattamento
Il soggetto interessato ha diritto di ottenere la cancellazione dei propri dati senza ritardo ingiustificato, se i dati non sono più necessari per la finalità per la quale sono stati raccolti, nei casi in cui l’interessato revochi il consenso o si opponga al trattamento.

In alcune circostanze (richiesta di rettifica, contestazione della liceità del trattamento, opposizione al trattamento) per il periodo necessario al titolare per le verifiche scatta il diritto dell’interessato alla limitazione del trattamento. La limitazione prevede che il dato personale venga”contrassegnato” in attesa di ulteriori decisioni, con utilizzo dello stesso solo in casi di accertamenti in sede giudiziaria, tutela dei diritti di un’altra persona fisica o giuridica o motivi di interesse pubblico.

La cancellazione e la limitazione non possono applicarsi in alcuni casi dove il trattamento dei dati è necessario per legge (adempimento obblighi legali, motivi di interesse pubblico, archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, ambito giudiziario, etc.

Riguardo al particolare “diritto all’oblio” va detto che secondo quanto prevede il Regolamento si tratta di una forma di cancellazione rafforzata, perché il titolare in questo caso deve anche adottare tutte le misure necessarie ai fini di informare tutti gli altri titolari che stanno trattando i dati con richiesta di cancellare qualsiasi link, copia o riproduzione dei dati.

Diritto alla portabilità
E’ un diritto del tutto nuovo rispetto a quelli presenti nelle norme italiane, che consente all’interessato di ricevere dal titolare i propri dati per trasmetterli ad altro titolare senza impedimenti. Se tecnicamente possibile, la trasmissione da un titolare all’altro deve essere diretta.
E’ un diritto limitato ai dati gestiti in modo automatizzato, quindi non ad archivi cartacei, e a quelli trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato.

Diritto di opposizione
L’interessato ha diritto di opporsi in qualsiasi momento al trattamento dei propri dati, per motivi connessi alla sua situazione particolare.
Il titolare del trattamento deve in tal caso astenersi dal trattare i dati a meno che non dimostri l’esistenza di motivi legittimi per procedere, che prevalgano sugli interessi, diritti e libertà dell’interessato (oppure per motivi giudiziari).
Il diritto di opposizione ovviamente vale anche -a maggior ragione- per la profilazione e per i casi di trattamento dei dati ai fini di marketing diretto. In quest’ultimo caso i dati non devono più essere oggetto di ulteriori trattamenti per tali finalità.

Costi
L’informativa e le risposte alle richieste degli interessati (azioni di risposta) devono essere gratuite.

Tuttavia il Regolamento prevede che in alcuni casi il titolare possa addebitare un contributo spese che comunque dev’essere ragionevole tenuto conto dei costi amministrativi sostenuti. Si tratta dei casi in cui le richieste sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo. In casi estremi il titolare può addirittura rifiutare la richiesta. La valutazione di quanto sopra è del titolare che in ogni caso ha l’onere di dimostrare che la richiesta è infondata, eccessiva o altro.

SICUREZZA
Il titolare del trattamento deve mettere in atto misure tecniche od organizzative per garantire un livello di sicurezza adeguato al rischio che comprendano, se del caso:
- la conservazione dei dati in una forma che impedisca l’identificazione dell’utente (tramite la cosiddetta pseudonimizzazione e la cifratura degli stessi); - la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi di trattamento;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
- una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
In particolare i responsabili devono valutare un adeguato livello di sicurezza tenendo conto dei RISCHI di distruzione, perdita, modifica, divulgazione non autorizzata, accesso accidentale o illegale dei dati. Gli stessi devono, prima di procedere al trattamento, effettuare una valutazione d’impatto sulla protezione dei dati per valutare i rischi e la necessità di particolari misure di sicurezza, consultando l’Autorità di controllo.
Una violazione dei dati personali deve essere segnalata alla competente Autorità di controllo direttamente dal titolare del trattamento; una comunicazione deve essere inviata anche all’interessato se la violazione potrebbe presentare un rischio per i suoi diritti e libertà.

CODICI DI CONDOTTA
Gli Stati membri possono incoraggiare la reazione di codici di condotta destinati a settori specifici per la corretta applicazione, più mirata, delle regole generali europee.

TRASFERIMENTO DATI VERSO PAESI TERZI
Il trasferimento dei dati verso paesi terzi (extra UE) diventa possibile se la Commissione europea decide che il paese terzo -o un’organizzazione internazionale- garantiscono un livello di protezione adeguato. In tal caso non c’e’ bisogno di autorizzazioni specifiche a livello nazionale da parte dei Garanti (in Italia Garante della Privacy).

VIOLAZIONI, TUTELE
Notifica delle violazioni
na disposizione molto particolare del Regolamento prevede che i titolari devono notificare all’Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque senza ingiustificato ritardo. Ciò, in realtà, SOLO se ritengono che da tale violazione derivino rischi per i diritti e le libertà degli interessati.
Se la probabilità di rischio è elevata dovrà informare della violazione anche il soggetto interessato e coinvolto. La valutazione delle garanzie può essere fatta sulla base dello Stato di diritto del Paese terzo, delle sue normative in ambito privacy, della presenza di autorità locali di controllo, sulla base dell’esistenza di accordi internazionali o altri obblighi derivanti da convenzioni o strumenti giuridicamente vincolanti. In mancanza di una decisione da parte della commissione, il titolare può trasferire i dati ad un paese terzo solo in presenza di garanzie verificate tramite l’esistenza di codici di condotta, di schemi di certificazione, norme vincolanti d’impresa.

Reclami all’Autorità
L’interessato che ritenga che il trattamento che lo riguarda violi le regole ha diritto di proporre reclamo all’Autorità di controllo del proprio paese (in Italia Garante della Privacy) . Ovviamente questi rimane libero, in alternativa o contemporaneamente, di proporre ricorsi amministrativi o giurisdizionali. L’interessato può anche ricorrere giurisdizionalmente contro l’Autorità se questa non tratta un reclamo o non informi il reclamante entro tre mesi dello stato o dell’esito del reclamo Stessa cosa avverso una decisione giuridicamente vincolante dell’Autorità che lo riguarda.

Azioni contro i responsabili del trattamento
Oltre al reclamo suddetto l’interessato è libero di proporre un ricorso giurisdizionale contro il titolare del trattamento se ritenesse che i propri diritti siano stati violati. Nelle azioni gli interessati possono anche farsi rappresentare da un legale o da un’associazione.

Risarcimenti
Se da una violazione di una regola consegue un danno materiale o immateriale l’interessato ha diritto di ottenere il risarcimento del danno da parte del titolare del trattamento o dal responsabile. Le azioni di risarcimento devono essere proposte davanti alle autorità giurisdizionali competenti a norma delle leggi nazionali.

Sanzioni
Le autorità di controllo possono comminare sanzioni a seguito dell’accertamento di violazioni del regolamento. A seconda del tipo di violazione le sanzioni massime possono essere di 10 milioni di euro o 20 milioni di euro oppure pari ad una percentuale del fatturato mondiale annuo (2% oppure 4%). Sanzioni più specifiche e modalità di applicazione devono essere stabilite a livello nazionale.

RIFERIMENTI NORMATIVI E LINK UTILI
- Regolamento UE 2016/679 che abroga la Direttiva 95/46/CE (Regolamento GDPR) 
- Legge 163/2017 art.13 (legge delega)
- Legge 205/2017 articolo 1 commi da 1020 a 1025
- D.lgs.196/2003 "Codice in materia di protezione dei dati personali" modificato dal D.lgs. 101/2018 

- Linee guida del Garante della Privacy
 
 
 
ADUC - Associazione Utenti e Consumatori APS