Il nuovo regolamento europeo sulla privacy

Transcript

1 Il nuovo regolamento europeo sulla privacy a cura di ANTONIO CICCIA MESSINA Conto alla rovescia per la privacy a tinte Ue Il nuovo Regolamento europeo diventa efficace il 25 maggio Ma già da ora le imprese e le pubbliche amministrazioni devono prepararsi perché ci sono nuovi adempimenti che non si completano in un attimo. I principali adempimenti riguardano: a) l organizzazione interna dell impresa o della p.a. b) i rapporti con i fornitori esterni c) la revisione della modulistica con i clienti/ utenti d) la programmazione e l attuazione del sistema di sicurezza nella protezione dei dati e) la predisposizione della documentazione per di- mostrare la propria conformità alle regole f) la formazione del personale g) l eventuale adesione a codici di correttezza e ala certificazione. Il problema del Regolamento europeo, in effetti, è la traduzione in concreto delle norme, che di per sé appaiono generali e in alcuni casi fumose. Certo il Regolamento unico europeo serve ad avere regole identiche in tutti i paesi dell Unione europea, ma il prezzo che si sta pagando è quello della fumosità delle disposizioni, che lasciano nel limbo molti aspetti concreti. In questo vademecum si cercherà di dare un orientamento pratico per non farsi travolgere dalle novità. 12 Dicembre 2016

2 2 Applicazione della normativa LA NORMA Articolo 99 Entrata in vigore e applicazione 1. Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta Ufficiale dell Unione europea. 2. Esso si applica a decorrere da 25 maggio LA SPIEGAZIONE Il regolamento è in vigore dal 24 maggio 2016, ma ha una efficacia differita al 25 maggio Fino a quella data continuerà a essere in vigore, a livello europeo, la direttiva 95/46/CE, e, a livello italiano, il Codice della privacy (dlgs 196/2003). È ovvio, però, che più si avvicina quella data più il Codice sarà relegato tra le cose passate e si affievolirà progressivamente. Con un'avvertenza. Attenzione a non prendere sotto gamba gli adempimenti del Codice della privacy, la cui violazione sia punita con una sanzione amministrativa. In base al principio per cui la sanzione amministrativa si deve applicare ai fatti commessi in vigenza della norma sanzionatrice, una violazione amministrativa del Codice della privacy, commessa prima del 25 maggio 2018, dovrà essere sanzionata anche dopo quella data. Tutto ciò, naturalmente, salvo che subentri una norma che applichi il favor rei anche agli illeciti amministrativi della legislazione sulla privacy. DOMANDA La normativa attuale sulla privacy, compresi i provvedimenti del Garante, saranno da considerarsi abrogati alla data del 25 maggio 2018? RISPOSTA No, ci sono interi settori, per i quali viene salvata la normativa attuale. Questo vale anche per quelle ipotesi in cui il Regolamento rinvia alla normativa dei singoli stati. Vediamo i più importanti casi in cui sopravviverà la disciplina dei singoli stati. LAVORO Articolo 88 Trattamento dei dati nell ambito dei rapporti di lavoro 1. Gli Stati membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell ambito dei rapporti di lavoro, in particolare per finalità di assunzione, esecuzione del contratto di lavoro, compreso l adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro. 2. Tali norme includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un attività economica comune e i sistemi di monitoraggio sul posto di lavoro. 3. Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 entro 25 maggio 2018 e comunica senza ritardo ogni successiva modifica. La disciplina della privacy del lavoratore è delegata ai singoli stati europei. In Italia abbiamo, ad esempio, la legge 300/1970 e i provvedimenti del cosiddetto Jobs Act; ci sono i provvedimenti del garante per la protezione dei dati personali, come il provvedimento del 1 marzo 2007 sul controllo del lavoratore nell accesso a Internet e nell uso della posta elettronica. Nel settore del pubblico impiego c è il Testo Unico del 2001 n L elenco è molto lungo. L articolo 88 del Regolamento impone ai singoli stati di comunicare alla commissione la normativa nazionale: si dovrà fare la raccolta e il confronto delle varie legislazioni, così da costruire il diritto europeo della privacy nei rapporti di lavoro. Fino a che questo processo non sarà terminato, ciascuno stato applicherà la propria legislazione. PUBBLICA AMMINISTRAZIONE Articolo 6 Liceità del trattamento 1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: omissis e) il trattamento è necessario per l esecuzione di un compito di interesse pubblico o connesso all esercizio di pubblici poteri di cui è investito il titolare del trattamento; omissis 3. La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita: a) dal diritto dell Unione; o b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento. La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l esecuzione di un compito svolto nel pubblico interesse o connesso all esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l applicazione delle norme del presente

3 regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. Il diritto dell Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all obiettivo legittimo perseguito. La disciplina italiana della protezione dei dati nel settore della pubblica amministrazione è molto abbondante. Si trovano regolamentazioni generali della trasparenza amministrativa nella legge generale sul procedimento amministrativo (n. 241/1990) e nel dlgs 33/2013. Tutte le specifiche normative settoriali toccano il flusso documentale e il flusso dei dati. Si pensi alla disciplina del Codice delle amministrazioni digitali, la legislazione sanitaria, quelle sui servizi socio-assistenziali. Tutti i comparti delle attività istituzionali (scuola, ambiente, edilizia, commercio, ordinamento degli enti territoriali e non territoriali ecc.) dicono qualche cosa sulla disciplina del trattamento dei dati. Anzi la normativa di settore nel momento in cui individua le funzioni istituzionali di un ente individua la finalità di riferimento per verificare la legittimità del trattamento dei dati. Senza dimenticare che dall operato del garante della privacy e di altre autorità (compresa l autorità nazionale anticorruzione) si sono raccolti provvedimenti che contribuiscono a formare la base giuridica del trattamento dei dati in ambito pubblico. Una congerie, questa, di disposizioni che manterrà la sua vigenza anche una volta diventato efficace il Regolamento europeo. STAMPA Articolo 85 Trattamento e libertà d espressione e di informazione 1. Il diritto degli Stati membri concilia la protezione dei dati personali ai sensi del presente regolamento con il diritto alla libertà d espressione e di informazione, incluso il trattamento a scopi giornalistici o di espressione accademica, artistica o letteraria. 2. Ai fini del trattamento effettuato a scopi giornalistici o di espressione accademica, artistica o letteraria, gli Stati membri prevedono esenzioni o deroghe rispetto ai capi II (principi), III (diritti dell interessato), IV (titolare del trattamento e responsabile del trattamento), V (trasferimento di dati personali verso paesi terzi o organizzazioni internazionali), VI (autorità di controllo indipendenti), VII (cooperazione e coerenza) e IX (specifiche situazioni di trattamento dei dati) qualora siano necessarie per conciliare il diritto alla protezione dei dati personali e la libertà d espressione e di informazione. 3. Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 2 e comunica senza ritardo ogni successiva modifica. Il settore dell informazione vede in Italia applicarsi la legge sulla stampa, i codici deontologici, compreso quello allegato al Codice della privacy. PIN NAZIONALE Articolo 87 Trattamento del numero di identificazione nazionale Gli Stati membri possono precisare ulteriormente le condizioni specifiche per il trattamento di un numero di identificazione nazionale o di qualsiasi altro mezzo d identificazione d uso generale. In tal caso, il numero di identificazione nazionale o qualsiasi altro mezzo d identificazione d uso generale sono utilizzati soltanto in presenza di garanzie adeguate per i diritti e le libertà dell interessato conformemente al presente regolamento. ADEMPIMENTI PRINCIPIO ADEMPIMENTO NOTE Responsabilizzazione/1 Responsabilizzazione/2 Responsabilizzazione/3 Creare dossier privacy in cui raccogliere tutti i documenti sugli adempimenti svolti Contratti con soggetti esterni che trattano dati per conto del titolare/ subfornitori Designare un responsabile della protezione dei dati Precostituzione delle prove della propria diligenza Schemi tipo del garante Obbligatorio per p.a. e trattamenti su larga scala di dati sensibili o giudiziari e monitoraggio su larga scala 3

4 Responsabilizzazione/4 Adesione a codici di condotta Attenuazione delle responsabilità Responsabilizzazione/5 Ricorrere a meccanismi di certificazione civili e amministrative Consenso/1 Rivedere la modulistica Consenso inequivoco per i dati personali/esplicito peri dati sensibili Consenso/2 Verificare se si ricade in ipotesi di legittimo interesse (marketing) Applicazione del bilanciamento di interessi Trasparenza Rivedere la modulistica sull informativa Contenuto indicato agli articoli 13 e 14 Progettazione e impostazione predefinita Strumenti, dispositivi, applicativi utilizzabili senza trattamenti superflui o Privacy by design/privacy by default illegittimi Garanzia dell interessato Documentazione Sicurezza/1 Sicurezza/2 Sicurezza/3 Sicurezza/4 Sicurezza/4 Istruzioni e formazione del personale e degli autorizzati al trattamento no essere resi edotti dei rischi e Gli incaricati del trattamento devo- dei dati delle loro responsabilità Tenere e aggiornare i registri del trattamenttifi cazione Adempimento sostitutivo della no- Fare valutazione dei rischi e adottare misure idonee Non bastano le misure minime Nel caso di rischio elevato fare valutazione di impatto privacy Casi individuati dal garante Nel caso di rischio elevato e necessità di misure per attenuare il rischio Adeguarsi al parere dell autorità di consultazione preventiva del Garante controllo Notificazione delle violazioni di dati Entro 72 ore il garante deve essere all autorità di controllo informato Comunicazione delle violazioni di dati all interessato A meno che non ci siano misure adeguate a tutela della persona LISTA DEI CONTROLLI PRINCIPALI articolo Tratto dati personali comuni? 6 Tratto particolari categorie di dati o dati giudiziari? 9 Ho dato l informativa? 13,14 Ho raccolto il consenso dell interessato? 7 Oppure c è una causa di esonero dal consenso? 6 Ho fatto la valutazione dei rischi? 32 Devo fare la valutazione di impatto privacy? 35 Devo fare una consultazione preventiva al garante? 36 I miei applicativi hanno impostazioni predefinite che minimizzano la raccolta di dati? 25 Sono pronto a rispettare il diritto all oblio? 17 Sono pronto a rispettare il diritto alla portabilità dei dati? 20 Devo nominare un responsabile della protezione dei dati? 37 Ci sono codici di condotta relativi alla mia attività? 40 Gli strumenti che uso sono certificati? 42 Ho fatto seguire ai miei dipendenti corsi sulla protezione dei dati? 29 Ho stipulato un contratto con i miei fornitori che trattano dati per mio conto? 28 Devo tenere un registro dei trattamenti? 30 Ho gli strumenti per notificare al garante le violazioni dei dati? 33 Ho gli strumenti per comunicare agli interessati le violazioni dei dati? 34 4

5 IMPATTO SULL ORGANIZZAZIONE INTER- NA DELL IMPRESA O DELLA P.A. L impresa e la p.a. devono conformare la loro organizzazione al protocollo privacy del Regolamento Ue. All interno della organizzazione ci sono i soggetti che compiono le operazioni del trattamento. Nel linguaggio del codice della privacy italiano si chiamano «incaricati del trattamento». Nel Regolamento Ue gli incaricati non sono nominati espressamente, ma ci sono i soggetti autorizzati al trattamento, che devono ricevere istruzioni e formazione da parte del titolare del trattamento. Sempre all interno dell organizzazione ci sono soggetti apicali, che possono chiamarsi responsabili interni del trattamento. Una figura a se stante è quella del Responsabile della protezione dei dati, siglato Dpo dal termine inglese data protection officer. Il Dpo è obbligatorio per gli enti pubblici, salvo che per gli organi giudiziari (con riferimento all attività giurisdizionale); è obbligatorio anche per gli enti privati in due casi: a) se la loro attività principale consiste nel monitoraggio su larga scala; se la loro attività consiste nel trattamento su larga scala di dati sensibili, biometrici o giudiziari. Non è ancora stato chiarito bene il significato dei casi in cui si deve nominare il Dpo, e si spera che le autorità forniscano indicazioni chiare non lasciando a una decisione caso per caso. È una figura a metà tra il consulente e il revisore e non dovrebbe ricoprire ruoli gestionali, rispetto alla attività dell azienda o ai fini istituzionali della p.a. Deve essere ancora valutato se possa avere un ruolo sotto il profilo della gestione degli adempimenti previsti dalla disciplina della privacy: ovvero, per fare un esempio, deve solo consigliare e controllare se si fanno corsi di formazione del personale oppure può organizzare i corsi scegliendo i docenti e organizzando le sessioni di insegnamento? Per espressa indicazione del Regolamento è uno specialista legale, che da pareri per l applicazione del Regolamento e vigila sull applicazione della disciplina. È un interlocutore dei clienti e utenti dell impresa e della p.a. ed è anche un punto di contatto per il Garante della privacy. Deve essere autonomo, ma può anche essere un dipendente del titolare. Può essere un esterno, e può essere il Dpo di più enti, ma attenzione ai conflitti di interessi. In ogni caso il Dpo deve tenere conto delle specificità aziendali o dell ente a favore del quale presta la sua attività. Il Dpo ha certamente responsabilità contrattuali neo confronti del titolare del trattamento; si ritiene che abbia responsabilità extracontrattuali nei confronti degli interessati, ad esempio, se ha fornito una consulenza errata, da cui sia derivata un azione causativa di danno all interessato. DPO Titolare del trattamento Responsabile interno del trattamento Autorizzato al trattamento Contitolare del trattamento Responsabile esterno del trattamento Sub responsabile esterno del trattamento I RAPPORTI CON I FORNITORI ESTERNI All esterno dell organizzazione ci possono essere contitolari oppure responsabili esterni. I primi hanno poteri decisionali autonomi, mentre i responsabili esterni trattano dati per conto del titolare del trattamento. I rapporti con il contitolare deve essere regolato con appositi contratti. Lo strumento del contratto deve essere utilizzato per regolare i rapporti tra titolare e responsabile del trattamento. Questo contratto può essere un contratto quadro, che preveda la possibilità per il responsabile di designare un sub-responsabile del trattamento. Il contratto serve anche per delineare le responsabilità del titolare e/o del responsabile nei confronti dell interessato. LE CLAUSOLE DEL CONTRATTO Gli obblighi del responsabile del trattamento: trattare i dati personali soltanto su istruzione documentata del titolare del trattamento; garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza; adottare tutte le misure idonee di sicurezza; rispettare le condizioni convenute con il titolare per ricorrere a un altro responsabile del trattamento; tenendo conto della natura del trattamento, assistere il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l obbligo del titolare del trattamento di dare seguito alle richieste per l esercizio dei diritti dell interessato; assistere il titolare del trattamento nel garantire il rispetto degli obblighi di sicurezza, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento; su scelta del titolare del trattamento, cancellare o restituire tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell Unione o degli Stati membri preveda la conservazione dei dati; mettere a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi del Regolamento e con- 5

6 6 sentire e contribuire alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato. RAPPORTI CON I CLIENTI/UTENTI Nei confronti degli interessati il titolare del trattamento deve dare un idonea informativa e verificare a quali condizioni può trattare i dati. La lettera b) viene trattata dal Regolamento come «liceità del trattamento». Le condizioni di liceità del trattamento sono differenti per i dati comuni rispetto alle particolari categorie di dati (dati sensibili e biometrici) e dati giudiziari. Per i dati comuni ci sono 6 possibilità: 1. l interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; 2. il trattamento è necessario all esecuzione di un contratto di cui l interessato è parte o all esecuzione di misure precontrattuali adottate su richiesta dello stesso; 3. il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; 4. il trattamento è necessario per la salvaguardia degli interessi vitali dell interessato o di un altra persona fisica; il trattamento è necessario per l esecuzione di un compito di interesse pubblico o connesso all esercizio di pubblici poteri di cui è investito il titolare del trattamento; il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell interessato che richiedono la protezione dei dati personali, in particolare se l interessato è un minore. Per le particolari categorie di dati le possibili condizioni di liceità sono 10: 1. l interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell Unione o degli Stati membri dispone che l interessato non possa revocare il divieto di trattamento; 2. il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell interessato; 3. il trattamento è necessario per tutelare un interesse vitale dell interessato o di un altra persona fisica qualora l interessato si trovi nell incapacità fisica o giuridica di prestare il proprio consenso; 4. il trattamento è effettuato, nell ambito delle sue le gittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l associazione o l organismo a motivo delle sue finalità e che i dati personali non siano comunicati all esterno senza il consenso dell interessato; il trattamento riguarda dati personali resi manifestamente pubblici dall interessato; il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali; il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell interessato; il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell Unione o degli Stati membri o conformemente al contratto con un professionista della sanità; il trattamento è necessario per motivi di interesse 9. pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell interessato, in particolare il segreto professionale; 10. il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, sulla base del diritto dell Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell interessato. Quando la condizione di liceità è rappresentata dal consenso, bisogna osservare le condizioni previste dal Regolamento per la corretta ed efficace formulazione dello stesso. Si ricordi, tra l altro, che qualora il trattamento si basi sul consenso, non occorre che l interessato presti nuovamente il suo consenso, se questo è stato espresso secondo modalità conformi alle condizioni del regolamento, affinché il titolare del trattamento possa proseguire il trattamento in questione dopo la data di applicazione del regolamento. Vediamo, dunque, le caratteristiche del consenso, cosicché i titolari possano adeguare la propria modulistica o il proprio modo di operare.

7 IL CONSENSO Disciplina Onere della prova della prestazione del consenso a carico del titolare del trattamento Se contenuta in un testo scritto richiesta del consenso chiaramente distinguibile da altre materie, comprensibile accessibile, in linguaggio semplice e chiaro Diritto di revoca in qualsiasi momento Esecuzione di un contratto non deve essere condizionata al consenso non necessario per quella attività Caratteristiche libero specifico informato - inequivocabile - esplicito per i le particolari categorie di dati Il Regolamento, nelle sue premesse, chiarisce che il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l interessato manifesta l intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso. I DIRITTI DELL INTERESSATO Otre a rispettare le condizioni di liceità, il titolare del trattamento deve anche garantire l esercizio dei diritti degli interessati. In particolare l interessato ha diritto a sapere chi e come tratta i suoi dati (trasparenza, informazioni e accesso), ma ha anche diritto di intervenire sui dati trattati (rettifica, cancellazione, oblio) e di stoppare il trattamento con l opposizione e ottenendo una limitazione del trattamento. Il diritto alle informazioni e l accesso sono complementari. Il Regolamento definisce le modalità attraverso le quali si possono ottenere dal titolare le notizie sul trattamento e definisce le condizioni alle quali si ha accesso ai propri dati. Quanto al procedimento per l esercizio dei diritti, il Regolamento ha delle novità rispetto al Codice italiano della privacy. In base all articolo 12 il titolare del trattamento deve fornire all interessato le informazioni per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l identità dell interessato. Il titolare del trattamento deve rispondere all interessato senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richie- 7

8 8 sta. Il termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento deve informare l interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell interessato. Se non intende ottemperare alla richiesta dell interessato, il titolare del trattamento dovrà informare l interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell inottemperanza e della possibilità di proporre reclamo a un autorità di controllo e di proporre ricorso giurisdizionale. Le informazioni fornite all interessato devono essere gratuite. Se, però, le richieste dell interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento potrà: a) addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l azione richiesta; oppure b) rifiutare di soddisfare la richiesta. Le informazioni da fornire agli interessati potranno essere fornite in combinazione con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d insieme del trattamento previsto. Se presentate elettronicamente, le icone devono essere leggibili da dispositivo automatico. L interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti. Tenuto conto delle finalità del trattamento, l interessato ha il

9 diritto di ottenere l integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa. L interessato ha il diritto di oblio nei casi seguenti: i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; l interessato ha revocato il consenso su cui si basa il trattamento, se non sussiste altro fondamento giuridico per il trattamento; l interessato si oppone al trattamento, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento; i dati personali sono stati trattati illecitamente; i dati personali devono essere cancellati per adempiere un obbligo legale; i dati personali sono stati raccolti relativamente all offerta di servizi della società dell informazione. L interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento in uno dei seguenti casi: a) l interessato contesta l esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l esattezza di tali dati personali; b) il trattamento è illecito e l interessato si oppone al- la cancellazione dei dati personali e chiede invece che ne sia limitato l utilizzo; c) benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all interessato per l accertamento, l esercizio o la difesa di un diritto in sede giudiziaria; d) l interessato si è opposto al trattamento, in attesa della verifica in merito all eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell interessato L interessato ha il diritto alla portabilità de dati e 9

10 cioè ha diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora: a) il trattamento si basi sul consenso, o su un contrat- to; e b) il trattamento sia effettuato con mezzi automatiz- zati. L interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all altro, se tecnicamente fattibile. IL SISTEMA DI SICUREZZA NELLA PROTEZIONE DEI DATI Il titolare del trattamento (impresa o p.a.) ha obblighi generali, deve garantire la sicurezza del trattamento, deve procedere nei casi di rischio elevato alla valutazione dell impatto sulla riservatezza delle persone, consultando preventivamente il Garante per ottenere un parere con prescrizioni per attenuare il rischio, deve nominare facoltativamente od obbligatoriamente un responsabile della protezione dei dati, utilizzare prodotti certificati e aderendo opportunamente a codici di condotta. Tra gli obblighi generali si segnalano la tenuta e aggiornamento dei registri del trattamento (andranno a sostituire la notificazione al Garante) e la formazione del personale. Ai sensi dell articolo 29 del Regolamento, infatti, il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento. La sicurezza del trattamento dei dati deve essere garantita su un livello adeguato. Il Regolamento non si accontenta di un livello minimo. Questo non esclude la 10 possibilità di mantenere livelli soglia ai fini della individuazione della responsabilità penale (non trattata dal provvedimento europeo). Il sistema di sicurezza del Regolamento generalizza l obbligo di notificare al Garante l avvenuta violazione dei dati (entro 72 ore) e di comunicazione all interessato in caso di rischio elevato (data breach). LE RESPONSABILITÀ E LE SANZIONI Ma che cosa si rischia a non mettere in atto le prescrizioni del Regolamento? Il sistema delle responsabilità è complesso. C è la responsabilità civile per danni. C è la responsabilità connessa all esercizio dei diritti da parte dell interessato. Soffermiamoci sulla responsabilità civile. Il principio è che chiunque subisca un danno materiale o immateriale causato da una violazione del regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. Il regolamento distingue le posizioni: il titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento; il responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. L onere della prova è a carico del presunto autore della violazione: il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità se dimostra che l evento dannoso non gli è in alcun modo imputabile. La responsabilità civile di titolare e responsabile del trattamento è solidale, salvo rivalsa nei limiti della

11 Le disposizioni sanzionate art. 83, comma 4 fino a , o per le imprese, fino al 2% del fatturato per la violazione degli obblighi: del titolare e del responsabile (artt. 8, 11, da 25 a 39, 42 e 43); dell'organismo di certificazione (artt. 42 e 43); dell'organismo di controllo (art. 41, paragrafo 4). Disposizioni sanzionate art. 83, comma 5 fino a , o per le imprese, fino al 4% del fatturato per la violazione dei: principi di base del trattamento, comprese le condizioni relative al consenso (artt. 5, 6, 7 e 9); diritti degli interessati (artt. da 12 a 22); trasferimenti di dati personali extra Ue (artt. da 44 a 49); obblighi previsti dagli Stati nelle materie del capo IX (artt. da 85 a 91 - es. giornalismo, lavoro, ricerca scientifica, storica, statistica, segreto professionale,...); inosservanza di un ordine o di una limitazione del Garante o il negato accesso ai dati e ai locali (art. 58, commi 1 e 2) Criteri per l'applicazione delle sanzioni amministrative pecuniarie 1. la natura, la gravità o la durata della violazione tenendo in considerazione la natura, l'oggetto o la finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito; 2. il carattere doloso o colposo della violazione 3. le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati; 4. il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32; 5. eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento; 6. il grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; 7. le categorie di dati personali interessate alla violazione; 8. la maniera in cui l'autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione (data breach); 9. qualora siano stati precedentemente disposti provvedimenti di cui all'articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti; 10. l'adesione ai codici di condotta approvati ai sensi dell'articolo 40 o ai meccanismi di certificazione approvati si sensi dell'articolo 42; 11. eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, per esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione. quota di responsabilità: rispondono ciascuno per l intero ammontare del danno, al fine di garantire il risarcimento effettivo dell interessato. Oltre alla responsabilità civile, il Regolamento disciplina il sistema sanzionatorio amministrativo. Le sanzioni sono veramente pesanti, ma c è la possibilità di adeguarle ai casi concreti. Il garante ad esempio potrà in alcuni casi scegliere tra prescrizione e sanzione e, comunque, nell applicare la sanzione potrà tenere conto delle dimensioni del trasgressore, ad esempio, alleggerendo la mano sulle Pmi. Le sanzioni sono distinte in due gruppi. Il primo gruppo arriva fino a 10 milioni di euro o al 2% del fatturato aziendale. Si tratta della violazione di obblighi del titolare e del responsabile, dell organismo di certificazione e dell organismo di controllo. Più pesanti sono le sanzioni per le violazioni dei diritti degli interessati e delle condizioni del trattamento. Ai sensi dell articolo 58 del Regolamento il Garante, tra i suoi poteri correttivi, dispone del potere di a) rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del regolamento; b) rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento se i trattamenti abbiano violato le disposizioni del regolamento. Sempre ai sensi dell articolo 58 il Garante infliggere una sanzione amministrativa pecuniaria, in aggiunta alle misure di ammonimento, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso. È possibile che, ad esempio, alla prima violazione il Garante ammonisca il titolare senza applicare la sanzione pecuniaria, sempreché ciò risulti confacente a scongiurare recidive. Se, invece, si procederà ad applicare la sanzione, il Garante dovrà barcamenarsi tra numerosi parametri, sintetizzati nella tabella seguente. Il Garante, inoltre, dovrà tenere registri interni delle violazioni del regolamento e delle misure adottate. Ai responsabili nel procedimento sanzionatorio deve essere garantito un complesso di garanzie difensive a livello giurisdizionale. 11

12 PROCEDIMENTO SANZIONATORIO CONTESTAZIONE INVIO MEMORIE DIFENSIVE RICHIESTA DI AUDIZIONE gg... OBLAZIONE ESCLUSA SU: -misure minime di sicurezza -grandi banche dati RAPPORTO EX ART. 17 OBLAZIONE IN VIA BREVE 60 gg CONVOCAZIONE PER AUDIZIONE Definizione del procedimento [ ] Tabella a cura di Claudio Filippi, Vice Segretario Generale - Garante per la protezione dei dati personali PROCEDIMENTO SANZIONATORIO [ ] ESAME ORDINANZA DI ARCHIVIAZIONE ORDINANZA INGIUNZIONE PAGAMENTO OPPOSIZIONE Definizione del procedimento Tabella a cura di Claudio Filippi, Vice Segretario Generale - Garante per la protezione dei dati personali 12