Il nuovo Regolamento Privacy UE 679/2016: linee essenziali Sabrina PERON

Transcript

1 Il nuovo Regolamento Privacy UE 679/2016: linee essenziali Sabrina PERON 1) Premessa - A partire dal 25 maggio 2018, in tutti i Paesi degli Stati membri della UE entrerà in vigore il nuovo Regolamento del Parlamento europeo e del Consiglio, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. A differenza della direttiva, il Regolamento è direttamente applicabile in tutti gli Stati membri UE, senza la necessità di atti di recepimento, così da conseguire l obiettivo di una uniformazione del diritto degli Stati europei. Il Regolamento Privacy, che rappresenta un chiaro segnale di un nuovo interesse pubblico dell Unione alla circolazione dei dati nello spazio digitale, è stato adottato il 27 aprile 2016 ed è abrogativo della direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), con lo scopo di rafforzare i diritti dei cittadini europei nel controllo dei propri dati personali e di definire un quadro unificato di regole per le aziende. A tal fine il Regolamento, all art. 3, ne prevede l applicazione anche indipendentemente dal fatto che il trattamento sia effettuato o meno nell Unione. Il medesimo articolo stabilisce altresì che le sue regole debbano valere anche per i Titolari e Responsabili del Trattamento non stabiliti nell UE, quando trattano dati che concernono: a) l'offerta di beni o la prestazione di servizi di soggetti che trovano nella UE; b) il monitoraggio del comportamento di soggetti che si trovano nella UE nella misura in cui tale comportamento abbia luogo all'interno dell'unione. Senza pretesa di completezza e di approfondimento, se ne ripercorrono brevemente di seguito le linee essenziali. 2) Il Consenso Le condizioni per la liceità del trattamento dei dati (art. 6), sono rimaste fondamentalmente invariate e sono: prestazione di un valido consenso al trattamento; trattamento necessario per l adempimento obblighi contrattuali; trattamento necessario per far fronte a obblighi di legge che incombono sul titolare; trattamento necessario per far fronte ad interessi vitali della persona interessata o di terzi; oppure è necessario per l esecuzione di compiti di interesse pubblico o per l esercizio di pubblici poteri o, ancora, per perseguire un interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati. Il consenso dev essere sempre liberamente prestato (occorrerà quindi valutare se l esecuzione di un contratto o la prestazione di un servizio, non sia condizionata alla prestazione di un consenso non necessario art. 7, co. 4). Inoltre, il consenso dev essere: specifico, informato e inequivocabile. In particolare si noti che, pur non essendo necessaria la forma scritta, non è mai considerato come validamente prestato il consenso tacito o presunto e sul titolare al trattamento grava l onere di dimostrare che l interessato ha prestato il suo specifico ed inequivocabile consenso. Secondo le indicazioni date dal Garante Privacy, il consenso raccolto prima del 25 maggio 2018, rimane valido, solo se presenta tutte le caratteristiche sopra citate. In caso contrario, occorrerà raccogliere un nuovo consenso conforme al Regolamento. In particolare il Garante ha ricordato la necessità di verificare che la vecchia richiesta di consenso sia conforme a quanto stabilito dall art. 7, co. 2, ossia sia semplice, chiara, comprensibile e chiaramente distinguibile da altre richieste o dichiarazioni rivolte all interessato. 3) Informativa L informativa data all interessato deve utilizzare un linguaggio chiaro e semplice e deve essere concisa, trasparente, intelligibile e facilmente accessibile (art. 12). Inoltre deve preferibilmente avere forma scritta, ma sono ammessi anche altri mezzi: elettronici o, se richiesto 1

2 dall interessato può essere fornita anche oralmente, purché sia comprovata con altri mezzi l identità dell interessato. Interessante notare che l art. 12 co. 7, ammette anche l utilizzo di icone al fine di presentare i contenuti dell'informativa in forma sintetica, che va però data in combinazione con l'informativa estesa. L'informativa va data prima di effettuare la raccolta dei dati, tutte le volte in cui i dati sono raccolti direttamente presso l'interessato (art. 13). L informativa deve tassativamente contenere tutte le analitiche prescrizioni indicate dall art. 13 del Regolamento. Inoltre, se i dati non sono stati direttamente ottenuti dall interessato, questi ha diritto di ricevere dal titolare del trattamento al più tardi entro un mese dalla raccolta o dalla comunicazione dei dati a terzi - tutte le informazioni previste dal successivo art. 14, quali: identità e dati di contatto del titolare e del responsabile; finalità del trattamento e la sua base giuridica; categoria dei dati personali oggetto di trattamento; eventuali destinatari dei dati; l intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo (e con quali strumenti avverrà il trasferimento); il periodo di conservazione dei dati personali (o il suo criterio di determinazione); l esistenza del diritto dell interessato a chiedere l accesso ai proprio dati, oppure la rettifica, l aggiornamento, la cancellazione; l esistenza del diritto per l interessato ad opporsi al trattamento, a revocare il suo consenso al trattamento e a proporre reclamo; la fonte da cui hanno origine i dati personali e, se del caso, l eventualità che i dati provengano da fonti accessibili al pubblico; l esistenza di un processo decisionale automatizzato, compresa la profilazione. 4) Dati sensibili I dati sensibili sono quelli idonei a rivelare l origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l appartenenza sindacale Sono altresì dati sensibili i dati, genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all orientamento sessuale della persona. I dati sensibili possono essere trattati solo in presenza delle seguenti condizioni (art. 9). Anzitutto quanto vi è un consenso esplicito dell interessato dato per finalità specifiche. Inoltre, quando il trattamento è necessario per uno dei seguenti motivi: - per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale; - per tutelare un interesse vitale dell interessato o di un altra persona fisica qualora l interessato si trovi nell incapacità fisica o giuridica di prestare il proprio consenso; - per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali; - per motivi di interesse pubblico rilevante sulla base del diritto dell Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita; - per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali; - per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell assistenza sanitaria e dei medicinali e dei dispositivi medici; - per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici. Ancora è possibile trattare dati sensibili da parte di fondazioni, associazioni o altri organismo senza scopo di lucro che perseguano finalità politiche, filosofiche, religiose o sindacali: - purché ciò avvenga, nell ambito delle loro legittime attività, con adeguate garanzie e riguardi unicamente i membri (o ex membri) e/o persone con cui hanno regolari contatti; e - sempreché tali dati personali non siano comunicati all esterno senza il consenso dell interessato. Il trattamento dei dati personali relativi alle condanne penali, ai reati o a connesse misure di sicurezza (art. 11), questo deve avvenire soltanto sotto il controllo Pubblica Autorità ed il diritto degli Stati 2

3 membri deve prevedere garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo della Pubblica Autorità. 5) I minori L attenzione posta dal Regolamento a soggetti minori è dovuta ad una maggiore sensibilità alle problematiche dei minori che oramai, in quanto nativi digitali, utilizzano quotidianamente i vari prodotti digitali. Il consenso di soggetti minori è valido a partire dal 16 anno d età (con libertà per gli Stati membri di abbassare tale età sino ai 13 anni). Prima di tale data il consenso è prestato dai genitori o da chi ne fa le veci (art. 8). In questo caso, il titolare del trattamento deve adoperarsi per verificare che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili. In ogni caso per i minori sono necessarie informative idonee e redatte in modo semplice e chiaro. 6) I diritti dell interessato L interessato al trattamento ha diritto ad ottenere dal titolare del trattamento entro un mese dalla richiesta (eventualmente prorogabile a due, in caso di complessità della richiesta) - tutte le informazioni di cui agli art. 13 e 14, per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici (se richiesto dall interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l identità dell interessato). La risposta fornita all'interessato deve avere le seguenti caratteristiche: dev essere intelligibile, anche attraverso l utilizzo di un linguaggio semplice e chiaro; inoltre, dev essere concisa, trasparente e facilmente accessibile. In linea generale le informazioni fornite sono gratuite. Tuttavia, se le richieste dell interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può: a) addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l azione richiesta; b) rifiutare di soddisfare la richiesta. In questo caso incombe sul titolare del trattamento l onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta. 7) Diritto all oblio - Ai sensi dell art. 17, l interessato ha il diritto di ottenere (senza ingiustificato ritardo) la cancellazione dei dati personali che lo riguardano in presenza di uno dei seguenti motivi: a) dati personali non più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; b) revoca del consenso su cui si basa il trattamento e se non sussiste altro fondamento giuridico per il trattamento; c) opposizione al trattamento senza che sussista alcun motivo legittimo prevalente per procedere; d) trattamento illecito dei dati personali; e) cancellazione dei dati personali per adempiere un obbligo legale cui è soggetto il titolare del trattamento. Infine quanto i dati personali sono stati raccolti relativamente all offerta di servizi della società dell informazione ai minori (art. 8, co. 1). Qualora il titolare del trattamento, abbia reso pubblici dati personali, è obbligato a cancellarli. Inoltre, tenendo conto della tecnologia disponibile e dei costi di attuazione, è tenuto ad adottare tutte le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali. Quanto sopra previsto, non si applica tutte le volte in cui il trattamento sia necessario: a) per l esercizio del diritto alla libertà di espressione e di informazione; b) per l adempimento di un obbligo legale cui è soggetto il titolare del trattamento o per l esecuzione di un compito svolto nel pubblico interesse oppure nell esercizio di pubblici poteri di cui è investito il titolare del trattamento; c) per motivi di interesse pubblico nel settore della sanità pubblica; 3

4 d) per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; e) per l accertamento, l esercizio o la difesa di un diritto in sede giudiziaria. 8) Obblighi titolare del trattamento Anzitutto il titolare del trattamento deve attuare tutte le misure tecniche e organizzative adeguate per garantire (e dimostrare), che il trattamento è effettuato conformemente al Regolamento. Dette misure vanno poi periodicamente riesaminate ed aggiornate (art. 24). Tra le misure da mettere in atto vi possono essere la pseudonimizzazione e la minimizzazione (art. 25). In particolare il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, deve assicurare la predisposizione di misure tecniche e organizzative, in particolare al fine di garantire il rispetto del principio della minimizzazione dei dati. Tali misure possono includere anche la pseudonimizzazione, purché le finalità in questione possano essere conseguite in tal modo (art. 89). Nel caso di contitolarità del trattamento, l art art. 26 impone ai titolari di definire specificamente (con un atto giuridicamente valido) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all'esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente. 9) Il responsabile del trattamento E designato dal titolare del trattamento. La designazione avviene per iscritto con un contratto o altro atto giuridico conforme al diritto nazionale - e deve attribuirgli i compiti indicati al successivo art. 28. Il responsabile del trattamento, può nominare dei sub-responsabili del trattamento per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali. Il responsabile al trattamento ha l obbligo della tenuta (e dell aggiornamento) del registro dei trattamenti, tenuto in conformità alle prescrizioni dell art. 30. Il registro deve avere forma scritta anche elettronica e dev essere esibito su richiesta del Garante. Deve inoltre adottare tutte le misure idonee siano esse tecniche che organizzative - per garantire la sicurezza dei trattamenti (art. 32); designare un RPD-DPO, nei casi previsti dal regolamento o dal diritto nazionale (art. 37). 10) Valutazione d impatto Tutte le volte in cui un trattamento può comporti (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori), un rischio elevato per i diritti e le libertà delle persone interessate, il Titolare ha l obbligo di svolgere preliminarmente una valutazione di impatto. Tale valutazione deve necessariamente contenere una precisa descrizione dei trattamenti previsti e delle loro finalità (incluso l'interesse legittimo perseguito dal Titolare); una valutazione della necessità e della proporzionalità dei trattamenti in relazione alle finalità dichiarate; un'analisi dei rischi per i diritti e le libertà degli interessati; le misure che si intendono adottare per affrontare i rischi (ivi incluse le garanzie ed i meccanismi di sicurezza predisposti per la tutela dei dati personali e i diritti e libertà fondamentali). Il Titolare, ha altresì l obbligo di consultare l'autorità di controllo, qualora le misure tecniche e organizzative individuate per mitigare l'impatto del trattamento non siano ritenute sufficienti - cioè, quando il rischio residuale per i diritti e le libertà degli interessati rimanga elevato. Al riguardo si rinvia alle linee guida proposte dal Gruppo di Lavoro Articolo 29, per la valutazione d impatto, reperibili al seguente link: 4

5 11) Trasferimento dati verso Paesi terzi E consentito, senza la necessità di autorizzazioni specifiche, il trasferimento di dati personali verso un paese terzo o un organizzazione internazionale che garantiscono un livello di protezione adeguato, secondo le disposizioni dell art. 45. E necessaria, invece, l'autorizzazione del Garante in caso di utilizzo di clausole contrattuali ad-hoc (cioè non riconosciute come adeguate tramite decisione della Commissione europea) oppure accordi amministrativi stipulati tra autorità pubbliche. 12) Sanzioni (art. 83) In caso di violazione del Regolamento, ogni Autorità nazionale, può applicare delle sanzioni che siano effettive, proporzionate e dissuasive, tenendo conto di alcuni elementi quali: natura, la gravità e la durata della violazione; carattere doloso o colposo; misure adottate dal Titolare e dal Responsabile e loro grado di responsabilità; eventuali precedenti violazioni, etc. In particolare, potranno essere irrogate sanzioni amministrative pecuniarie: fino a (o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell esercizio precedente, se superiore) per le infrazioni elencate all art. 83, par. 4), lett. a), b), c); fino a (o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell esercizio precedente, se superiore), per le infrazioni indicate all art. 83, par. 5), lett. a), b), c), d), e). E, comunque, vietato il cumulo materiale delle sanzioni amministrative nel caso in cui vengano violate varie disposizione del regolamento, con comminazione dell importo più elevato tra le sanzioni amministrative pecuniarie. 13) Trattamento dati a fini giornalistici (art. 96) Per tutti i casi di trattamento effettuato a scopi giornalistici o di espressione accademica, artistica o letteraria, al fine di conciliare il diritto alla protezione dei dati personali e la libertà d espressione e di informazione agli Stati membri è fatto obbligo di prevedere esenzioni o deroghe riguardo ai seguenti capi del Regolamento: capo II (principi); capo III (diritti dell interessato); capo IV (titolare del trattamento e responsabile del trattamento); capo V (trasferimento di dati personali verso paesi terzi o organizzazioni internazionali); capo VI (autorità di controllo indipendenti) ; capo VII (cooperazione e coerenza); capo IX (specifiche situazioni di trattamento dei dati). Per reperire il testo del Regolamento e per maggiori approfondimenti, si rinvia al seguente link del Garante della Privacy: 5