Il regolamento UE 679/2016 sulla protezione dei dati personali Principali novità Donato A. Limone, ordinario di informatica giuridica, direttore della Scuola Nazionale di Amministrazione Digitale, Università degli studi di Roma, Unitelma Sapienza Provincia di Viterbo, 29.9.2017
Dalla legge 675/96 al Dlgs 196/2003 al Regolamento UE 679/2016 Il 25 maggio 2018 entra in vigore definitivamente il regolamento UE 679/2018 Un lungo periodo di 21 anni: i dati personali sono un patrimonio personale che deve essere tutelato e protetto sia quando i trattamenti sono effettuati con mezzi automatizzati sia quando il trattamento avviene con mezzi non automatizzati. In particolare i dati sensibili hanno bisogno di un trattamento speciale ed un livello di protezione ancora più elevato. Oggi con lo sviluppo di internet e dei social network il dato personale è immesso in canali di diffusione e di utilizzazione senza le adeguate protezioni. Gli stessi soggetti interessati producono ed immettono dati personali nella rete senza pensare agli effetti di questa libera diffusione degli stessi dati. Come il fenomeno sempre più diffuso dell hakeraggio pone ulteriori problemi di protezione dei dati personali in tutti i settori (economici, sociali, sanitari, ecc.).
Il Codice Il nostro codice della protezione dei dati personali (dlgs 196/2003) ha contribuito alla formazione di una cultura giuridica e della protezione dei dati personali ma tuttavia ancora il contesto è caratterizzato dalla logica degli adempimenti (la protezione come un adempimento formale: adottando un documento sulla sicurezza, per es. o rispettando le formalità riguardo alla nomina dei titolari, dei responsabili e degli incaricati si pensa di avere risolto il problema (senza poi monitorare di continuo la reale situazione della protezione). La protezione dei dati personali è un valore, è un paradigma specifico della società dell informazione in modo particolare, sarà sempre più una condizione con la quale e nella quale dobbiamo vivere: i dati personali saranno sempre più oggetto di trattamento elettronico e quindi di diffusione ed utilizzazione in rete. Come questi dati devono essere protetti?
Il regolamento UE 173 considerando 99 articoli Non ammette rinvii: dal 25 maggio 2018 si applica Quindi prepararsi prima: (fase di adeguamento) entro il 24 maggio 2018 Il contesto nel settore pubblico: l adeguamento potrebbe essere più facile se fatto in riferimento ad amministrazioni semplificate e digitalizzate perché renderebbe più facile la gestione dei trattamenti, la loro conoscibilità, il trattamento dei rischi, ecc. Oggi il rischio e la tentazione potrebbero essere quella dell adempimento come finora avvenuto. Allora, sistemiamo il modulo della informativa e del consenso; nominiamo i responsabili; adottiamo concretamente misure di sicurezza; nominiamo il DPO (Data Protection Officer o Responsabile della Protezione dei Dati). Una lettura del regolamento anche in riferimento ad altre leggi che si occupano di anticorruzione, di antiriciclaggio (legge 231/2001) dove si prevede la gestione dei rischi, la gestione delle procedure automatizzate, la trasparenza e il tracciamento delle attività, ecc. E quindi sarebbe utile un approccio unitario al tema dei dati personali, della sicurezza, delle misure tecniche ed organizzative, ecc.
Il regolamento UE introduce alcune novità Nella logica dello sviluppo di una più forte cultura della protezione L approccio basato sul rischio e misure di accountability (responsabilizzazione) di titolari e responsabili: le decisioni sulle garanzie e la protezione sono prese direttamente ed autonomamente dai titolari e responsabili e non si attendono le indicazioni dell autorità per operare (artt.23-25) Si tratta di un passaggio particolarmente innovativo e forte che comporta l abbandono dell approccio per adempimento e richiede una preparazione ed un attenzione particolare al problema del trattamento dei dati personali.
Il criterio del data protection by default and by design (art. 25) La necessità di configurare il trattamento prevedendo fin dall inizio le garanzie indispensabili, nel rispetto del regolamento e per tutelare i diritti degli interessati, tenendo conto del contesto complessivo ove si colloca il trattamento dei rischi per i diritti e le libertà degli interessati. Quindi, necessità di un analisi preventiva ed un impegno costante dei titolari che devono potersi verificare nel concreto e sotto il profilo formale
Il criterio della gestione del rischio inerente al trattamento Quali sono i rischi nei trattamenti? Quali sono gli impatti negativi sulle libertà e diritti degli interessati? Valutazione autonoma da parte del titolare di tali rischi ed impatti e adozione di misure organizzative e tecniche (e di sicurezza) Il tutto contenuto in documenti e decisioni specifiche,il tutto tracciabile anche ai fini di controlli del Garante e di eventuali contenziosi Dopo si può procedere al trattamento L autorità interviene ex post e rispetto alle decisioni del titolare Considerazione di carattere generale: anche le norme sull anticorruzione prevedono la gestione dei rischi e allora.necessità di considerare l approccio al trattamento dei dati personali strettamente correlati al trattamento delle procedure, dei procedimenti, ecc. Un approccio unitario al problemi dei rischi
Il registro dei trattamenti Tutti i titolari e i responsabili di trattamento,eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio, devono tenere un registro delle operazioni di trattamento. Il registro ha la funzione di essere strumento fondamentale per eventuali verifiche da parte del Garante ma soprattutto svolge la funzione di definire un quadro aggiornato dei trattamenti rispetto ad una azienda o ad un ente pubblico, utile per valutazioni di vario tipo ed analisi del rischio Il registro deve avere forma scritta,anche elettronica,e deve essere esibito su richiesta del Garante I contenuti del registro sono indicati all art. 30 del regolamento ma i titolari ed i responsabili possono inserire altri informazioni Oggi i contenuti sono quelli della notifica dei trattamenti (art. 38 Codice) e possono costituire (in fase di adeguamento) la base per la formazione del registro dei trattamenti (art. 30 reg.)
Le misure di sicurezza La decisione di adottare misure di sicurezza spetta ai titolari e responsabili in ragione allo specifico contesto dell ente di riferimento Quindi, non ci possono essere più obblighi generalizzati di adozione di misure minime di sicurezza (come oggi,art. 33 Codice) Le misure devono essere adottate in relazione alla situazione di riferimento, al trattamento dei rischi Sicuramente possono essere utili l allegato B attuale del Codice e altre indicazioni fornite dal Garante ma sempre nella logica di linee guida: le decisioni restano in capo al titolare e non basterà fare la spunta di un elenco ufficiale stabilito dal Garante. Considerazione di ordine generale: la sicurezza informatica dei dati personali riguarda più in generale la sicurezza informatica dei patrimoni informativi pubblici (approccio integrato alla sicurezza)
Il responsabile della protezione dei dati (Data Protection Officer) Il DPO rientra nella logica della responsabilizzazione autonoma stabilita dal regolamento Il DPO deve essere indipendente, autorevole,competente Il DPO deve sorvegliare lo svolgimento dell impatto dei rischi Le funzioni e le competenze del DPO sono definiti dagli artt. 37,38, 39 Reg.
Contitolarità del trattamento, responsabili e sub-responsabili Ci possono più titolari del trattamento (art.26) Definire gli ambiti di responsabilità e i compiti Gli interessati possono rivolgersi indifferentemente ad uno qualsiasi dei titolari Nella nomina del responsabile è necessario dettagliare le sue responsabilità, la natura, la durata e la finalità dei trattamenti assegnati,le categorie di dati oggetto del trattamento, le misure tecniche ed organizzative (art. 28) E consentita la nomina di sub-responsabili da parte dei responsabili con la indicazione delle attività e dei trattamenti di loro competenza. Il responsabile risponde degli inadempimenti dei suresponsabili anche ai fini di risarcimento di eventuali danni causati dal trattamento. La figura dell incaricato non viene contemplata dal regolamento ma non viene esclusa.
Il consenso art.9 Deve essere esplicito Anche per il consenso basato su trattamenti automatizzati compresa la profilazione (art.22) Non deve essere necessariamente documentato per iscritto né è richiesta la forma scritta ma la forma scritta costituisce la modalità più idonea a dimostrare la inequivocabilità del consenso e il suo essere esplicito (per i dati sensibili) Il titolare deve poter dimostrare che l interessato ha prestato il consenso ad uno specifico trattamento Il consenso dei minori è valido a partire dai 16 anni
Profilazione: definizione 4) «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica;
Informativa artt.13 e 14 I contenuti della informativa sono indicati tassativamente negli articoli 13 e 14 del reg. In particolare il titolare deve sempre specificare i dati del DPO dove c è questa figura; la base giuridica del trattamento; se si trasferiscono dati verso i Paesi terzi; il periodo di conservazione dei dati;il diritto di presentare un reclamo all Autorità; se ci sono processi decisionali automatizzati (anche la profilazione) l informativa deve specificare tali processi e deve indicare la logica di tali processi e le conseguenze previste per l interessato Tempi: nel caso di dati personali non raccolti presso l interessato l informativa deve essere fornita entro 1 mese dalla raccolta oppure al momento della comunicazione dei dati Modalità dell informativa: informativa concisa, trasparente, intelligibile, facilmente accessibile con un linguaggio chiaro e semplice. Per i minori bisogna prevedere informative idonee L informativa è data per iscritto e preferibilmente in formato elettronico
Diritto di accesso art. 15 Il diritto di accesso prevede in ogni caso il diritto di ricevere una copia dei dati personali oggetto del trattamento Necessità di indicare il periodo della conservazione dei dati e le garanzie per il trasferimento dei dati verso Paesi terzi
Diritto di cancellazione (diritto all oblio) art. 17 È l attuale diritto di cancellazione rafforzata Si prevede l obbligo per i titolari che hanno reso pubblici i dati (per es. sui siti) di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati,compresi qualsiasi link, copia o riproduzione L interessato ha il diritto di chiedere la cancellazione dei propri dati, per es., anche dopo la revoca del consenso al trattamento
Diritto alla portabilità dei dati art. 20 Un nuovo diritto: non si applica ai trattamenti non automatizzati Sono portabili solo i dati trattati con il consenso dell interessato o sulla base di un contratto stipulato con l interessato e solo per i dati forniti dall interessato Il titolare deve essere in grado di trasferire direttamente i dati portabili ad un altro titolare indicato dall interessato, se tecnicamente possibile