Applicazione del nuovo Regolamento UE 2016/679 : check list degli adempimenti necessari
Avv. Mariaelena Giorcelli
Redattore
A meno di tre mesi dall’applicazione del nuovo Regolamento UE 2016/679 sulla protezione dei dati personali (nel seguito: “Regolamento Privacy”) occorre, per chi non l’avesse ancora fatto, adeguarsi alle previsioni in esso contenute.
Un’importante innovazione portata dal nuovo Regolamento Privacy è costituito dall’onere di “responsabilizzazione” che incombe sul titolare del trattamento. Nel contesto del nuovo Regolamento Privacy il titolare del trattamento dei dati è infatti tenuto non solo a mettere in atto le misure tecniche ed organizzative idonee a garantire il rispetto del Regolamento, ma deve essere in grado di dimostrare di aver adempiuto a tale obbligo (cfr. art. 24 Regolamento Privacy). L’azienda dovrà essere in grado di documentare le valutazioni compiute per adeguarsi al Regolamento Privacy (ad esempio, salvo il caso in cui sia evidente che l’impresa non è tenuta a nominare un Responsabile della Protezione dei dati (RPD/DPO), la stessa dovrà poter documentare le valutazioni compiute ed i fattori pertinenti esaminati che l’hanno portata a non procedere alla relativa nomina).
Qualora l’impresa abbia già adottato tutte le misure previste dal Dlg.vo 30/06/2003 n. 196 (Codice Privacy) non dovrebbe essere arduo adeguarsi alle nuove previsioni del Regolamento.
Le principali verifiche da compiere per valutare lo stato di adeguamento al nuovo Regolamento Privacy sono riassunte nella seguente check-list:
⧠ Inventario dei dati trattati
Fare un inventario dei dati trattati dall’impresa titolare del trattamento è il primo passo per individuare l’attuale livello di protezione dei dati trattati e decidere le azioni necessarie per conformarsi al Regolamento Privacy. Suddetto inventario dovrà distinguere la tipologia dei dati trattati (ad es. se si tratta di dati comuni e/o particolari c.d. “sensibili”), le modalità di acquisizione dei dati e le modalità di trattamento.
⧠ L’informativa all’interessato
Sulla base di quanto è emerso dall’inventario occorrerà verificare se, in relazione ai dati trattati, sia stata data un’adeguata informativa e sia stato raccolto il consenso laddove necessario. Gli attuali modelli di informativa andranno rivisti in considerazione dell’elencazione delle informazioni da dare agli interessati previste agli art. 13 e 14 del Regolamento Privacy.
L’informativa, nel caso di dati raccolti presso l’interessato, dovrà essere resa nel momento in cui i dati sono ottenuti e contenere obbligatoriamente le seguenti informazioni (cfr. art. 13 Regolamento Privacy):
- l’identità del titolare del trattamento e del suo rappresentante (se necessario) e i relativi dati di contatto;
- i dati di contatto del responsabile della protezione dei dati (se nominato);
- le finalità del trattamento a cui sono destinati i dati personali nonché la base giuridica del trattamento;
- gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
- l’eventuale trasferimento dei dati personali ad un paese terzo, l’esistenza di una decisione di adeguatezza della Commissione sul livello di protezione dei dati nel paese terzo o il riferimento alle garanzie appropriate a tutela dei dati (per un approfondimento sul trasferimento dei dati all’estero si veda la precedente informativa pubblicata su questo sito nel mese di luglio 2017);
- il periodo di conservazione dei dati personali o i criteri utilizzati per determinare tale periodo;
- il diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali, la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento , oltre al diritto alla portabilità dei dati;
- il diritto dell’interessato di proporre reclamo a un’autorità di controllo;
- se la comunicazione dei dati è un obbligo legale oppure se necessaria per la conclusione e/o esecuzione di un contratto e se il conferimento dei dati sia obbligatorio e quali siano le possibili conseguenze della mancata comunicazione dei dati;
- se l’interessato esprime il consenso per una o più specifiche finalità, deve essere informato del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
- l’esistenza di un processo decisionale automatizzato, compresa la profilazione, e informazioni relative alla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato;
- qualora ricorra l’ipotesi di cui all’art 6 lettera f) del regolamento (trattamento sia necessario per il perseguimento di un legittimo interesse del titolare del trattamento o di terzi, salvo che prevalgano i diritti e le libertà fondamentali dell’interessato ed in particolare salvo il caso in cui l’interessato sia un minore) occorrerà individuare i legittimi interessi perseguiti dal titolare;
Qualora poi si intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento il titolare deve fornire all’interessato informazioni in merito a tale diversa finalità e conseguentemente integrare l’informativa comunicata.
Nel caso di dati non raccolti presso l’interessato, occorrerà informarlo del trattamento entro un termine ragionevole e comunque entro un mese dalla raccolta, fornendo oltre alle informazioni di cui sopra anche l’indicazione della fonte da cui hanno origine i dati raccolti e le categorie dei dati in questione (cfr. art. 14 Regolamento Privacy).
⧠ Consenso
Anche le modalità di raccolta del consenso vanno riviste alla luce del nuovo Regolamento Privacy.
Il consenso al trattamento deve essere espresso e specifico e la richiesta di consenso deve, a sua volta, essere chiara e concisa. Pertanto ai fini della legittimità del consenso sarà necessario che esso sia stato preceduto da un’informativa adeguata.
Nel caso di consenso prestato attraverso strumenti elettronici il Regolamento prevede che lo stesso possa essere validamente fornito selezionando un’apposita casella in un sito web. Non sono dunque consentite manifestazioni di consenso attraverso caselle preselezionate (opt-in).
Peraltro, qualora il trattamento abbia più finalità il consenso dovrebbe essere prestato specificatamente per tutte queste diverse finalità.
In alternativa all’acquisizione, del consenso il titolare del trattamento dovrà essere in grado di dimostrare che ricorre una delle ipotesi di uso legittimo dei dati (ad es. nel caso in cui il trattamento sia necessario per eseguire gli obblighi derivanti da un contratto e all’interessato sia stata comunque resa un’idonea informativa).
Nel valutare se il consenso è stato liberamente prestato, si terrà in massima considerazione l’eventualità, tra le altre, che l’esecuzione del contratto, compresa la prestazione di un servizio sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto. Pertanto non sarà possibile ad es. condizionare l’esecuzione di un contratto di vendita alla prestazione del consenso al trattamento di dati personali per una finalità diversa ad es. per attività di profilazione e/o marketing.
Quanto ai consensi raccolti prima del 25 maggio 2018, questi restano validi se possiedono tutte le caratteristiche individuate dal Regolamento, altrimenti, se si intende continuare il trattamento anche oltre tale data, sarà opportuno adoperarsi sin d’ora per ottenere un valido consenso da parte dell’interessato.
⧠ Misure di sicurezza tecniche
Sulla base dell’inventario dei dati trattati dal titolare, occorrerà verificare se gli strumenti tecnici adottati siano idonei assicurare la protezione dei dati ed il rispetto dei diritti degli interessati. In particolare dovrà essere valutata attentamente la gestione tecnica dell’archivio dati onde consentire la conservazione, l’aggiornamento nonché la tempestiva eliminazione dei dati, in caso di richiesta dell’interessato e/o nel caso la conservazione non sia più legittima. Occorrerà verificare l’adozione di idonee misure di sicurezza a protezione dell’integrità stessa dei dati nonché l’adozione di misure tecniche volte a escludere l’accesso a soggetti non autorizzati (ad es. prevedendo profili di autentificazione). Dovrà inoltre essere messa in atto una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative adottate.
⧠ Valutazione dell’impatto sulla protezione dei dati
In applicazione del principio di responsabilizzazione dei dati, il Titolare dovrà effettuare una attenda valutazione dei rischi del trattamento per i diritti degli interessati.
Tale valutazione dovrà tener conto dei trattamenti previsti, delle finalità del trattamento, della necessità e proporzionalità del trattamento, della natura dei rischi del trattamento nonché dell’adeguatezza delle le misure di sicurezza perviste per affrontare tali rischi, e garantire il rispetto dei diritti degli interessati.
In particolare, il Regolamento prevede che debba essere senz’altro fatta una valutazione d’impatto in caso di trattamento su larga scala di dati sensibili o dati giudiziari relativi a condanne penali o reati, nonché nel caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico, o ancora nel caso di valutazione sistematica e globale di aspetti personali relativi a persone fisiche basata su un trattamento automatizzato e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone (ad esempio in caso di profilazione delle scelte di consumo della propria clientela). Le Autorità di Controllo, in Italia, il Garante Privacy, possono inoltre elencare ulteriori trattamenti che presentano rischi per i diritti degli interessati in relazione ai quali dovrà essere fatta una valutazione di impatto.
Laddove, a seguito di tale valutazione, risulta che il trattamento comporta un alto rischio per la tutela dei diritti degli interessati, il titolare, dovrà consultare l’Autorità di Controllo competente per verificare l’adeguatezza della valutazione e delle misure di sicurezza adottate.
⧠ Organizzazione interna
Occorre inoltre verificare se la propria struttura interna sia organizzata in maniera idonea al fine di assicurare la protezione dei dati ad es, definendo le rispettive responsabilità, nominando eventuali responsabili del trattamento. Ai sensi del nuovo Regolamento Privacy, la nomina del responsabile del trattamento deve essere fatta per iscritto e prevedere dei precisi obblighi di contenuto elencati all’art. 28 del Regolamento Privacy. Sarà dunque necessario in caso di nomina di un responsabile del trattamento verificare che la documentazione contrattuale sia conforme alle prescrizioni del Regolamento Privacy. Sia il responsabile dei dati sia i singoli soggetti incaricati del trattamento dovranno essere formati in modo tale da rispettare le modalità di trattamento decise dal titolare onde garantire effettivamente il rispetto del Regolamento Privacy.
⧠ Obbligo di nominare un Responsabile della Protezione dei dati (RPD o anche “DPO”)
Occorre verificare se l’impresa sia obbligata a nominare un Responsabile della Protezione dei dati (Data Protection Officer). Il DPO è tenuto a sorvegliare l’osservanza del Regolamento Privacy e a informare e fornire consulenza al titolare del trattamento e ai suoi dipendenti che eseguono il trattamento in merito all’osservanza degli obblighi prescritti dal Regolamento Privacy. Inoltre funge da punto di contatto tra il titolare e l’Autorità di Controllo.
Ai sensi dell’art. 37 del Regolamento Privacy sono obbligate a nominare un DPO tutte le imprese pubbliche che trattano dati, nonché le imprese private:
- qualora le attività principali del titolare del trattamento, per sua natura, ambito di applicazione e/o finalità, richieda il monitoraggio regolare e sistematico degli interessati sul larga scala; oppure
- qualora le attività principali del titolare del trattamento consistono nel trattamento su larga scala, di categorie particolari di dati personali (si tratta dei dati c.d. “sensibili” relativi all’origine razziale, opinioni politiche, convinzioni religiose, dati biometrici che permettono di identificare una persona fisica nonché dati relativi alla salute o alla vita sessuale di una persona) o di dati relativi a condanne penali e a reati.
Salvo il caso in cui sia evidente che non sussiste tale obbligo, l’impresa dovrà valutare con cautela se la propria attività principale possa rientrare nell’obbligo suddetto (la necessità di nominare un DPO si ravvisa ad esempio nel caso di impresa che svolga attività di digital marketing che comporti una costante profilazione della clientela).
Nel caso sia obbligatorio provvedere alla nomina del DPO occorrerà, decidere se nominare un proprio dipendente oppure un soggetto esterno, ed in ogni caso provvedere alla nomina per iscritto definendone i relativi compiti (cfr. 39 Regolamento Privacy).
Conclusioni
Tale elencazione rappresenta solo una parte delle verifiche da effettuare per valutare l’adeguatezza della propria organizzazione alle prescrizioni del Regolamento Privacy. Ovviamente è raccomandabile, in questi ultimi mesi che precedono l’applicazione del Regolamento Privacy svolgere una verifica approfondita di tutti i dati trattati e delle modalità del trattamento al fine di effettuare gli adeguamenti necessari e poter dimostrare, a partire dal 25 maggio 2018, la propria compliance al Regolamento Privacy.
Avv. Giorcelli Mariaelena