Il regolamento generale sulla protezione dei dati personali si applica naturalmente anche agli Enti Locali e, in quanto Regolamento, esso è direttamente applicabile e pertanto, costituisce la fonte normativa che disciplina in Italia così come in tutta l'Unione Europea la protezione dei dati personali.
La disciplina contenuta essendo quindi adottata con un atto self executing non necessità di ulteriori norme applicabili, come nel caso delle Direttive: il Regolamento entra nell'ordinamento italiano al pari di qualsiasi altra legge dello Stato.
La necessità di adottare la forma regolamentare in ambito europeo nasce dalla consapevolezza di uniformare in tutto il territorio europeo una disciplina in un settore delicato. Il diritto alla protezione dei dati viene infatti proclamato quale diritto fondamentale delle persone fisiche prescrivendo che ogni trattamento di dati personali debba avvenire in conformità al principio di liceità, ovvero deve trovare fondamento in un'idonea base giuridica.
I fondamenti di liceità sono espressamente indicati dalla norma. In generale, il trattamento viene considerato lecito quando l'interessato esprima il consenso.
L'art. 5 del regolamento generale europeo prescrive che i dati personali debbano essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato.
Un trattamento è lecito quando ricorrono in determinati casi, quali:
Esso introduce una nuova disciplina in materia di privacy e ridisegna, in particolare, il ruolo, i compiti e le responsabilità del Titolare e del Responsabile del trattamento dei dati personali in relazione ai nuovi principi e strumenti introdotti dallo stesso e individua la nuova figura del Responsabile della protezione dei dati (DPO).
Il regolamento pone con forza l'accento sulla "responsabilizzazione" (accountability nell'accezione inglese) di titolari e responsabili – ossia, sull´adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l´applicazione del regolamento.
Il principio-chiave è «privacy by design», ossia garantire la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o di un sistema, e adottare comportamenti che consentano di prevenire possibili problematiche.
Il titolare del trattamento dei dati deve essere in grado di dimostrare di avere adottato un processo complessivo di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi e che debba dimostrare in modo positivo e proattivo che i trattamenti di dati effettuati sono adeguati e conformi al regolamento europeo in materia di privacy.
Viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.
Il primo fra tali criteri riguarda la necessità di configurare il trattamento prevedendo fin dall´inizio le garanzie indispensabili "al fine di soddisfare i requisiti" del regolamento e tutelare i diritti degli interessati.
La tenuta del registro dei trattamenti è prevista dall'articolo 30 del regolamento generale europeo, ed è considerata indice di una corretta gestione dei trattamenti.
L'onere della tenuta del registro è a carico del titolare e, se nominato, del responsabile del trattamento. La tenuta del registro è utile per una completa ricognizione e valutazione dei trattamenti svolti e quindi finalizzata anche all'analisi del rischio e ad una corretta pianificazione dei trattamenti. Per cui le autorità invitano tutti i titolari a dotarsene, eventualmente inserendo nel registro ogni elemento utile, anche oltre a quelli minimi previsti dalle norme.
Il registro deve essere tenuto in forma scritta, anche in formato elettronico, e va esibito all'autorità di controllo (Garante) in caso di verifiche.
Il registro deve contenere le informazioni previste quali il nome e i dati di contatto del titolare del trattamento, le finalità del trattamento, una descrizione delle categorie di interessati
Sono esentate dall'obbligo di tenuta del registro le imprese o le organizzazioni con meno di 250 dipendenti
L'attuazione del processo di adeguamento prevede una serie di passi:
La disciplina contenuta essendo quindi adottata con un atto self executing non necessità di ulteriori norme applicabili, come nel caso delle Direttive: il Regolamento entra nell'ordinamento italiano al pari di qualsiasi altra legge dello Stato.
La necessità di adottare la forma regolamentare in ambito europeo nasce dalla consapevolezza di uniformare in tutto il territorio europeo una disciplina in un settore delicato. Il diritto alla protezione dei dati viene infatti proclamato quale diritto fondamentale delle persone fisiche prescrivendo che ogni trattamento di dati personali debba avvenire in conformità al principio di liceità, ovvero deve trovare fondamento in un'idonea base giuridica.
I fondamenti di liceità sono espressamente indicati dalla norma. In generale, il trattamento viene considerato lecito quando l'interessato esprima il consenso.
L'art. 5 del regolamento generale europeo prescrive che i dati personali debbano essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato.
Un trattamento è lecito quando ricorrono in determinati casi, quali:
- esecuzione di un contratto;
- adempimento di un obbligo legale;
- salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;
- esecuzione di un compito di interesse pubblico;
- trattamento è necessario per il perseguimento dei un legittimo interesse del titolare del trattamento a condizione che non prevalgono interessi di diritti o libertà fondamentali dell'interessato che richiedono la protezione dei dati o quando è un minore.
Il regolamento specifica anche le condizioni per il consenso, il quale deve configurarsi come libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito presunto. In particolare questo deve essere manifestato attraverso dichiarazione o azione positiva inequivocabile.
I dati personali sono definiti come le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc
Il dato personale si pone quindi come un concetto dinamico, che va sempre riferito al contesto, nel senso che anche se un'informazione isolata non è in grado di portare all'identificazione di un individuo, il fatto che detta informazione possa essere utilizzata per l'identificazione tramite incrocio con altri dati ne determina comunque la natura di dato personale.
E' proprio il criterio dell'identificabilità mediante incrocio di informazioni, anche se detenute da diversi titolari, che inserisce i dati online (indirizzi IP, cookie) nel concetto di dato personale. Il nuovo Regolamento europeo in materia di tutela dei dati personali (General Data Protection Regulation) include espressamente nei dati personali gli identificatori online, quali numeri IP, cookie e dati di geolocalizzazione.
Accountability
Il principio-chiave è «privacy by design», ossia garantire la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o di un sistema, e adottare comportamenti che consentano di prevenire possibili problematiche.
Il titolare del trattamento dei dati deve essere in grado di dimostrare di avere adottato un processo complessivo di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi e che debba dimostrare in modo positivo e proattivo che i trattamenti di dati effettuati sono adeguati e conformi al regolamento europeo in materia di privacy.
Viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.
Il primo fra tali criteri riguarda la necessità di configurare il trattamento prevedendo fin dall´inizio le garanzie indispensabili "al fine di soddisfare i requisiti" del regolamento e tutelare i diritti degli interessati.
Registro dei trattamenti
L'onere della tenuta del registro è a carico del titolare e, se nominato, del responsabile del trattamento. La tenuta del registro è utile per una completa ricognizione e valutazione dei trattamenti svolti e quindi finalizzata anche all'analisi del rischio e ad una corretta pianificazione dei trattamenti. Per cui le autorità invitano tutti i titolari a dotarsene, eventualmente inserendo nel registro ogni elemento utile, anche oltre a quelli minimi previsti dalle norme.
Il registro deve essere tenuto in forma scritta, anche in formato elettronico, e va esibito all'autorità di controllo (Garante) in caso di verifiche.
Il registro deve contenere le informazioni previste quali il nome e i dati di contatto del titolare del trattamento, le finalità del trattamento, una descrizione delle categorie di interessati
Sono esentate dall'obbligo di tenuta del registro le imprese o le organizzazioni con meno di 250 dipendenti
Diritti dell'interessato
I diritti esercitabili dall'interessato sono i seguenti:
- Diritto alla prestazione e revoca del consenso (art. 7)
- Diritto di informazione o trasparenza (art. 12) ottenere informazioni su quali dati sono trattati dal titolare
- Diritto di accesso i (art. 13-15): di chiedere ed ottenere i dati in possesso del titolare;
- Diritto di rettifica (art. 16): ottenere l'aggiornamento o la rettifica dei dati conferiti
- Diritto di cancellazione (art. 17): ottenere la cancellazione dei dati in possesso del titolare
- Diritto di limitazione del trattamento (art. 18)
- Diritto alla portabilità dei dati (art. 20)
- Diritto di opposizione (art. 21) esercitare l'opposizione al trattamento in tutto o in parte
- Diritto di opporsi ai trattamenti automatizzati (art. 22);
- Diritto alla trasformazione in forma anonima dei dati;
- Diritto di ricevere informazioni in ordine alla violazione dei propri dati personali (art. 34)
Esercizio dei diritti. L'interessato può rivolgersi direttamente al titolare del trattamento per l'esercizio dei suoi diritti (interpello). Anche se è solo il titolare obbligato a dare riscontro, il responsabile del trattamento è tenuto a collaborare col titolare ai fini dell'esercizio dei diritti.
Diritto di informazione
Diritto di informazione. L'interessato al trattamento ha innanzitutto il diritto a ricevere una corretta informazione in relazione ai dati raccolti e trattati, alle finalità del trattamento, alla base giuridica del trattamento e ai diritti che gli sono attribuiti, nonché le modalità per esercitarli.
Tutto ciò avviene a mezzo dell'informativa, il cui scopo è informare l'interessato che così possa rendere un valido consenso.
L'informativa è una comunicazione rivolta all'interessato che ha lo scopo di informare il cittadino, anche prima che diventi interessato, sulle finalità e le modalità dei trattamenti operati dal titolare del trattamento.
Essa si pone quanto del dovere del titolare del trattamento di assicurare la trasparenza e correttezza dei trattamenti fin dalla fase di progettazione dei trattamenti stessi, e di essere in grado di comprovarlo in qualunque momento (principio di accountability).
I contenuti minimi dell'informativa sono elencati in modo tassativo dal regolamento, il titolare deve sempre
- categorie di dati trattati e finalità del trattamento
- la base giuridica del trattamento, quindi se si tratta di trattamento basato su consenso o giustificato da leggi, legittimi interessi
- se il titolare ha intenzione di utilizzare i dati per una finalità diversa da quella per la quale sono stati raccolti;
- soggetti destinatari (anche per categorie) ai quali i dati possono essere comunicati e l’ambito di diffusione dei dati medesimi
- e il titolare ha intenzione di trasferire i dati in paesi extra UE
- periodo di conservazione e i diritti dell’interessato
- i dati identificativi del titolare del trattamento e, nel caso, del DPO
- se il trattamento comporta processi decisionali automatizzati (come la profilazione)
Misure di sicurezza
Principio di sicurezza. L'art. 5, par. 1, lett. f), stabilisce che i dati personali devono essere "trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)". E' importante notare che è l'intero trattamento a dover essere sicuro, non solo i dati come prodotto finale. Ciò comporta anche che le valutazioni di sicurezza vanno sviluppate per ogni tipo di trattamento.
L'art. 32, invece, fissa alcuni principi fondamentali. In particolare le misure di sicurezza devono essere approntate "tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche".
Le misure di sicurezza, quindi, devono essere adeguate, imponendo non un'obbligazione di risultato, bensì un'obbligazione di mezzi, in modo che le misure siano ragionevolmente soddisfacenti alla luce delle conoscenze e delle prassi.
Le misure di sicurezza si dividono in due categorie: misure organizzative e misure tecniche, che, sempre secondo l'art. 32, comprendono, tra le altre:
- misura tecnica: la pseudonimizzazione e la cifratura dei dati personali;
- requisiti di sicurezza
- la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
- una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
La sicurezza, infatti, non riguarda solo l'aspetto informatico del trattamento, ma anche l'aspetto organizzativo a coprire eventi quali la sottrazione o la perdita di documenti. Le misure di sicurezza, quindi devono garantire che:
- i dati possono essere consultati, modificati, divulgati o cancellati solo dalle persone autorizzate a farlo (e che tali persone agiscono solo nell'ambito dell'autorità che gli viene concessa);
- i dati trattati sono accurati e completi in relazione al motivo per cui lo stai elaborando;
- i dati rimangono accessibili e utilizzabili, cioè, in caso di perdita, modifica o distruzione accidentale, si deve essere in grado di recuperarli e prevenire danni alle persone interessate.
Il principio di sicurezza, quindi, prevede l'obbligo di riservatezza, integrità e disponibilità dei dati.
Il Titolare del trattamento (data controller) è "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali" (art. 4. par. 1, n. 7 GDPR). In sostanza il titolare è colui che tratta i dati senza ricevere istruzioni da altri, colui che decide "perché" e "come" devono essere trattati i dati.
Il titolare del trattamento non è, quindi, chi gestisce i dati, ma chi decide il motivo e le modalità del trattamento.
Il responsabile del trattamento (nel nuovo regolamento europeo data processor) è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento (art. 4, par. 1, n. 8 GDPR).
Si tratta di un soggetto, distinto dal titolare, che deve essere in grado di fornire garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché di garantire la tutela dei diritti dell'interessato.
Il titolare del trattamento risponde della gestione effettuata dal responsabile, dovendo ricorrere a responsabili che presentino garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto le misure tecniche e organizzative che soddisfino i requisiti del Regolamento (Considerando 81 GDPR), e che le sue decisioni siano conformi alle leggi.
Il titolare del trattamento può scegliere se avvalersi o meno dell'esternalizzazione del servizio di trattamento dei dati, ma una volta optato per tale soluzione non può fare a meno di designare il soggetto in questione quale responsabile del trattamento.
Il Data Protection Officer (DPO), o anche Responsabile per la Protezione dei Dati (RPD), è una figura introdotta dal nuovo regolamento europeo in materia di protezione di dati personali.
In determinati casi disciplinati dal Regolamento, il titolare e il responsabile del trattamento designano un responsabile della protezione dei dati.
Iil DPO è un consulente esperto che va ad affiancare il titolare nella gestione delle problematiche del trattamento dei dati personali, in tal modo si garantisce che un soggetto qualificato si occupi in maniera esclusiva della materia della protezione dei dati personali, aggiornandosi sui rischi e le misure di sicurezza, in considerazione della crescente importanza e complessità del settore.
La designazione riflette il nuovo approccio del regolamento europeo (art. 39), maggiormente responsabilizzante, il DPO si pone innanzitutto come soggetto che tutela i dati personali, non gli interessi del titolare del trattamento.
E ciò appare ovvio soprattutto nell'ambito degli enti pubblici e delle aziende che effettuano un monitoraggio su larga scala degli individui.
Il DPO deve, infatti, possedere un'adeguata conoscenza delle normative e delle prassi di gestione dei dati personali, e deve adempiere alle proprie funzioni in piena autonomia ed indipendenza, e in assenza di conflitti di interesse. In tal senso non può ricoprire tale incarico un soggetto che si trova ai vertici aziendali, quindi in grado di influenzare le scelte adottate in materia di trattamento dei dati.
Il ruolo di DPO può essere affidato ad uno dei dipendenti dell'azienda ma può anche essere esternalizzato a un fornitore di servizi (libero professionista o azienda) tramite apposito contratto, nel qual caso dovrà essere nominato anche responsabile del trattamento.
- Revisione delle attuali figure:
- Istituzione del Titolare del trattamento
- del/dei Responsabile/i del/dei trattamento/i e sub responsabile/i
- del DPO data protection officer con stesura contratti ad hoc per disciplinare la distribuzione delle responsabilità
- Revisione delle procedure e della modulistica per i rapporti con il cliente/utente richiesta del consenso al trattamento dei dati, gestione procedure reclami, accesso ai dati etc
- Procedure di notifica di violazione dei dati personali (Data breach) e gestione del registro data breach
Risorse:
- Webinar IFEL - Il GDPR: le nuove regole privacy per i Comuni - 1 Parte - 2 Parte
- Quaderno ANCI 11: L’attuazione negli Enti Locali del nuovo Regolamento UE n. 679/2016 sulla protezione dei dati personali
Nessun commento:
Posta un commento