Normativa Privacy

Guida all’applicazione della normativa privacy

Abbiamo già proposto la Guida nel 2018, nell’imminenza dell’entrata in vigore del GDPR: in questa versione aggiornata si ripropongono alcuni degli argomenti affrontati all’epoca, cui se ne aggiungono altri, il tutto rielaborato alla luce delle modifiche apportate al Codice Privacy dal D.lgs. 101/2018, di armonizzazione alla nuova normativa europea, e dei provvedimenti e degli orientamenti del Garante per la protezione dei dati personali italiano.

A completamento del quadro normativo di riferimento, si invita a consultare le tematiche, in cui si rappresentano sia gli argomenti-chiave per comprendere appieno il significato e le finalità della nuova normativa, sia gli aspetti più problematici emersi in questi primi anni di applicazione del GDPR.

In Italia – e nell’Unione Europea – l’attuale disciplina relativa alla protezione dei dati personali è contenuta nel Regolamento (UE) 2016/679 del Parlamento e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), comunemente noto con l’acronimo RGPD, o anche, nella versione anglofona, GDPR (General Data Protection Regulation).

Il Regolamento è entrato in vigore il 25 maggio 2018, a due anni dalla sua emanazione, termine che il legislatore unionale ha ritenuto necessario agli stati membri, o ad almeno alcuni di essi, per armonizzare la normativa nozionale alle nuove regole europee.

In realtà, il regolamento europeo è norma sovraordinata rispetto alla legge statale, quindi sarebbe stato direttamente applicabile alla sua entrata in vigore, senza necessità di alcun recepimento, e difatti lo sforzo richiesto dal legislatore europeo ai singoli stati membri era in effetti di intervenire sulla normativa interna allo scopo di raggiungere una base minima comune a tutti gli stati e in armonia con i principi dettati a livello unionale.

Ciò è avvenuto in Italia con il Decreto Legislativo 10 agosto 2018, n. 101, recante Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

Al momento dell’emanazione del GDPR, in Italia la materia della privacy era già disciplinata dal Decreto Legislativo 30 giugno 2003, n.196 recante il Codice in materia di protezione dei dati personali (noto come Codice Privacy), esso ha subito, perciò, il processo di armonizzazione alla nuova normativa introdotta dal GDPR, ad opera del Decreto Legislativo 10 agosto 2018, n. 101.

In realtà, il legislatore italiano del 2018 ha abrogato o riscritto tutti gli articoli o le parti di articoli del D.Lgs. 196/2003 che risultavano confliggenti con la nuova disciplina del GDPR, mantenendo le disposizioni che regolamentano materie tipiche del nostro ordinamento, come il settore sanitario e il settore dell’istruzione o il sistema delle sanzioni penali.

Le considerazioni che hanno portato il legislatore europeo all’emanazione del GDPR si fondano su un principio generale: per il buon funzionamento del mercato interno è necessario che la libera circolazione dei dati personali all’interno dell’Unione non sia limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (Considerando 13).

L’evoluzione tecnologica e la globalizzazione hanno aumentato molto la circolazione di dati personali: sempre più frequentemente le persone fisiche (i privati) mettono in circolazione su scala mondiale informazioni personali che li riguardano. Sia le imprese private che le autorità pubbliche utilizzano quotidianamente quantità massive di dati personali nello svolgimento delle loro attività.

Agli inizi del nuovo millennio, le considerazioni che hanno portato all’emanazione del Regolamento partivano dalla constatazione della diffusa incertezza delle persone fisiche circa la sicurezza delle operazioni online: ciò avrebbe rappresentato un freno allo sviluppo del mercato digitale e delle attività economiche online.

Si è posta, così, l’esigenza di garantire alle persone fisiche il controllo sui dati personali, al fine di generare un clima necessario a consentire il concreto sviluppo dell’economia digitale nel mercato interno dell’Unione.

Si è ritenuto che una disciplina minima armonizzata comune relativa alla protezione dei dati personali avrebbe favorito il rafforzamento della fiducia delle persone fisiche relativamente alla circolazione dei loro dati personali all’interno dell’Unione (Considerando 5/10).

Si giunge, così, all’emanazione del GDPR, che esordisce nel primo Considerando affermando che la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale, e ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. Tale diritto deve, tuttavia, essere confrontato con altri diritti fondamentali, in ossequio al principio di proporzionalità.

Da un lato, il diritto alla protezione dei dati personali, riconosciuto come rientrante tra i diritti e le libertà fondamentali delle persone fisiche, e perciò, meritevole di particolare tutela, dall’altro, però, un altro diritto considerato dal legislatore europeo meritevole di pari tutela: il diritto alla libera circolazione dei dati personali nell’Unione, che non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (art. 1).

Tutto l’articolato che segue, quindi, si basa sul necessario contemperamento tra questi due diritti fondamentali.

Una volta chiarito l’obiettivo del legislatore europeo, di garantire la libera circolazione dei dati personali al fine di favorire lo sviluppo del mercato digitale all’interno dell’Unione, pur tenendo in debito conto la necessità di garantire adeguata tutela ai diritti fondamentali delle persone fisiche, tra cui, appunto, il diritto alla protezione dei dati personali, risulta chiaro che il GDPR si applica ai trattamenti di dati personali delle persone fisiche effettuato nell’ambito dello svolgimento di una attività commerciale o professionale, sempre che il soggetto che svolge l’attività commerciale o professionale (il titolare o il responsabile del trattamento):

  • sia stabilito in uno stato membro, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione;
  • non sia stabilito nell’Unione ma sia comunque soggetto all’applicazione del diritto di uno stato membro in virtù del diritto internazionale;

non sia stabilito nell’Unione ma tratti dati di persone fisiche che si trovano nell’Unione per offrire loro beni o prestazioni di servizi o effettui il monitoraggio del loro comportamento svolto all’interno dell’Unione.

Il GDPR non si applica quando il trattamento di dati personali è effettuato:

  1. a) da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale (Considerando 18). Anche nell’ambito dei Social Network e di qualsiasi altra attività online effettuata da una persona fisica, il GDPR si applica soltanto nei rapporti tra l’utente persona fisica e l’impresa fornitrice del servizio o qualora il titolare del trattamento sia un’impresa commerciale o un professionista;
  2. b) dalle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse, in quanto tali attività sono oggetto di uno specifico atto dell’Unione;
  3. c) dalle autorità giurisdizionali e le altre autorità giudiziarie, che sono regolamentate da normative specifiche, in funzione della necessità di salvaguardare l’indipendenza della magistratura;
  4. d) dagli stati membri in attuazione di disposizioni specifiche di politica estera e sicurezza comune;
  5. e) da istituzioni, organi, uffici e agenzie dell’Unione, cui si applica regolamento (CE) n. 45/2001;

f) a tutte le attività che non rientrano nell’ambito di applicazione del diritto dell’Unione.

Le fattispecie meritevoli di tutela che non rientrano nell’ambito di applicazione del GDPR sono disciplinate da altre normative europee o dal diritto degli stati membri.

Per comprendere correttamente il significato e la normativa dettata dal GDPR e farne corretta applicazione è opportuno conoscere il significato dei termini specifici utilizzati dal legislatore europeo.

«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identifi­cativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale

Alcuni esempi: un indirizzo email, un’immagine fotografica, il codice fiscale, un numero telefonico, un indirizzo IP, una targa automobilistica, un numero di matricola, i dati relativi all’ubicazione.

«dati personali particolari o sensibili»: tutte le informazioni delicate che possono incidere sulla riservatezza e la dignità di una persona. Il legislatore europeo riconosce a queste categorie di dati una tutela più forte, disponendo un generale divieto di trattamento ad eccezione di un elenco tassativo di ipotesi o in presenza del consenso informato dell’interessato.

Sono dati personali particolari o sensibili ai sensi dell’art. 9 GDPR quelli che rivelano: l’origine razziale o etnica; le convinzioni religiose o filosofiche; le opinioni politiche o l’appartenenza sindacale; le condizioni relative alla salute o alla vita sessuale; i dati genetici o biometrici; l’orientamento sessuale.

Alcuni esempi: una notizia sullo stato di salute di un collega ammalato; una busta paga; fattori di identificazione univoca (iride, voce, viso, impronte digitali); informazioni univoca sulla salute o sulla fisiologia di una persona.

«trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

«consenso dell’interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.

«titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri (art. 4, par. 1, n. 7), GDPR); 

 

«responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento (art. 4, par. 1, n. 8), GDPR);

 

«soggetto designato al trattamento»: la persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal responsabile del trattamento e che opera sotto la loro autorità. In tali casi il titolare o il responsabile del trattamento individua le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta ((art. 4, par. 1, n. 7), GDPR e art. 2-quaterdecies, Codice Privacy).

 

«interessato»: la persona fisica identificata o identificabile cui il dato personale si riferisce o è ad essa riconducibile, rendendola per tal via identificabile ((art. 4, par. 1, n. 1), GDPR).

 

«Responsabile per la Protezione dei Dati – RPD» o Data Protection Officer – DPO, nella versione in inglese,

è il soggetto (persona fisica o ente) designato dal titolare del trattamento o dal responsabile del trattamento per svolgere funzioni consultive, formative e informative sull’applicazione del GDPR. Dotato di completa autonomia rispetto all’organizzazione che lo ha nominato, è il soggetto di riferimento per l’Autorità di controllo, per attività interlocutorie o di contatto. Al DPO possono rivolgersi gli interessati nell’esercizio dei diritti loro riconosciuti.

Tutte le normative della privacy si basano su cinque principi fondamentali, cui è necessario far continuamente riferimento per verificare la legittimità di ogni singolo trattamento di dati personali, cui si aggiunge il fulcro di tutto il sistema privacy: la c.d. «accountability», o «responsabilizzazione», nella versione italiana.

 

Principio di responsabilizzazione: il titolare del trattamento deve mettere in atto misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento.

 

Principio di necessità: il titolare del trattamento si deve limitare ai soli trattamenti che risultino «fondamentali» per il perseguimento delle proprie finalità. Il trattamento deve essere giustificato dalla effettiva necessità legata al perseguimento del fine «istituzionale».

 

Principio di finalità, pertinenza e non eccedenza: i dati raccolti devono essere trattati per le finalità per le quali sono stati raccolti, la raccolta deve avere uno scopo determinato ed esplicito, ogni altro trattamento svolto con quei dati è eccedente.

 

Principio di legittimità, correttezza e trasparenza: l’attività di raccolta dei dati personali deve essere dichiarata, specificando quali sono le finalità e le procedure dei trattamenti. In ogni caso i fini perseguiti devono essere legittimi e non devono violare i diritti dell’interessato.

 

Principio di proporzionalità: deve esistere una proporzionalità tra i dati trattati e gli strumenti utilizzati nel trattamento e le finalità che si perseguono. I flussi dei dati devono essere giustificati e proporzionati in base alle finalità da perseguire.

 

Principio di minimizzazione: i dati personali raccolti devono essere nel minor numero possibile e devono essere adeguati, pertinenti e limitati alle finalità. È vietata ogni raccolta «massiva» e ogni conservazione immotivata dei dati raccolti.

Nel momento in cui i dati personali sono raccolti presso l’interessato (art. 13 GDPR) o al più entro un mese dal loro ottenimento, nel caso in cui i dati non siano ottenuti presso l’interessato (art. 14 GDPR), il titolare del trattamento deve fornire all’interessato le informazioni minime che seguono:

  1. a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
  2. b) i dati di contatto del responsabile della protezione dei dati (c.d. DPO), ove applicabile;
  3. c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
  4. d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
  5. e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  6. f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale;
  7. g) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  8. h) il diritto dell’interessato di esercitare i diritti di cui agli artt. 15-22 GDPR (c.d. diritti degli interessati) (link)
  9. i) il diritto di proporre reclamo a un’autorità di controllo (art. 77 GDPR);
  10. l) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
  11. m) se attuato, l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’art. 22, par. 1 e 4;
  12. n) se i dati non sono stati ottenuti direttamente dall’interessato, la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico.

Se il titolare vuole usare i dati che ha già per un nuovo e diverso trattamento deve prima fornire adeguata l’informativa all’interessato.

L’obbligo di dare idonea informativa all’interessato non sussiste in tutti i casi in cui l’interessato dispone già delle informazioni.

Diritto di accesso (art. 15 GDPR)

L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano.

Le richieste effettuate nell’esercizio del diritto di accesso non devono essere motivate.

L’interessato deve poter esercitare tale diritto facilmente e a intervalli ragionevoli, per essere consapevole del trattamento e verificarne la liceità.

Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento.

In caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi.

Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’inte­ressato, le informazioni sono fornite in un formato elettronico di uso comune.

Il diritto dell’interessato di ottenere una copia dei dati personali oggetto del trattamento (art. 15, par. 3 GDPR) non deve ledere i diritti e le libertà altrui. Tra i diritti e le libertà altrui che non devono essere lesi nell’esercizio del diritto di accesso sono compresi il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d’autore che tutelano il software. Tuttavia, tali considerazioni non devono condurre a un diniego a fornire all’interessato tutte le informazioni.

Se il titolare del trattamento tratta una notevole quantità d’informazioni riguardanti l’interessato, il titolare in questione deve poter richiedere che l’interessato precisi, prima che siano fornite le informazioni, l’informazione o le attività di trattamento cui la richiesta si riferisce.

Il titolare del trattamento deve adottare tutte le misure ragionevoli per verificare l’identità di un interessato che chieda l’accesso, in particolare nel contesto di servizi online e di identificativi online.

Il titolare del trattamento non deve conservare dati personali al solo scopo di poter rispondere a potenziali richieste.

L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo.

Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare i dati personali senza ingiustificato ritardo, se sussiste uno dei motivi seguenti:

  1. i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
  2. l’interessato revoca il consenso su cui si basa il trattamento, conformemente a quanto previsto all’art. 6, par. 1, lett. a), o all’art. 9, par. 2, lett. a), e se non sussiste altro fondamento giuridico per il trattamento;
  3. l’interessato si oppone al trattamento ai sensi dell’art. 21, par. 1 (trattamento ai sensi di art. 6 par. 1 lett. e) o f)), e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’art. 21, par. 2 (trattamento per finalità di marketing diretto);
  4. i dati personali sono stati trattati illecitamente;
  5. i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
  6. i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’art. 8, par. 1.

Il diritto alla cancellazione è in particolare rilevante se l’interessato ha prestato il proprio consenso quando era minore, e quindi non pienamente consapevole dei rischi derivanti dal trattamento, e vuole successivamente eliminare tale tipo di dati personali, in particolare da internet.

Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione, adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.

In ogni caso, il diritto alla cancellazione non può essere esercitato da parte dell’interessato nella misura in cui il trattamento sia necessario:

  1. a) per l’esercizio del diritto alla libertà di espressione e di informazione;
  2. b) per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  3. c) per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell’art. 9, par. 2, lett. h) e i), e dell’art. 9, par. 3;
  4. d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all’art. 89, par. 1, nella misura in cui il diritto di cancellazione rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento;

e) per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

L’interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:

  1. a) l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali;
  2. b) il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;
  3. c) benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
  4. d) l’interessato si è opposto al trattamento ai sensi dell’art. 21, par. 1 (trattamento ai sensi dell’art. 6 par. 1 lett. e) e f)) in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.

Se il trattamento è limitato a norma del par. 1, tali dati personali sono trattati esclusivamente, alternativamente per:

  • la loro conservazione
  • per altre finalità solo con il consenso dell’interessato
  • per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria
  • per tutelare i diritti di un’altra persona fisica o giuridica
  • per motivi di interesse pubblico rilevante dell’Unione o di uno Stato membro.

Il titolare del trattamento deve informare l’interessato che ha ottenuto la limitazione del trattamento prima che la limitazione sia revocata.

Il legislatore europeo fornisce alcuni esempi di modalità per limitare il trattamento dei dati personali:

  • trasferire tempora­neamente i dati selezionati verso un altro sistema di trattamento;
  • rendere i dati personali selezionati inacces­sibili agli utenti;
  • rimuovere temporaneamente i dati pubblicati da un sito web.
  • negli archivi automatizzati, la limitazione del trattamento dei dati personali deve in linea di massima essere assicurata mediante dispositivi tecnici in modo tale che i dati personali non siano sottoposti a ulteriori trattamenti e non possano più essere modificati. Il sistema deve indicare chiaramente che il trattamento dei dati personali è stato limitato.

Il titolare del trattamento ha l’obbligo di comunicare a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato, e di comunicare all’interessato tali destinatari qualora l’interessato lo richieda.

L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti se:

  1. a) il trattamento si basi sul consenso ai sensi dell’art. 6, par. 1, lett. a), o dell’art. 9, par. 2, lett. a), o su un contratto ai sensi dell’art. 6, par. 1, lett. b);
  2. b) il trattamento sia effettuato con mezzi automatizzati.

Il diritto alla portabilità dei dati:

  • non pregiudica il diritto alla cancellazione e
  • non si applica al trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.

Se è tecnicamente fattibile l’interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro.

L’esercizio del diritto alla portabilità dei dati non deve pregiudicare il diritto dell’interessato di ottenere la cancellazione dei dati personali e le limitazioni di tale diritto e non deve segnatamente implicare la cancellazione dei dati personali riguardanti l’interessato forniti da quest’ultimo per l’esecuzione di un contratto, nella misura in cui e fintantoché i dati personali siano necessari all’esecuzione di tale contratto.

Il diritto alla portabilità dei dati non deve ledere i diritti e le libertà altrui, in particolare quando un certo insieme di dati personali riguarda più di un interessato.

L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’art. 6, par. 1, lett. e) o f), compresa la profilazione sulla base di tali disposizioni.

In tal caso il titolare del trattamento ha il generale obbligo di astenersi dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

Se il trattamento è effettuato per finalità di marketing diretto l’interessato ha il diritto di opporsi in qualsiasi momento a tale trattamento, compresa la profilazione, nella misura in cui sia connessa a tale marketing diretto: in tal caso i dati personali non sono più oggetto di trattamento per tali finalità.

 

Il diritto di opposizione deve essere esplicitamente portato all’attenzione dell’interessato e deve essere presentato chiaramente e separatamente da qualsiasi altra informazione al più tardi al momento della prima comunicazione con l’interessato.

L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automa­tizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significa­tivamente sulla sua persona.

La profilazione è una forma di trattamento automatizzato dei dati personali che valuta aspetti personali concernenti una persona fisica, producendo effetti giuridici che la riguardano o incidendo in modo analogo significativamente sulla sua persona, in particolare al fine di analizzare e prevedere aspetti riguardanti:

  • il rendimento professionale
  • la situazione economica
  • la salute
  • le preferenze o gli interessi personali
  • l’affidabilità o il contemperamento
  • l’ubicazione o gli spostamenti.

Esclusioni: il principio generale enunciato sopra enunciato non si applica nel caso in cui la decisione

  1. a) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
  2. b) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato;
  3. c) si basi sul consenso esplicito dell’interessato.

Nei casi di cui alle lett. a) e c), il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.

I trattamenti basati su processi decisionali automatizzati e sulla profilazione non devono mai riguardare minori.

Nel caso in cui l’interessato decida di esercitare anche uno soltanto dei diritti che gli sono riconosciuti, il titolare del trattamento ha un mese di tempo per fornire adeguata risposta, termine estendibile fino a tre mesi in casi di particolare complessità.

Il titolare del trattamento deve in ogni caso fornire un riscontro all’interessato entro il primo termine di un mese dalla richiesta, sia nel caso in cui intenda richiedere una proroga motivata di detto termine, che in caso di diniego.

L’esercizio dei diritti è gratuito per l’interessato, con alcune eccezioni:

– se si tratta di richieste manifestamente infondate, eccessive o anche ripetitive (art.12, par. 5),

– se sono chieste più “copie” dei dati personali nel caso del diritto di accesso (art. 15, par. 3). In quest’ultima ipotesi, il titolare deve tenere conto dei costi amministrativi sostenuti.

In tali casi il titolare del trattamento stabilisce in autonomia l’ammontare dell’eventuale contributo da chiedere.

Il riscontro all’interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità. Può essere dato oralmente solo se lo richiede lo stesso interessato (art. 12, par. 1, e art. 15, par. 3).

La risposta fornita all’interessato deve essere comprensibile, concisa, trasparente e facilmente accessibile, in un linguaggio semplice e chiaro.

Il titolare del trattamento deve agevolare l’esercizio dei diritti da parte dell’interessato, adottando ogni misura (tecnica e organizzativa) a ciò idonea.

Benché sia il solo titolare a dover dare riscontro in caso di esercizio dei diritti (artt. 15-22), il responsabile è tenuto a collaborare con il titolare ai fini dell’esercizio dei diritti degli interessati (art. 28, par. 3, lett. e).

Il titolare ha il diritto di chiedere informazioni necessarie a identificare l’interessato, e quest’ultimo ha il dovere di fornirle, secondo modalità idonee (si vedano, in particolare, art. 11, par. 2 e art. 12, par. 6).

Il Registro dei trattamenti è regolamentato all’art. 30 GDPR: sull’applicazione in Italia di questa disposizione è intervenuto il Garante Privacy con le FAQ pubblicate sul sito istituzionale l’8 ottobre 2018.

Sono tenuti a redigere il Registro dei trattamenti sia i titolari del trattamento che i responsabili del trattamento.

In particolare, nel settore privato, i soggetti obbligati sono così individuabili:

  • imprese o organizzazioni con almeno 250 dipendenti e
  • qualunque titolare o responsabile
  1. che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
  2. che effettui trattamenti non occasionali;
  3. che effettui trattamenti delle categorie particolari di dati di cui agli artt. 9 e 10 GDPR.

Esempi del Garante: esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ecc.).

 

Al di là dell’obbligo normativo, il Garante raccomanda la redazione del Registro dei trattamenti anche ai titolari e ai responsabili del trattamento per i quali non è previsto l’obbligo, anche alla luce del Considerando 82 del GDPR, dichiarandolo «uno strumento che, fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso».

Il Registro dei trattamenti deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere.

Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute.

In caso di violazione dei dati personali, nella versione inglese Data breach (art. 33 GDPR), con l’unica eccezione del caso in cui sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche, il titolare del trattamento ha l’obbligo di notificare la violazione all’autorità di controllo senza ingiustificato ritardo, se possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza

Se la notifica all’autorità di controllo non viene effettuata entro 72 ore devono essere indicati i motivi del ritardo.

Nel caso in cui sia il responsabile del trattamento a venire a conoscenza della violazione, ha l’obbligo di informarne il titolare del trattamento senza ingiustificato ritardo.

Se la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche il titolare del trattamento ha l’obbligo di comunicare senza ingiustificato ritardo il Data breach, oltre che al Garante, anche agli interessati, indicando anche le misure adottate per porre rimedio e limitare gli effetti negativi della violazione.

Oltre all’obbligo di notifica delle informazioni ora elencate, il titolare del trattamento ha l’obbligo di documentare qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio allo scopo di consentire all’autorità di controllo di verificare il rispetto della normativa.

Il Regolamento europeo interviene in ambito delle sanzioni regolamentando le sanzioni di tipo amministrativo pecuniario, rimettendo agli stati membri la competenza a disciplinare le sanzioni diverse dalle sanzioni amministrative pecuniarie, incluse le sanzioni di tipo penale.

 

Le sanzioni amministrative pecuniarie

Le sanzioni amministrative pecuniarie devono essere in concreto effettive, proporzionate e dissuasive, per evitare che imprese di grandi dimensioni possano considerare le possibili sanzioni una voce di bilancio nel valutare i loro profitti

Nel fissare l’ammontare di una sanzione amministrativa si deve tenere conto della natura, della gravità e della durata della violazione, del carattere doloso o colposo e del grado di cooperazione con l’autorità di controllo. Le sanzioni amministrative pecuniarie possono arrivare fino a 10.000.000 di Euro o fino al 2% del fatturato mondiale annuo dell’impresa, che salgono fino a 20.000.000 di Euro o fino al 4% del fatturato mondiale annuo nel caso di violazioni che riguardano i principi base del trattamento o le condizioni relative al consenso o ai diritti dell’interessato.

 

Le sanzioni penali

Il Codice italiano prevede una serie di sanzioni penali collegate alle inosservanze più gravi riguardanti la protezione dei dati personali, come nel caso di violazioni relative alle comunicazioni indesiderate in cui, salvo che il fatto costituisca un più grave reato, è prevista la reclusione da sei mesi a un anno e sei mesi.

Il Regolamento prevede che chiunque subisca un danno materiale o immateriale causato dalla violazione dei dati personali ha diritto ad ottenere un risarcimento del danno dal titolare del trattamento e/o dal responsabile del trattamento, a meno che questi dimostrino che l’evento dannoso non è loro in alcun modo imputabile.

 

 

Torna in alto