Le nuove norme sulla privacy riguardano, come soggetti passivi, ciascuno di noi. Mentre, come soggetti attivi, sono chiamate a recepirle tutte quelle realtà che in un qualunque modo raccolgono, trattano, archiviano i dati personali di terzi: dagli studi di amministrazione condominiale a quelli tecnici, fino alle aziende e ai team di professionisti che operano nei singoli comparti. Si tratta delle novità introdotte dal Regolamento europeo in materia di protezione dei dati personali (Regolamento UE/2016/679), la cui piena applicazione è prevista a partire dal 25 maggio prossimo. Per chiarire diritti, doveri e responsabilità, il Garante per la Privacy ha realizzato una Guida che intende offrire un panorama delle principali problematiche che imprese e soggetti pubblici dovranno tenere presenti in vista della piena applicazione del regolamento. Nel manuale, attraverso raccomandazioni specifiche vengono suggerite alcune azioni che possono essere intraprese sin d’ora perché fondate su disposizioni precise del regolamento che non lasciano spazi a interventi del legislatore nazionale (come invece avviene per altre norme del regolamento, in particolare quelle che disciplinano i trattamenti per finalità di interesse pubblico ovvero in ottemperanza a obblighi di legge). Della guida (che è soggetta a integrazioni e modifiche alla luce dell’evoluzione della riflessione a livello nazionale ed europeo) riportiamo di seguito un ampio estratto, ponendo in evidenza gli aspetti salienti rispetto ai temi: Liceità del trattamento, informativa, diritti degli interessati, titolare responsabile, incaricato del trattamento, responsabilizzazione.
Cosa cambia
Cosa non cambia
Raccomandazioni
Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento, se si vuole continuare a fare ricorso a tale base giuridica. In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (art. 7.2), per esempio all’interno di modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara (art. 7.2). I soggetti pubblici non devono, di regola, chiedere il consenso per il trattamento dei dati personali (si vedano considerando 43, art. 9, altre disposizioni del Codice: artt. 18, 20).
Cosa cambia
Cosa non cambia
Raccomandazioni
Il regolamento offre alcuni criteri per il bilanciamento in questione, e soprattutto appare utile fare riferimento al documento pubblicato dal Gruppo “Articolo 29” sul punto (WP217).
Si confermano, inoltre, nella sostanza, i requisiti indicati dall’Autorità nei propri provvedimenti in materia di bilanciamento di interessi, anche con riguardo all’utilizzo della videosorveglianza e con particolare riferimento agli esiti delle verifiche preliminari condotte dall’Autorità, con eccezione ovviamente delle disposizioni che il regolamento ha espressamente abrogato (per esempio: obbligo di notifica dei trattamenti). I titolari dovrebbero condurre la propria valutazione alla luce di tutti questi principi.
Cosa cambia
Cosa cambia
Cosa cambia
Cosa non cambia
NOTA: ogni volta che le finalità cambiano il regolamento impone di informarne l’interessato prima di procedere al trattamento ulteriore.
Raccomandazioni
È opportuno che i titolari di trattamento verifichino la rispondenza delle informative attualmente utilizzate a tutti i criteri sopra delineati, con particolare riguardo ai contenuti obbligatori e alle modalità di redazione, in modo da apportare le modifiche o le integrazioni eventualmente necessarie prima del 25 maggio 2018.
Il regolamento supporta chiaramente il concetto di informativa “stratificata”, più volte esplicitato dal Garante nei suoi provvedimenti. I titolari potranno, dunque, una volta adeguata l’informativa nei termini sopra indicati, continuare o iniziare a utilizzare queste modalità per la prestazione dell’informativa, comprese le icone che l’Autorità ha in questi anni suggerito nei suoi provvedimenti (videosorveglianza, banche, ecc.) – in attesa della definizione di icone standardizzate da parte della Commissione.
Dovranno essere adottate anche le misure organizzative interne idonee a garantire il rispetto della tempistica: il termine di 1 mese per l’informativa all’interessato è chiaramente un termine massimo, e occorre ricordare che l’art. 14, paragrafo 3, lettera a), del regolamento menziona in primo luogo che il termine deve essere “ragionevole”.
Poiché spetterà al titolare valutare lo sforzo sproporzionato richiesto dall’informare una pluralità di interessati, qualora i dati non siano stati raccolti presso questi ultimi, e salva l’esistenza di specifiche disposizioni normative nei termini di cui all’art. 23, paragrafo 1, del regolamento, sarà utile fare riferimento ai criteri evidenziati nei provvedimenti con cui il Garante ha riconosciuto negli anni l’esistenza di tale sproporzione.
Le modalità per l’esercizio di tutti i diritti da parte degli interessati sono stabilite, in via generale, negli artt. 11 e 12 del regolamento.
Cosa cambia
Cosa non cambia
Raccomandazioni
È opportuno che i titolari di trattamento adottino le misure tecniche e organizzative eventualmente necessarie per favorire l’esercizio dei diritti e il riscontro alle richieste presentate dagli interessati, che – a differenza di quanto attualmente previsto – dovrà avere per impostazione predefinita la forma scritta (anche elettronica). Potranno risultare utili le indicazioni fornite dal Garante nel corso degli anni con riguardo all’intelligibilità del riscontro fornito agli interessati e alla completezza del riscontro stesso.
Quanto alla definizione eventuale di un contributo spese da parte degli interessati, che il regolamento rimette al titolare del trattamento, l’Autorità intende valutare l’opportunità di definire linee-guida specifiche, di concerto con le altre autorità Ue, alla luce di quanto prevede l’art. 70 del regolamento con riguardo ai compiti del Board.
Cosa cambia
Raccomandazioni
Cosa cambia
Cosa cambia
Raccomandazioni
Il diritto alla limitazione prevede che il dato personale sia “contrassegnato” in attesa di determinazioni ulteriori; pertanto, è opportuno che i titolari prevedano nei propri sistemi informativi (elettronici o meno) misure idonee a tale scopo.
Cosa cambia
Raccomandazioni
Il Gruppo “Articolo 29” ha pubblicato recentemente linee-guida specifiche dove sono illustrati e spiegati i requisiti e le caratteristiche del diritto alla portabilità con particolare riguardo ai diritti di terzi interessati i cui dati siano potenzialmente compresi fra quelli “relativi all’interessato” di cui quest’ultimo chiede la portabilità.
Al riguardo, si ricordano i numerosi provvedimenti con cui l’Autorità ha indicato criteri per il bilanciamento fra i diritti e le libertà fondamentali di terzi e quelli degli interessati esercitanti i diritti di cui all’art. 7 del Codice.
Poiché la trasmissione dei dati da un titolare all’altro prevede che si utilizzino formati interoperabili, i titolari che ricadono nel campo di applicazione di questo diritto dovrebbero adottare sin da ora le misure necessarie a produrre i dati richiesti in un formato interoperabile secondo le indicazioni fornite nel considerando 68 e nelle linee-guida del Gruppo “Articolo 29”.
Cosa cambia
Cosa non cambia
Raccomandazioni
I titolari di trattamento dovrebbero valutare attentamente l’esistenza di eventuali situazioni di contitolarità, essendo obbligati in tal caso a stipulare l’accordo interno di cui parla l’art. 26, paragrafo 1, del regolamento. Sarà necessario, in particolare, individuare il “punto di contatto per gli interessati” previsto dal suddetto articolo ai fini dell’esercizio dei diritti previsti dal regolamento.
I titolari di trattamento dovrebbero verificare che i contratti o altri atti giuridici che attualmente disciplinano i rapporti con i rispettivi responsabili siano conformi a quanto previsto, in particolare, dall’art. 28, paragrafo 3, del regolamento. Dovranno essere apportate le necessarie integrazioni o modifiche entro il 25 maggio 2018, in particolare qualora si intendano designare sub-responsabili nei termini sopra descritti. La Commissione e le autorità nazionali di controllo (fra cui il Garante) stanno valutando la finizione di clausole contrattuali modello da utilizzare a questo scopo.
Attraverso l’adesione a codici deontologici ovvero l’adesione a schemi di certificazione il responsabile può dimostrare le “garanzie sufficienti” di cui all’art. 28, paragrafi 1 e 4. Il Garante sta valutando i codici deontologici attualmente vigenti per alcune tipologie di trattamento nell’ottica dei requisiti fissati nel regolamento (art. 40), mentre per quanto concerne gli schemi di certificazione occorrerà attendere anche l’intervento del legislatore nazionale che dovrà stabilire alcune modalità di accreditamento dei soggetti certificatori (se diversi dal Garante: si veda art. 43). In ogni caso, il Gruppo “Articolo 29” sta lavorando sui temi e sarà opportuno tenere conto degli sviluppi che interverranno in materia nei prossimi mesi.
Le disposizioni del Codice in materia di incaricati del trattamento sono pienamente compatibili con la struttura e la filosofia del regolamento, in particolare alla luce del principio di “responsabilizzazione” di titolari e responsabili del trattamento che prevede l’adozione di misure atte a garantire proattivamente l’osservanza del regolamento nella sua interezza. In questo senso, e anche alla luce degli artt. 28, paragrafo 3, lettera b), 29, e 32, paragrafo 4, in tema di misure tecniche e organizzative di sicurezza, si ritiene opportuno che titolari e responsabili del trattamento mantengano in essere la struttura organizzativa e le modalità di designazione degli incaricati di trattamento così come delineatesi negli anni anche attraverso gli interventi del Garante.
Cosa cambia
Cosa cambia
Raccomandazioni
La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta I contenuti del registro sono fissati, come detto, nell’art. 30; tuttavia, niente vieta a un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell’ottica della complessiva valutazione di impatto dei trattamenti svolti.
Nello specifico, si richiama l’attenzione sulla sostanziale coincidenza fra i contenuti della notifica dei trattamenti di cui all’art. 38 del Codice e quelli che devono costituire il registro dei trattamenti ex art. 30 regolamento; l’Autorità sta valutando di mettere a disposizione un modello di registro dei trattamenti sul proprio sito, che i singoli titolari potranno integrare nei modi opportuni.
Cosa cambia
Cosa cambia
Raccomandazioni
Tutti i titolari di trattamento dovranno in ogni caso documentare le violazioni di dati personali subite, anche se non notificate all’autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e i provvedimenti adottati (si veda art. 33, paragrafo 5); tale obbligo non è diverso, nella sostanza, da quello attualmente previsto dall’art. 32-bis, comma 7, del Codice. Si raccomanda, pertanto, ai titolari di trattamento di adottare le misure necessarie a documentare eventuali violazioni, essendo peraltro tenuti a fornire tale documentazione, su richiesta, al Garante in caso di accertamenti.
Cosa cambia