[A cura di: dott. Roberto Quaranta, fiscalista Confappi – Fna] Dal 25 maggio 2018 trova piena applicazione la nuova normativa in materia di privacy, disciplinata dal regolamento UE/2016/679 (GDPR), che abroga la direttiva 95/46/CE.

Nonostante la diretta applicabilità e vincolatività del GDPR in tutti i suoi elementi, l’art. 13 della Legge nazionale 25 ottobre 2017, n. 163 (cd. “Legge di delegazione europea 2016-2017”) ha delegato il Governo ad adottare uno o più decreti legislativi, entro il 21 maggio 2018 – termine poi prorogato ad agosto 2018 – al fine di adeguare il quadro normativo nazionale alle disposizioni ivi contenute.

In base a tale legge delega, il Codice italiano, in materia di trattamento dei dati personali, dovrà essere modificato in ossequio ai criteri del Regolamento europeo. Più specificamente, dovrà prevedersi l’adeguamento del sistema sanzionatorio penale e amministrativo vigente alle disposizioni del GDPR, introducendo sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse e il coordinamento delle disposizioni vigenti in materia di protezione dei dati personali con quelle recate dal regolamento europeo.

Nonostante ad oggi i decreti legislativi delegati non siano stati ancora emanati, il regolamento GDPR trova diretta applicazione a partire dal 25 maggio 2018, con conseguente sua prevalenza sul diritto interno incompatibile con il Regolamento Europeo.

La sua finalità è sensibilizzare e rendere consapevoli gli “interessati” (persone fisiche), nel momento in cui rendono disponibili i propri dati personali, particolarmente in relazione all’anagrafe condominiale – oltre che di eventualmente fornitori, dipendenti e collaboratori – nonché quello di responsabilizzare sia le imprese private sia le autorità pubbliche che utilizzino i dati personali nell’ambito delle loro attività.

I titolari del trattamento dati devono dichiarare agli interessati, in modo trasparente, le finalità del trattamento e le misure di protezione dei dati e devono dimostrare che è stato fatto tutto il possibile per evitare e prevenire la diffusione non autorizzata di informazioni sensibili, fino anche all’autodenuncia.

Il titolare della raccolta dati

In base all’art. 5 del Regolamento deve:

• fornire informazioni chiare agli interessati della raccolta dati;
• evidenziare gli scopi dell’elaborazione e i casi di utilizzo;
• definire criteri di conservazione e di eliminazione dati;
• proteggere i dati personali con misure di sicurezza appropriate;
• avvalersi di un responsabile della protezione dei dati (soggetti di grandi dimensioni);
• segnalare alle autorità eventuali violazioni;
• conservare la documentazione dettagliata;
• formare personale.

In base al regolamento UE, la protezione e l’uso dei dati personali devono essere dichiarati ed organizzati in modo chiaro specificando le finalità, fermo il diritto all’oblio degli interessati.

Ai sensi art. 5 del Regolamento, i dati debbono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. Le finalità devono essere determinate, esplicite e legittime.

I fondamenti di liceità del trattamento sono indicati all’art. 6 del Regolamento e coincidono con quelli previsti attualmente dal Codice privacy, D.Lgs. n. 196/2003: in sostanza, l’elemento fondamentale della liceità del trattamento è il consenso.

Informativa

Il titolare del trattamento adotta misure appropriate per fornire all’interessato le informazioni e comunicazioni relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile.

Non è prevista alcuna forma specifica per l’informativa che deve avere ad oggetto:

• il diritto accesso dati (art. 15);
• il diritto rettifica (art. 16);
• il diritto alla cancellazione (oblio) (art. 17);
• il diritto di limitazione del trattamento (art. 18);
• il diritto alla portabilità dati (art. 20);
• il diritto di opposizione (art. 21).

Consenso

Ai sensi dell’art. 7 del Regolamento il consenso deve essere prestato in maniera chiara e semplice, in forma comprensibile e facilmente accessibile, anche in calce all’informativa.

Considerato che il titolare del trattamento, ai sensi dell’art. 7, paragrafo 1, è onerato di “dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali”, è fuori discussione l’opportunità di provvedere all’acquisizione del consenso in forma scritta.

Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutti i requisiti indicati nel Regolamento (UE) 2016/679. In caso contrario è opportuno, prima di tale data, raccogliere nuovamente il consenso degli interessati secondo quanto previsto dal Regolamento.

Consenso obbligatorio e consenso facoltativo

La prestazione del consenso deve consentire la dimostrazione dell’effettività dei principi fissati dall’art. 7, rendendo chiari ed inequivocabili: l’indicazione del titolare del trattamento dati; che l’interessato ha acconsentito al trattamento; che ha prestato consenso e piena consapevolezza della misura e delle modalità con cui avviene.

Deve essere specificamente indicato il diritto alla revoca del consenso, con separazione tra consenso prestato rispetto ai dati ed alle finalità di trattamento laddove distinti. Il trattamento è lecito quando:

• è necessario ai fini di un contratto o ai fini della sua conclusione o esecuzione;
• per adempiere a un obbligo legale;
• per la salvaguardia dei diritti dell’interessato o di altra persona fisica;
• per l’esecuzione di un compito o di un interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.

Ricorrendo tali ipotesi, il consenso non è necessario ed è sufficiente la consegna dell’informativa. In particolare, il consenso è facoltativo ed il trattamento dei dati – previa informativa – è lecito a prescindere dal consenso quando, ad esempio, i dati debbono essere acquisiti e trattati nell’ambito della gestione di un contratto, di un mandato professionale e di ogni attività fisiologicamente connessa.

Consenso per i dati sensibili

Il consenso per l’acquisizione dei dati sensibili deve essere esplicito. Il divieto di trattamento per i dati sensibili non si applica ed il trattamento è lecito quando è necessario per assolvere agli obblighi ed esercitare diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e sicurezza sociale.

Il registro dei trattamenti

È uno strumento fondamentale ai fini del monitoraggio degli adempimenti e della garanzia dei diritti previsti dal Regolamento e non è obbligatorio per il titolare del trattamento che occupi meno di 250 dipendenti.

L’obbligo prescinde dal limite dimensionale nel caso in cui i dati possano presentare rischi per i diritti e le libertà degli interessati, il trattamento non sia occasionale o includa dati sensibili, genetici, biometrici, giudiziari (art. 9-10). Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire e dimostrare che è effettuato conformemente al Regolamento. Esse devono essere periodicamente riesaminate ed aggiornate: la verifica è inerente alle procedure e al sistema software/hardware con i quali il trattamento viene eseguito.

Il titolare adotta le necessarie misure per garantire che siano trattati, per impostazione predefinita, solo i dati necessari ed è obbligato ad effettuare valutazioni di impatto quando si deve iniziare un trattamento molto rischioso per i diritti e le libertà delle persone fisiche.

Il responsabile e l’incaricato del trattamento

Qualora un trattamento debba essere effettuato per conto del titolare, quest’ultimo ricorre unicamente a responsabili che presentino garanzie sufficienti. Pur non prevedendo espressamente la figura dell’incaricato del trattamento, il regolamento non ne esclude la presenza, in quanto fa riferimento a persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile (art. 4 par. 10). Tale figura può essere solo una persona fisica che deve agire sotto la diretta autorità del titolare o del responsabile del trattamento.

Il dpo – data protection officier

Il responsabile del trattamento dei dati personali (DPO) è previsto dall’art. 37. La normativa non prevede tassativi requisiti per rivestire il ruolo che è designato in funzione delle qualità professionali. Non è obbligatorio per lo studio del singolo professionista, in quanto le attività principali dello stesso non consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.

Sono esplicitamente esclusi da tale obbligo i professionisti che svolgono la professione in forma associata o società, per i quali la nomina è raccomandata, anche alla luce del principio di “accountability” (responsabilizzazione) che caratterizza il Regolamento. Tutti i titolari del trattamento devono notificare al Garante della Privacy le violazioni di dati personali senza ingiustificato ritardo e, dove possibile, entro 72 ore dal momento in cui ne sono venuti a conoscenza. Quando la violazione dei dati personali presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica, con un linguaggio semplice e chiaro, la violazione all’interessato senza ingiustificato ritardo (art. 34).

Capitolo sanzioni

All’art. 83 del Regolamento, par. 2, sono indicati i criteri che le Autorità di controllo devono utilizzare per valutare l’opportunità di irrogare una sanzione amministrativa e l’importo della stessa. Il regolamento non fissa un importo specifico per ogni singola violazione, ma solo un massimo edittale. La violazione delle citate disposizioni è soggetta a sanzioni amministrative pecuniarie fino a 10 o 20 milioni di euro e, per le imprese, fino al 2% o 4% del fatturato totale annuo dell’esercizio precedente, ove superiore.

Non solo. Il Regolamento ha introdotto anche sanzioni penali che saranno messe a punto dagli emanandi decreti legislativi e del Garante della Privacy.

Lascia un commento Annulla risposta

Devi essere connesso per inviare un commento.