Il quadro giuridico europeo in materia di protezione dei dati personali è stato profondamente rinnovato dal Regolamento Generale sulla Protezione dei Dati (Regolamento UE 2016/679 o “GDPR”), direttamente applicabile dal 25 maggio 2018. Il GDPR ha abrogato la precedente Direttiva 95/46/CE, in attuazione della quale era stato adottato il D. Lgs. 196/2003, anche noto come Codice Privacy.
Protezione dei dati personali e GDPR
In questa sezione puoi trovare una raccolta di tutte le fonti e informazioni giuridiche più rilevanti sulla protezione dei dati personali e il GDPR organizzate per tipologia e giurisdizione.
Elizabeth Denham
Nozioni fondamentali in materia di protezione dei dati personali
Le principali definizioni
Per dato personale si intende qualsiasi informazione riguardante una persona fisica, identificata o identificabile per il tramite di informazioni ulteriori (nome, cognome, dati di contatto, indirizzo Ip, numero di matricola, etc.). Non sono invece da considerarsi dati personali i dati anonimi, ossia i dati che, sin dalla loro raccolta o a seguito di Trattamento, non possono in alcun modo essere associati, anche indirettamente, ad una persona fisica.
Nell’ambito dei dati personali, il legislatore ha individuato categorie particolari di dati personali che meritano una tutela rafforzata. Si tratta dei dati idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona (art. 4 GDPR).
La persona fisica di cui sono trattati dati personali si tratta è l’interessato (ad esempio, visitatori di un sito, dipendenti e collaboratori di una società, clienti di un negozio, etc.).
La nozione di trattamento è molto ampia e ricomprende qualsiasi operazione (o insieme di operazioni, qualora le operazioni siano effettuate per una medesima finalità) compiuta su Dati Personali. Il Trattamento può avvenire su supporti cartacei e/o con strumenti automatizzati.
I soggetti del trattamento
In materia di protezione dei dati personali rilevano le seguenti figure.
- titolare del trattamento (art. 4(1)(7) e 24 GDPR): il soggetto, individuato direttamente dalla legge, che determina le modalità e finalità del trattamento dei dati personali;
- incaricati del trattamento (artt. 4(10) e 29 GDPR): il soggetto autorizzato al trattamento di dati personali sotto l’autorità e secondo le istruzioni del titolare del trattamento. Ai fini della qualificazione come Incaricato del Trattamento, non rileva la natura del rapporto che lega il soggetto alla società. Pertanto, sono Incaricati del Trattamento dipendenti ed ex dipendenti, dirigenti, sindaci, collaboratori e lavoratori a partita IVA, lavoratori a chiamata, part-time, soggetti con contratti a termine, stage, senza distinzione di ruolo, funzione e/o livello;
- amministratori di sistema (di cui al Provvedimento del Garante per la Protezione dei dati Personali del 27 novembre 2008 “Misure e accorgimenti prescritti ai titolari dei Trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”): figura preposta alla gestione/manutenzione di impianti di elaborazione con cui vengono effettuati Trattamenti di dati personali. Gestisce le attività tecniche come l’organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione, l’implementazione di efficaci procedure di “disaster recovery”, il controllo e blocco degli accessi (firewall), sovraintendendo la gestione di credenziali di autenticazione assegnate al personale autorizzato e agli utenti di rete.
- responsabile per la protezione dei dati (Data Protection Officer, in breve DPO) (artt. 37-39 GDPR): persona fisica o giuridica, nominata dal titolare del trattamento, che opera con indipendenza e competenza professionale e riferisce direttamente al vertice gerarchico della società. Possiede una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati per monitorare la conformità alla normativa in materia di protezione dei dati e fornire informazioni e consulenza al titolare del trattamento; costituisce il punto di riferimento per gli interessati, nonché il punto di contatto con l’Autorità di Controllo.
- responsabile esterno del Trattamento (art. 28 GDPR): persona fisica o giuridica, autorità pubblica o altro ente che tratta dati personali per conto del titolare del trattamento. I rapporti tra il titolare e il responsabile del trattamento sono disciplinati da apposito accordo sulla protezione dei dati (data processing agreement o DPA), con cui si disciplinano le misure tecniche e organizzative adeguate per garantire la protezione dei dati personali e la tutela dei diritti degli interessati.
In ottica di accountability, molte società adottano un modello organizzativo privacy e individuano figure chiave nell’ambito della struttura aziendale con specifiche responsabilità in relazione al trattamento dei dati personali effettuati nell’ambito delle loro attività (“data managers”).
I principi che regolano il trattamento
I principi fondamentali che disciplinano il Trattamento dei Dati sono i seguenti:
- liceità, correttezza e trasparenza: i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’Interessato;
- limitazione della finalità: i i dati personali possono essere raccolti soltanto per finalità determinate, esplicite e legittime; successivamente possono essere Trattati solo in modi non incompatibile con tali finalità;
- minimizzazione dei dati: i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità del Trattamento;
- esattezza: i dati personali devono essere sempre accurati e, se necessario, rettificati, aggiornati e/o cancellati;
- limitazione della conservazione: i dati personali possono essere conservati soltanto per il periodo di tempo strettamente necessario al raggiungimento delle finalità perseguite. In alcune circostanze, obblighi di legge permettono la conservazione dei dati personali per un periodo di tempo più lungo (ad esempio, 10 anni). Al termine di tale periodo di conservazione, i dati personali devono essere cancellati o anonimizzati, in modo da non essere più riconducibili agli interessati;
- integrità e riservatezza: adeguate misure tecniche e organizzative devono essere implementate per garantire la protezione dei Dati Personali. Inoltre, il Trattamento deve avvenire con modalità tali da garantire un’adeguata sicurezza dei Dati Personali e la protezione da Trattamenti non autorizzati o illeciti, dalla perdita, dalla distruzione o dal danno accidentale.
Le basi giuridiche del trattamento
Un trattamento di dati personali può essere considerato lecito soltanto se fondato su almeno una delle basi giuridiche stabilite dall’art. 6 GDPR:
- consenso dell’interessato: è la manifestazione di volontà con la quale questi manifesta il proprio assenso che i dati personali che lo riguardano siano oggetto di trattamento. Il consenso deve sempre essere:
- libero, per cui la prestazione di un servizio non può essere condizionata alla prestazione del consenso se il conferimento del consenso non è necessario per l’esecuzione del servizio;
- specifico, ossia riferito ad un trattamento chiaramente individuato e granulare; pertanto, quando il trattamento ha più finalità, il consenso deve essere prestato per tutte queste. L’interessato deve essere libero di scegliere per quali finalità prestare il proprio consenso e non può essere obbligato a prestare un unico consenso generale per più finalità;
- informato, ossia prestato dall’interessato che abbia ricevuto tutte le informazioni necessarie in relazione al trattamento cui acconsente, tra cui l’identità del titolare del trattamento e le finalità del trattamento;
- inequivocabile, ossia consistere in una dichiarazione o altra azione positiva dell’interessato; non può essere tacito o legato all’inattività dell’Interessato (es. non sono ammissibili pre-ticked opt-in boxes).
È onere del titolare del trattamento conservare la prova del prestato consenso. L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. Tale possibilità di revoca deve essere accordata all’interessato con modalità che siano altrettanto agevoli a quelle utilizzate per la raccolta del consenso. La revoca del consenso non pregiudica la liceità del trattamento anteriore alla revoca.
- Rapporto contrattuale o pre-contrattuale: è possibile trattare dati personali qualora questo sia necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dell’interessato (ad esempio, emissione di una fattura a fronte dell’erogazione di un servizio, gestione delle buste paga dei dipendenti).
- Obbligo di legge: è possibile procedere al trattamento dei dati personali (anche sensibili o giudiziari) qualora ciò si renda necessario per adempiere a obblighi in capo alla Società derivanti da leggi e regolamenti.
- Interesse legittimo del titolare del trattamento: il trattamento di dati personali si rende necessario per il perseguimento di un legittimo interesse del titolare del trattamento o di terzi. Tale interesse è da bilanciare con i diritti e le libertà fondamentali dell’interessato e l’esito di tale bilanciamento deve essere documentato per iscritto.
L'informativa
Alla prima occasione utile, prima di trattare dati personali, è necessario informare l’interessato del trattamento dei suoi dati personali e di quelli di eventuali terzi (ad esempio i dati dei familiari del dipendente di una società). L’informativa deve essere formulata con un linguaggio semplice e chiaro e riportare tutte le informazioni previste dagli artt. 13 e 14 GDPR:
- i dati di contatto del DPO;
- la base giuridica del trattamento;
- se vi è un trasferimento di dati personali al di fuori dell’Unione Europea;
- il periodo di conservazione dei dati o, in alternativa, i criteri usati per stabilirlo;
- i destinatari o le categorie dei destinatari dei dati personali;
- l’obbligo o meno di conferire i dati personali;
- l’eventuale esistenza di profilazione e/o decisioni automatizzate;
- la finalità del trattamento.
Diritti degli interessati
Ai sensi degli artt. 15-21 GDPR, l’interessato può esercitare nei confronti del titolare del trattamento i seguenti diritti:
- Diritto di accesso(art. 15 GDPR): diritto dell’interessato di ottenere dal titolare del trattamento la conferma che sia o meno in corso il trattamento di dati personali che lo riguardano, ed in tal caso di ottenere copia dei dati personali e delle informazioni afferenti al trattamento. Tra queste informazioni rientrano: finalità, categorie di dati in questione, i destinatari, il periodo di conservazione dei dati, l’esistenza di un processo decisionale automatizzato, le informazioni sull’origine dei propri dati ove non siano stati direttamente raccolti presso l’Interessato.
- Diritto di rettifica(art. 16 GDPR): diritto dell’interessato di ottenere dal titolare del trattamento la rettifica o l’integrazione di dati personali inesatti che lo riguardano.
- Diritto alla cancellazione o diritto all’oblio: l’interessato può ottenere la cancellazione dei propri dati personali trattati dalla società e da altri eventuali titolari del trattamento, qualora ricorrano particolari presupposti (ad esempio, revoca del consenso, trattamento non più necessario per le finalità per cui i dati personali sono stati originariamente raccolti).
- Diritto di limitazione del trattamento(art. 18 GDPR): l’interessato può richiedere che i propri dati personali vengano contrassegnati in modo da limitarne il loro trattamento in futuro, al ricorrere di certi presupposti.
- Diritto di opposizione(art. 21 GDPR): diritto dell’interessato di opporsi, in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano, salvo che vi siano motivi legittimi e prevalenti per procedere al trattamento (ad esempio per l’esercizio o la difesa di un diritto in sede giudiziaria).
- Diritto alla portabilità dei dati personali(art. 20 GDPR): qualora i dati personali siano trattati in base al consenso dell’interessato o per una finalità contrattuale, l’interessato può ottenere copia dei propri dati personali e che questi siano trasmessi ad altro titolare del trattamento, in un formato strutturato, di uso comune e leggibile da dispositivo automatico.
Il termine per la risposta all’interessato è, per tutti i diritti, pari ad 1 (un) mese, estendibile fino a 3 (tre) mesi in casi di particolare complessità.
Nel caso di mancato o parziale riscontro alle richieste inoltrate al titolare del trattamento, l’interessato ha diritto di proporre reclamo o ricorso al Garante per la protezione dei dati personali.
Trasferimenti di dati verso Paesi terzi
Il trasferimento di dati personali da paesi appartenenti all’UE verso Paesi terzi non appartenenti all’UE o allo Spazio Economico Europeo (i.e. Norvegia, Islanda, Liechtenstein) può avvenire soltanto al ricorrere di specifiche garanzie (artt. 44-49 GDPR). Le garanzie che legittimano il trasferimento di dati in Paesi terzi sono le seguenti:
- decisione di adeguatezza del Paese terzo riconosciuta tramite decisione della Commissione Europea; ad oggi, sono state adottate nei confronti di Argentina, Canada, Giappone, Israele, Nuova Zelanda, Uruguay, USA (ma solo per le aziende certificate c.d. Privacy Shield) e Svizzera; in subordine,
- adeguate Garanzie di natura contrattuale o pattizia, tra cui le «clausole tipo di protezione dei dati» adottate dalla Commissione UE; in subordine
- deroghe specifiche al divieto di trasferimento ex art. 49 GDPR, le quali sono tassative e da applicarsi in via residuale.
Risorse giuridiche in materia di protezione dei dati personali e GDPR
Dottrina
Monografie in italiano
- Gorla S., Privacy UE: il vecchio e il nuovo. Confronto tra dlgs 196/2003 codice privacy e regolamento europeo 2016/679 gdpr, ITER, 2018
- Bongiovanni S., Mottino C., Il vademecum sul regolamento europeo n. 2016/679, Key Ed., 2017
- Finocchiaro G., Il nuovo regolamento europeo sulla privacy e sulla protezione dei dati personali, Zanichelli, 2017
- Gorla S., Gli audit privacy secondo il nuovo regolamento europeo GDPR 2016/679, ITER, 2017
- Calder Al., UE-RGDP: Guida tascabile, IT Governance publishing, 2017
- Butti G., Piamonte A., GDPR: nuova privacy. La conformità su misura, Iter, 2017
- Pelino E., Bolognini L., Bistolfi C., Il regolamento privacy europeo, Giuffrè, 2016
- Ciccia A., Privacy e regolamento europeo, Ipsoa, 2016
- Pizzetti F., Privacy e il diritto europeo alla protezione dei dati personali, Giappichelli, 2016
Articoli su riviste giuridiche in italiano
- Del Ninno A., I recenti interventi normativi del Legislatore italiano nel settore della tutela dei dati personali tra dubbi di compatibilità e conflitti pratici con le norme del Regolamento Generale UE sulla data protection. Le nuove norme privacy della Legge di Bilancio 2018, in Diritto e Giustizia, 2018
Monografie in inglese
- Rustici C., Applying the GDPR: The Functional Specifications of Eu-Grade Privacy, O’Reilly Media, 2017
- Voigt P., The EU General Data Protection Regulation (GDPR): A Practical Guide, Springer, 2017
Altre risorse: video
Video
- Evident, What is the GDPR, 2017
- Lewis Silkin, 11 things you need to do in your workplace, 2017
- Micro Focus – HPE Software, The road to GDPR compliance, 2017