RISPOSTE ALLE DOMANDE PIÙ FREQUENTI  

Regolamento UE 2016/679 sulla Privacy (Regolamento Generale sulla protezione dei dati – General Data Protection Regulation, GDPR)

Il presente documento mira a fornire tramite lo strumento delle FAQ chiarimenti sul nuovo Regolamento UE 2016/679 sulla Privacy.

1) Cos’è il Regolamento Europeo 2016/679?

Regolamento Europeo 2016/679 è il testo per la protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Tra le misure privacy da adottare nel rispetto del Regolamento Europeo 679, c’è quella di redigere e conservare opportune documentazioni quali i Registri delle attività di trattamento secondo l’art. 30 (nel caso di imprese o organizzazioni con non meno di 250 dipendenti), in cui vengano riportare tutte le attività di trattamento dei dati svolte sotto la responsabilità del “titolare” al trattamento o del responsabile.

Viene richiesto anche di cooperare con l’autorità di controllo notificando qualsiasi violazione dei dati personali alla stessa e al diretto interessato entro 72 ore dal momento in cui se ne è venuti a conoscenza, all’autorità di controllo competente, e senza ingiustificato ritardo secondo l’art. 33.

2) Chi deve applicare il Regolamento Europeo 2016/679?

Il Regolamento Europeo è entrato in vigore il 25 maggio 2016 e si applicherà in tutti gli Stati Membri a partire dal 25 maggio 2018, termine entro il quale le aziende dovranno adeguarsi alla nuova legge sulla privacy. Con applicazione in tutti gli Stati Membri (a partire dal 25 maggio 2018) del regolamento Privacy 679, i Titolari e Responsabili del trattamento dovranno seguire il “principio della accountability” (art. 5 co. 2) che comporterà l’onere di dimostrare l’adozione, senza convenzionalismi, di tutte le misure tecniche e organizzative adeguate per garantire che il trattamento sia effettuato conformemente al Regolamento (art. 24-25 e l’intero CAPO IV).

3) Quando sarà esecutivo il Regolamento Europeo 2016/679?

I regolamenti UE sono immediatamente esecutivi e non richiedendo la necessità di recepimento da parte degli Stati Membri e garantiscono una maggiore armonizzazione a livello dell’intera UE.

4) Cosa permetterà l’applicazione di tutti gli Stati Membri del Regolamento Europeo 2016/679?

L’applicazione da parte di tutti gli Stati Membri del Regolamento EU 2016/679 Privacy, permetterà che la medesima normativa sia contemporaneamente in vigore in tutti gli stati dell’Unione Europea.

5) Quali sono i principi e le generalità introdotte dal nuovo Regolamento Europeo 2016/679?

Il Regolamento si propone di armonizzare la normativa europea degli Stati Membri in tema di privacy e di adeguarla allo sviluppo tecnologico.

Inoltre, il provvedimento mira a semplificare gli adempimenti burocratici a carico dei titolari, per ridurre i costi connessi alla loro esecuzione.

6) Il “PERCHE’” della riforma sulla Privacy

La diffusione tecnologica, oltre a favorire i tradizionali scambi di beni e di servizi, ha permesso la condivisione globale di informazioni sensibili, sollevando numerose criticità soprattutto in materia di trattamento dei dati personali. Nell’era della digitalizzazione, sempre più individui rendono progressivamente pubbliche sulla rete mondiale le informazioni private che li riguardano e le autorità pubbliche e le imprese possono utilizzare questi dati personali resi pubblici nello svolgimento delle loro attività.

7) Si può ritenere il Regolamento 2016/679 Privacy “un buon regolamento”, che fornirà strumenti molto efficaci all’interessato per conoscere, controllare e intervenire sul destino dei propri dati?

Esso concorrerà a ristabilire un clima di fiducia verso aziende e istituzioni, facilitando gli scambi, gli investimenti e l’economia digitale. Modificherà profondamente l’attuale modo di operare, obbligando a passare da un approccio “compilativo” ad un approccio basato sulla responsabilità e sulla verifica dell’efficacia. Fondamentali possono considerarsi l’introduzione del Risk Assessment (art. 35), del Privacy Impact Assessment (art. 35 e 36) e degli importanti concetti di privacy by design e privacy by default (art. 25).

8) Come va applicato dalle aziende?

Il Regolamento 679 Europeo Privacy o GDPR introdurrà nuove tutele a favore degli interessati, e inevitabilmente nuovi obblighi a carico di Titolari e Responsabili del trattamento di dati personali.

Il Regolamento Privacy andrebbe vissuto dalle aziende non come una serie di “adempimenti”, ma come una serie di “strumenti” e di “tutele” a vantaggio di chi tratta i dati personali. Quindi non solo privacy, ma anche sicurezza informatica.

9) Diritto all’oblio: sarà possibile e cosa tutela?

Con l’applicazione da parte in tutti gli Stati Membri del regolamento Privacy 679, ogni individuo potrà richiedere la cancellazione dei propri dati in possesso di terzi (per motivazioni legittime) come previsto dall’art. 17 del GDPR. Questo potrà accadere, ad esempio, in ambito web quando un utente richiederà l’eliminazione dei propri dati in possesso di un social network o di altro servizio web.

10) Dove trovo definite le “sanzioni amministrative”?

Per tutti i dettagli e le casistiche previste per le sanzioni, si rimanda direttamente al Regolamento Privacy art. 83. In ogni caso, per di mancato rispetto di queste norme, il General Data Protection Regulation – GDPR – consente alle autorità di protezione dei dati di emettere multe fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo di una società.

11) La tutela della privacy è un problema che travalica i confini nazionali?

Si, ed è per questo che si rende necessario un quadro legislativo comune e omogeneo in materia di protezione dei dati personali e di libera circolazione dei dati che sia di portata  mondiale.

12) Quali sono stati i presupposti della riforma?

In sintesi:

  1. l’inadeguatezza sempre  più evidente di quadro giuridico improntato a confini nazionali;
  2. internet, globalizzazione, diffusione e nuove modalità dei trattamenti di dati personali;
  3. l’incertezza giuridica e la diffusa percezione nel pubblico che le operazioni online comportino notevoli rischi.

13) Quali sono stati i principali elementi della proposta di Regolamento?

In sintesi qui di seguito elenchiamo:

  1. L’armonizzazione della normativa degli Stati membri attraverso un corpus unico di norme in materia di protezione dei dati personali valido per tutta l’Unione;
  2. La manifestazione del consenso “esplicita” dell’interessato al trattamento dei dati personali (art. 7);
  3. Introduzione del diritto all’oblio e alla cancellazione dei dati online: chiunque potrà chiedere di cancellare i propri dati se non sussistono motivi legittimi per mantenerli (art. 17);
  4. Semplificazione del processo relativo alla portabilità dei dati, agevolando l’accesso e il trasferimento degli stessi da un fornitore di servizi a un alto (art. 20);
  5. Maggiore responsabilità e obbligo di documentazione per il titolare e il responsabile del trattamento dei dati in sostituzione dell’attuale obbligo di notificare tutti i trattamenti alle autorità di protezione dei dati, nei casi previsti dall’art. 30 del GDPR;
  6. Obbligo per il titolare del trattamento di notificazione e comunicazione di tutte le violazioni dei dati personali (art. 33).

14) A livello “globale” in materia di PRIVACY qual è la carenza percepita?

La frammentazione delle modalità di applicazione della protezione dei dati personali nel territorio dell’Unione e l’assenza di una chiara tutela globale dei dati personali, incrementa la sfiducia dei consumatori verso i servizi online, rischiando di rallentare lo sviluppo di applicazioni tecnologiche e innovative.

15) Per lo sviluppo dell’economia digitale, cosa occorre fare per aumentare la fiducia dell’utente?

Occorre aumentare la “fiducia” dell’Utente che usa il web per i suoi acquisti per dare una spinta allo sviluppo dell’economia digitale.

Nel mercato UE, l’esistenza di regole non uniformi e modalità di applicazione differenziate comportano incertezza e costi per imprese, ostacolano l’integrazione dei mercati intra UE e l’attività economica negli stati membri.

Sono sempre più numerose le situazioni di trattamento dei dati di soggetti intra UE da parte di operatori extra UE. Questa realtà fa si che se le regole applicabili sono molto diverse, si produce una distorsione della concorrenza e carenze di protezione.

Per aumentare la fiducia dell’utente e favorire lo sviluppo dell’economia digitale risulta indispensabile una trasparente, lineare e uniforme gestione dei dati in tutti gli Stati Membri, uno degli obiettivi principali del GDPR.

16) E’ obbligatoria la nomina di un “responsabile alla protezione dei dati”?

Secondo l’art. 37 del GDPR, la nomina di un “responsabile alla protezione dei dati” è obbligatoria per il settore pubblico. L’obbligo sussiste anche nel settore privato per le grandi imprese o per le imprese che effettuato trattamenti a rischio (ad esempio trattamento su larga scala di dati sensibili, monitoraggio regolare e sistematico degli interessati su larga scala).

17) Quali sono i principali elementi della proposta di Regolamento?

L’applicazione delle norme previste dal Regolamento anche ai “dati personali trattati all’estero” da imprese che sono attive sul mercato unico e offrono servizi ai cittadini dell’Unione è un elemento fondamentale della proposta, così come  l’obbligo per gli Stati Membri di “istituire Autorità di controllo indipendente” per la protezione dei dati e la “creazione di un Comitato europeo” per la protezione dei dati indipendente e composto dal responsabile dell’autorità di controllo indipendente di ciascun Paese e dal garante europeo della protezione dei dati. Per maggiori informazioni in merito a questi principi, fare riferimento al CAPO V (artt. dal 44 al 50) e al CAPO VI (artt. dal 51 al 59).

18) Secondo il regolamento europeo privacy 679, la designazione del "Data Protection Officer" può essere affidata a personale interno o esterno di un’azienda?

Secondo il regolamento europeo privacy 679,  la designazione del “Data Protection Officer” può essere affidata a personale interno o esterno di un’azienda con comprovate capacità in aree giuridiche e informatiche (art. 37 comma 5 e 6). Egli avrà il compito di analizzare, valutare e disciplinare la gestione del trattamento dei dati personali e della loro gestione/salvaguardia all’interno dell’azienda, secondo le direttive imposte dalle normative vigenti (art. 39).

19) Il "Data Protection Officer" dovrà possedere un’ampia conoscenza della normativa 2016/679?

Il Responsabile Protezione Dati personali – Data Protection Officer è una figura obbligatoria in specifici contesti, con compiti di consiglio, informazione e controllo in merito agli obblighi legali relativi alla Privacy.

Il DPO è obbligatorio per:

  • Pubbliche Amministrazioni (tranne autorità giudiziarie);
  • aziende che trattano dati sensibili su larga scala;
  • aziende il cui trattamento comporta un controllo regolare e sistematico degli Interessati.

Per poter svolgere le attività richieste, il Data Protection Officer deve avere un’adeguata conoscenza della normativa privacy e delle prassi in materia di protezione dei dati, per poter fornire alle aziende la consulenza necessaria per elaborare, verificare e regolamentare un sistema organizzato di gestione dei dati personali (art. 37 comma 5). Deve inoltre predisporre un articolato insieme di misure di sicurezza finalizzate alla tutela dei dati che garantiscano l’osservanza del Regolamento Europeo e assicurino riservatezza e sicurezza (art. 39).

In sintesi  DPO deve essere:

  • un professionista competente nella materia relativa alla gestione dei dati personali;
  • indipendente nello svolgimento delle sue funzioni;
  • privo di conflitti di interesse.

In base all’articolo 37, paragrafo 5, il RPD “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.
Nel considerando 97 si prevede che il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento.

  • Conoscenze specialistiche
    Il livello di conoscenza specialistica richiesto non trova una definizione tassativa; piuttosto,
    deve essere proporzionato alla sensibilità, complessità e quantità dei dati sottoposti a
  • Qualità professionali
    L’articolo 37, paragrafo 5, non specifica le qualità professionali da prendere in
    considerazione nella nomina di un DPO; tuttavia, sono pertinenti al riguardo la conoscenza
    da parte del DPO della normativa e delle prassi nazionali ed europee in materia di protezione dei dati e un’approfondita conoscenza del GDPR. Proficua anche la promozione di una formazione adeguata e continua rivolta ai DPO da parte delle Autorità di controllo. E’ utile la conoscenza dello specifico settore di attività e della struttura organizzativa del titolare; inoltre, il DPO dovrebbe avere sufficiente familiarità con le operazioni di trattamento svolte nonché con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dal titolare.
  • Capacità di assolvere i propri compiti
    Per capacità di assolvere i propri compiti si deve intendere sia quanto è legato alle qualità personali e alle conoscenze del DPO, sia quanto dipende dalla posizione del DPO all’interno dell’azienda o dell’organismo. Le qualità personali dovrebbero comprendere, per esempio, l’integrità ed elevati standard deontologici; il DPO dovrebbe perseguire in via primaria l’osservanza delle disposizioni del GDPR. Il DPO svolge un ruolo chiave nel promuovere la cultura della protezione dei dati all’interno dell’azienda o dell’organismo, e contribuisce a dare attuazione a elementi essenziali del regolamento quali i principi fondamentali del trattamento, i diritti degli interessati, la protezione dei dati sin dalla fase di progettazione e per impostazione predefinita, i registri delle attività di trattamento, la sicurezza dei trattamenti e la notifica e comunicazione delle violazioni di dati personali.

Un’adeguata conoscenza della normativa privacy e delle prassi in materia di protezione dei dati, per poter fornire alle aziende la consulenza necessaria per elaborare, verificare e regolamentare un sistema organizzato di gestione dei dati personali (art. 37 comma 5). Deve inoltre predisporre un articolato insieme di misure di sicurezza finalizzate alla tutela dei dati che garantiscano l’osservanza del Regolamento Europeo e assicurino riservatezza e sicurezza (art. 39).

Lo staff tecnico di MODI SRL di Spinea, Mestre Venezia, assume il ruolo di DPO (“Data Protection Officer”) quale figura competente sia in aree giuridiche che informatiche, con il compito di analizzare, valutare e disciplinare la gestione del trattamento dei dati personali e della salvaguardia degli stessi all’interno dell’azienda Cliente, secondo le direttive imposte dalle normative vigenti.

20) Perché il "Data Protection Officer" deve essere una figura autonoma?

All’interno del Regolamento Europeo 2016/679, viene indicato che il “Data Protection Officer” quale  figura autonoma, esegue le proprie funzioni in completa indipendenza per poi riferire sul suo operato direttamente ai vertici aziendali.

I vertici aziendali,  per la piena esecuzione dei  compiti portati avanti dal “Data Protection Officer”, devono fornire le risorse necessarie affinché egli possa articolare in autonomia  e senza ricevere alcuna istruzione o impostazione gerarchica, l’insieme di misure di sicurezza finalizzate alla tutela dei dati che garantiscano l’osservanza del Regolamento Europeo e assicurino riservatezza e sicurezza (art. 37 comma 6).

21) Cosa significa “consenso” (art. 7,8 )?

Il “consenso” è la libera indicazione della volontà del soggetto interessato di accettare esplicitamente una specifica operazione di trattamento relativa ai propri dati personali, di cui era stato informato in anticipo da colui che ha il potere di decidere su tale elaborazione (il Titolare del trattamento).

Alcuni tipi di trattamento possono essere eseguiti senza il consenso dell’Interessato, ai sensi della sezione 24 del Codice italiano in materia di protezione dei dati.

Il Regolamento UE 2016/679 tratta  negli articoli  7 e 8 il “consenso” quale onere della prova della sussistenza del consenso al trattamento prestato dall’interessato è in capo al titolare.

In qualsiasi momento l’interessato può revocare il proprio consenso, senza che questo pregiudichi la liceità del trattamento già effettuato precedentemente.

Il trattamento dei dati del minore è lecito solo se questo abbia almeno 16 anni (in alcuni stati anche 13), altrimenti è necessario il consenso prestato o autorizzato dal titolare della responsabilità genitoriale.

22) Cosa significa “dato sensibile” secondo il Regolamento UE 679?

Il dato sensibile è il dato personale che, per sua natura, richiede particolare attenzione: i dati sensibili rivelano origine razziale o etnica, credenze religiose o altre convinzioni, opinioni politiche, tesseramento a partiti, sindacati o associazioni, salute e vita sessuale.

23) Cosa significa “informativa”?

L’informativa è un avviso contenente le informazioni che il Titolare del trattamento è tenuto a fornire a tutti gli interessati, sia per via orale che per iscritto, in modo chiaro conciso, in merito a quando e come i dati vengono raccolti sia direttamente dall’Interessato che tramite terzi, e come gli stessi vengono utilizzati.

24) Cosa significa “profilazione”?

Qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti della persona fisica.

25) Cosa significa “pseudonimizzazione”?

Il trattamento dei dati personali in modo tale che i dati non possano più essere attribuiti ad un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona identificata o identificabile.

26) Cosa significa “Privacy”?

Oggi come oggi, il concetto di privacy non  è solo il diritto di essere «lasciati in pace» o di proteggere la propria sfera privata, ma soprattutto il diritto di controllare l’uso e la circolazione di dati personali che costituiscono il bene primario della «società dell’informazione».

27) Quali sono i principali soggetti della Privacy?

I principali soggetti della Privacy sono: l’interessato, il titolare del trattamento dei dati, il Responsabile del trattamento, il DPO, il terzo e l’Autorità di Controllo.

Interessato:
la persona fisica cui si riferiscono i dati personali.

Titolare del Trattamento
La persona fisica, la società, l’associazione o un’altra entità che controlla il trattamento dei dati personali ed è autorizzata a prendere decisioni essenziali sulle finalità e modalità di tale trattamento, comprese le misure di sicurezza applicabili.

Responsabile del Trattamento:
la persona fisica, la società, l’associazione o l’organizzazione a cui il Titolare ha affidato l’attività specifica di gestione e controllo dei dati personali, in base all’esperienza e/o alle competenze pertinenti in materia.

DPO (Data Protection Officer):
il professionista con conoscenze specialistiche sulla legislazione e sulle pratiche in materia di protezione dei dati.

Egli è designato dal Titolare / Responsabile in tre occasioni:

  • il trattamento è effettuato da un’autorità pubblica;
  • il trattamento è su larga scala e coinvolge dati sensibili;
  • il trattamento richiede un controllo regolare e sistematico degli Interessati.

Terzo:
la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento. E’ una persona autorizzata al trattamento dei dati sotto l’autorità diretta del titolare o del responsabile.

Autorità di Controllo:
L’autorità pubblica indipendente istituita da uno Stato membro www.garanteprivacy.it

28) Quali sono i punti fondamentali del nuovo Regolamento 2016/679?

I punti fondamentali del nuovo Regolamento 2016/679 sono i seguenti:

ACCOUNTABILITY art. 5 co. 2
Specifica la “responsabilizzazione” del Titolare/Responsabile, che deve mettere in atto misure tecniche e organizzative adeguate per garantire che il trattamento sia effettuato conformemente al Regolamento (art. 24-25 e l’intero CAPO IV.

In tal senso risulta utile l’adesione a codici di condotta o meccanismi di certificazione.

DATA PROTECTION IMPACT ASSESSMENT art. 35
Ogni trattamento di dati personali che presenta rischi per i diritti e le libertà degli individui deve essere esaminato attentamente.
La valutazione di impatto sui dati personali, oltre ad essere obbligatoria quando vengono trattati dati sensibili o giudiziari, è dovuta anche nei casi di trattamenti automatizzati e nei casi di profilazione.

VALUTAZIONE DI IMPATTO PRIVACY art. 35 – 36
Attività funzionale alla progettazione di sistemi di gestione privacy che siano conformi ai principi della privacy by design e privacy by default (art. 25).
Viene introdotto il principio per cui la privacy va considerata e applicata fin dalla sua fase di progettazione

DATA PROTECTION OFFICER Art. 37, 38, 39
Obbligatorio per P.A. (eccetto autorità giudiziarie), per trattamenti su larga scala di dati sensibili, e per trattamenti che richiedono controllo sistematico e regolare degli interessati.

DATA BREACH NOTIFICATION art. 33
Il Regolamento introduce, in capo ai titolari del trattamento, un obbligo generalizzato di comunicazione delle violazioni dei dati personali.

29) Il GDPR modificherà la normativa nazionale in materia di protezione dei dati personali?

Il GDPR andrà a modificare la normativa nazionale in materia di protezione dei dati personali, impattando anche sulle imprese con sede fuori dall’UE, è importante per tutti preoccuparsi fin da subito di raggiungere una sufficiente conformità con il dettato normativo europeo.

Il primo punto fondamentale sarà quello relativo al consenso, da ottenere nei confronti dell’interessato al trattamento, sia per i dati che devono essere ancora raccolti, sia per quelli già in possesso.

I dati già in possesso saranno oggetto di audit per verificare che rispettino il consenso.

Il secondo punto riguarda l’obbligo di notifica, entro 72 ore, di ogni violazione dei dati (data breach), sia al DPO che agli interessati.

Ogni organizzazione dovrà essere pronta ad eliminare i dati dell’interessato che ne faccia richiesta, sia perché i dati sono stati acquisiti illecitamente, sia perché lo permette la legge.

Si dovranno quindi implementare sistemi che rispondano prontamente alle richieste di «essere dimenticati».

La gestione del rischio dovrà costituire un processo integrato già dalla progettazione di una soluzione per assicurare la tutela dei dati personali (privacy by design), quando cioè la possibilità di eliminare eventuali minacce è più veloce, più efficace e meno onerosa.

In determinate circostanze previste dal Regolamento, dovrà essere nominata la figura, rappresentata dal DPO, di un responsabile della protezione dei dati, da individuarsi sia tra i dipendenti dell’azienda, sia servendosi di consulenti esterni, esperti in materia.

Sempre per specifici casi mandatori (seppur sia consigliato a tutti), ci si dovrà dotare di un registro delle attività di trattamento, distinto tra quello del Titolare e quello del o dei Responsabili.

Tale documento dovrà essere aggiornato con frequenza, affinché rappresenti realisticamente l’attività svolta in dell’azienda.

30) Il regolamento è composto da quanti articoli?

Il Regolamento UE 679/2016 è composto di 99 articoli suddivisi in 11 Capi.

  • Capo I – Disposizioni generali
  • Capo II – Principi
  • Capo III – Diritti dell’interessato
  • Capo IV – Titolare del trattamento e responsabile del trattamento
  • Capo V – Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali
  • Capo VI – Autorità̀ di controllo indipendenti
  • Capo VII – Cooperazione e coerenza
  • Capo VIII – Mezzi di ricorso, responsabilità̀ e sanzioni
  • Capo IX – Disposizioni relative a specifiche situazioni di trattamento
  • Capo X – Atti delegati e atti di esecuzione
  • Capo XI – Disposizioni finali

Il Regolamento 679/16 si apre con alcune disposizioni generali, suddivise in 2 CAPI:

“Disposizioni” generali che comprendono gli articoli da 1 a 4 e sono dedicate a individuare:

  • oggetto e finalità del Regolamento;
  • ambito di applicazione per materia;
  • ambito di applicazione per territorio;

E “Principi” che comprendono gli articoli da 5 a 11 e disciplinano:principi generali;

  • liceità;
  • consenso;
  • consenso dei minori;
  • particolari categorie di dati;
  • trattamenti relativi a condanne penali e reati.

31) Chi è il titolare beneficiario del diritto alla protezione dei dati?

Il titolare/beneficiario del diritto alla protezione dei dati è la persona fisica.

Il regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, compresi il nome e la forma della persona giuridica e i suoi dati di contatto(considerando n. 14).

Il regolamento non si applica ai trattamenti di dati personali solo quando si è in presenza di trattamento per finalità esclusivamente personali o domestiche (art,2, co. 2, lett. c ) considerando n. 18 e 27.

La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla tutela non armonizzata delle persone fisiche con riguardo al trattamento dei dati personali.

Il trattamento può essere interamente, parzialmente o non automatizzato.

Per il trattamento dei dati effettuato da istituzioni, organi, uffici e agenzie dell’Unione, si applica il Regolamento 45/2001.

La protezione dei diritti della persona è obiettivo da garantire soprattutto quando il dato personale passa “di mano in mano”.

Gli stessi “considerando” del Regolamento ritengono opportuno che le persone fisiche debbano avere il controllo dei dati personali.

La circolazione delle informazioni è elemento necessario dello sviluppo e del progresso economico.

32) Alcune definizioni del Regolamento erano già presenti nel D.lgs. 196/03?

Il Regolamento riprende, grazie all’intervento del Garante italiano, alcune definizioni (art. 4) già presenti nel D.lgs. 196/03, come quella di «titolare», «responsabile» e «interessato», ma introduce anche nuovi termini che vanno a sostituire o integrare il vocabolario normativo in materia.

Alcuni esempi:

  • Incaricato (termine eliminato)
  • Rappresentante
  • Terzo
  • Dati genetici, biometrici e relativi alla salute
  • etc.

33) Che caratteristiche deve avere il trattamento?

Secondo i “Principi generali” (art. 5, 6, 7) il trattamento del dato deve essere lecito, corretto e trasparente e le finalità devono essere determinate, esplicite, legittime. Il dato deve essere adeguato, pertinente, limitato esatto, aggiornato e conservato per il tempo necessario per il quale è stato raccolto.

Le condizioni di liceità del consenso prevedono la presenza del consenso e l’obbligo di trattamento (insieme di operazioni riguardanti i dati personali come ad esempio la raccolta, modifica, uso, cancellazione e distruzione).

I dati vengono trattati per adempiere ad un obbligo legale, per la salvaguardia degli interessi vitali dell’interessato o di altra persona fisica, per l’esecuzione di un compito di interesse pubblico o connesso a pubblici poteri di cui è investito il titolare del trattamento, per il perseguimento del legittimo interesse de titolare del trattamento e di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore. Assolvere obblighi ed esercitare diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza e protezione sociale. Il trattamento si basa sul diritto dell’Unione o dello Stato Membro cui è soggetto il Titolare.

34) Come ci si comporta con i trattamenti particolari e quelli relativi a condanne penali?

Secondo il Regolamento UE  2016/679 alcune categorie di dati sono soggetti a regole stringenti?

Si per esempio i trattamenti particolari e relativi a condanne penali (art. 9, 10).  In particolare, per i dati personali relativi a condanne penali e reati o connesse misure di sicurezza, può avvenire soltanto sotto il controllo dell’autorità pubblica o dietro autorizzazione del diritto dell’Unione o degli Stati Membri.

Alcune categorie particolari di dati (sesso, origine razziale/etnica, convinzioni religiose e appartenenza
politica, etc.) sono soggette a regole stringenti, in mancanza delle quali è vietato ogni trattamento:

  • consenso esplicito;
  • tutela di un interesse vitale;
  • i dati trattati sono resi pubblici dall’interessato;
  • motivi di interesse pubblico;
  • etc.

35) Cosa si intende con il termine by design?

Con il termine by Design si intende protezione dei dati fin dalla progettazione.
L’obiettivo è ridurre al minimo il trattamento dei dati personali, mediante misure tecniche e organizzative (es. pseudonimizzazione dei dati personali), in fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali.

36) Chi è il Data Controller?

Il  Titolare del Trattamento – Data controller è la persona fisica o giuridica, cui competono tutte le responsabilità in merito ad un corretto trattamento di dati personali.  Il Titolare del Trattamento mette in atto misure tecniche e organizzative adeguate per garantire che il trattamento sia effettuato conformemente al regolamento europeo.
Per dati particolari (biometrici, sanitari, etc.) ha l’obbligo di adottare ulteriori e più incisive misure di protezione.
Ha l’obbligo di dimostrare, in caso di ispezioni, il rispetto delle indicazioni del regolamento.

Il Titolare del Trattamento mette in atto misure tecniche e organizzative adeguate per garantire che il trattamento sia effettuato conformemente al regolamento europeo. Per dati particolari (biometrici, sanitari, etc.) ha l’obbligo di adottare ulteriori e più incisive misure di protezione.
Ha l’obbligo di dimostrare, in caso di ispezioni, il rispetto delle indicazioni del regolamento.

Profilo della sicurezza:
Decide e programma le misure di sicurezza:
– adotta tecniche di privacy by design e by default (art. 25)
– effettua la valutazione d’impatto (art. 35)
– effettua la consultazione preventiva (art. 36)
Attua le misure di sicurezza:
– Predispone misure tecniche ed organizzative adeguate (art. 24.1)
– Verifica ed aggiorna periodicamente le misure tecniche ed organizzative adottate (art. 24.1)
– Si dota di policy interne (art. 24.2)
– Adotta codici di condotta (art. 40)
– Si munisce di certificazioni (art. 42)
– Si attiene ai doveri di correttezza per l’intera durata del trattamento
– Si conforma a principi di trasparenza e responsabilizzazione-accountability (art. 5.2)
– Sceglie consapevolmente i soggetti che ricoprono i ruoli subalterni e li istruisce
– Designa Responsabili con garanzie sufficienti in termini di sicurezza (art. 24.1-28.1)
– Designa il Data Protection Officer (se dovuto) scegliendolo tra soggetti che hanno esperienza e professionalità, anche sotto il profilo applicativo (art. 38.2)
– Fornisce informazioni adeguate al personale che tratta i dati (art. 29)
Nel caso di violazione dei dati:
– Pone in essere misure effettive e tempestive
– Procede alla notificazione al Garante (art. 33)
– Procede alla comunicazione all’interessato/i (art. 34)

Profilo della garanzia dei diritti dell’interessato
• Fornisce l’informativa adeguata (artt. 13 e 14)
• Si dota di idonea organizzazione per riscontrare tempestivamente le istanze dell’interessato (art. 12.3)
• Si dota di idonea organizzazione per permettere l’esercizio dei diritti riconosciuti all’interessato (artt. 15 e 22)

Profilo della collaborazione con soggetti preposti al controllo
• Coopera con l’autorità Garante (artt. 31 e 58.1)
• Coopera con gli organismi indipendenti di Certificazione (art. 42.6)
• Coopera con il Data Protection Officer (art. 38.1) fornendolo dei mezzi, delle informazioni e degli accessi necessari a realizzare la sua attività (art. 38.2), pur senza interferire con istruzioni nello svolgimento dei suoi compiti (art. 38.3)

37) Chi è il Contitolare del trattamento?

Il Contitolare del Trattamento è una persona fisica o giuridica, che affianca il Titolare e a cui competono diverse responsabilità decise tramite accordo interno (art.26).

L’accordo tra le parti, redatto in forma libera, deve riflettere in modo puntuale i ruoli reciproci (art.26.2), il riparto degli obblighi previsti dal Regolamento (art. 26.1), il rapporto reciproco nel confronto degli interessati (art. 26.2), come ad esempio in materia di riscontro e di fornitura dell’informativa (art. 26.1) e sebbene non direttamente accessibile nella sua totalità deve essere conosciuto dall’interessato il contenuto essenziale ma risulta inopponibile all’interessato che può rivolgersi a chi vuole.

38) Il Responsabile del Trattamento – Data Processor Rappresenta una funzione di sostegno operativo per il Titolare?

Il Responsabile del Trattamento – Data Processor è una funzione di sostegno operativo per il Titolare.

E’ fondamentale che sia una figura seria e affidabile e che presenti tutte le garanzie per mettere in atto misure tecniche e organizzative adeguate in modo che il trattamento soddisfi il GDPR:

  • tratta i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale;
  • garantisce che le persone autorizzate al trattamento dei dati personali (INCARICATI ex 196/2003) si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza (LETTERA DI INCARICO ex 196/2003);
    tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;
    • adotta tutte le misure richieste ai sensi dell’articolo 32 e assiste il titolare nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
  • su scelta del titolare del trattamento, cancella o gli restituisce tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancella le copie esistenti;
  • mette a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato (AUDIT PRIVACY PERIODICI).

Non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento.
Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche
previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.
Se il secondo Responsabile omette di adempiere agli obblighi in materia di protezione dei dati, è comunque il primo Responsabile che ne risponde al Titolare.
Se un Responsabile determina le finalità ed i mezzi del trattamento, è considerato titolare del trattamento in questione.

39) Il termine incaricato si usa ancora?

A differenza che nel Codice Privacy, il nuovo Regolamento UE non utilizza espressamente il termine «incaricato», ma fa confluire in «terzo» chiunque sia sotto l’autorità diretta del Titolare o del Responsabile (art. 10, n. 10).

40) Che diritti hanno gli "INTERESSATI?"

Il Regolamento europeo dà un ampio spazio ai diritti dell’interessato rispetto al passato, ed un intero capo del regolamento europeo è dedicato a tale argomento.

Diritti di natura conoscitiva:

Diritto all’informativa;

Diritto di accesso;

Diritto alla comunicazione di una violazione dei dati.

Diritti di controllo:

Consenso al trattamento;

Diritto di limitazione del trattamento;

Revoca del consenso al trattamento;

Diritto di opposizione al trattamento;

Diritto alla portabilità dei dati;

Diritto di rettifica ed integrazione;

Diritto alla cancellazione e all’oblio;

Decisioni basate unicamente su trattamento automatizzato.

In particolare ha assunto rilievo il cosiddetto DIRITTO ALL’OBLIO (art. 17):

diritto di veder cancellati i propri dati personali presso il titolare che li tratta;

diritto di veder cancellati i rinvii a questi dati, che potrebbero apparire sui motori di ricerca più diffusi.

Il diritto ad «essere dimenticati» deve concordarsi con il diritto di informazione e di libera espressione (si pensi ad un fatto di cronaca in cui è coinvolto l’interessato), e in generale con l’interesse pubblico e con eventuali obblighi legali.

Pertanto l’interessato non sempre potrà richiedere la cancellazione immediata dei dati che lo riguardano (riportati ad esempio da un sito web) fintanto che tali dati avranno una rilevanza pubblica, stante ovviamente la correttezza degli stessi.

L’interessato ha diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano se sussiste uno dei seguenti motivi:

i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti;

l’interessato revoca il consenso;

l’interessato si oppone al trattamento;

i dati personali sono stati trattati illecitamente;

i dati personali devono essere cancellati per adempiere ad un obbligo legale.

Il diritto alla cancellazione non si applica se il trattamento è necessario:

all’esercizio del diritto alla libertà di espressione e di informazione;

per l’adempimento all’obbligo legale che richieda il trattamento previsto dal diritto dell’unione o dello stato membro cui è soggetto il titolare del trattamento, o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri;

per motivi di interesse pubblico nel settore della sanità pubblica;

ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici;

per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

L’interessato ha il diritto di ottenere la limitazione del trattamento quando ricorre una delle seguenti ipotesi:

contesta l’esattezza dei dati personali;

il trattamento è illecito e l’interessato si oppone alla cancellazione e chiede, invece, che ne sia limitato l’utilizzo;

benchè il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato in sede giudiziaria;

l’interessato si è opposto al trattamento, in attesa della verifica in merito alla eventuale verifica della prevalenza dei motivi legittimi del titolare del trattamento.

Se il trattamento è limitato, tali dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell’interessato o per l’accertamento di un diritto in sede giudiziale, o per motivi di interesse pubblico.

41) Cos’è la portabilità?

L’obiettivo del Regolamento 2016/679 è quello di rafforzare il controllo sui propri dati personali quando questi sono trattati con mezzi automatizzati:

ricevendo tutti i dati personali che lo riguardano in un formato strutturato, di uso comune e leggibile da dispositivo automatico e interoperabile;

trasmettendoli, se necessario, ad un altro fornitore di servizi o titolare del trattamento;

facendoli trasmettere direttamente da un titolare all’altro, se tecnicamente possibile.

Il diritto dell’Unione Europea o dei singoli Stati Membri può imporre limitazioni al diritto alla portabilità dei dati, se conformi alla Carta e alla Convenzione Europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali.

Si applica solo dietro consenso o se la stessa è necessaria per l’esecuzione di un contratto.

NON si applica nei confronti dei titolari che trattano dati nell’esercizio delle loro funzioni pubbliche (es. obbligo legale) e NON deve obbligare il titolare ad adottare o mantenere sistemi di trattamento compatibili.

L’informativa deve contenere la possibilità per l’interessato di richiedere la portabilità dei suoi dati.

42) Cosa sono i cookie?

I cookie sono delle stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale o browser, dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Questi possono essere di prima e terza parte.

43) Come va gestita l’informativa privacy per i cookie?

L’editore del sito è chiamato a dare informativa sui cookie da lui installati.

Nell’ambito dei siti internet non basta inserire la privacy policy in un’unica pagina web indicante ogni informazione sui dati trattati ma andranno create tante informative quanti sono i tipi di cookie utilizzati.

44) Quali sono gli obblighi in caso di utilizzo di cookie di terze parti?

In presenza di un sito internet contenente cookie analitici di terze parti dove sono adottati strumenti che riducono il potere identificativo degli stessi e la terza parte non incrocia le informazioni raccolte con altre di cui già si dispone, è sufficiente la sola informativa dei cookie. Nel caso in cui non vengano adottati strumenti che riducono il potere identificativo dei cookies o la terza parte incrocia le informazioni raccolte con altre di cui già si dispone, sarà necessario predisporre l’informativa, nonché l’inserimento di un banner con informativa breve e notificare al Garante Privacy l’uso di questi cookie.

In presenza di “profilazione” con cookie analitici di terza parte è necessaria l’informativa e il banner.

45) E’ obbligatorio tenere un registro dei cookie?

La tenuta di un registro del consenso degli utenti per l’accettazione  dei cookie nel proprio dispositivo è obbligatorio nel momento in cui è presente l’obbligo di inserimento del banner ed è necessario tenerlo in modo tale che, in caso di richiesta da parte di un visitatore, ci sia la possibilità di prenderne visione e che sia possibile cancellare i dati del visitatore.

Nel caso in cui nel sito siano presenti solo cookie tecnici, analitici di prima parte e di terza parte (nel momento in cui vengono anonimizzati i dati e non c’è un incrocio degli stessi da parte della terza parte) non sussiste l’obbligo di tenuta del registro del consenso.

46) Quando è prevista la notifica al Garante Privacy di uso di cookie?

La notifica al Garante Privacy va inviata nel caso in cui:

  • vengono utilizzati cookie analitici di terze parti e non sono stati adottati strumenti che riducono il potere identificativo dei cookie e la terza parte non incrocia le informazioni raccolte con altre di cui dispone;
  • sono presenti cookie di profilazione di prima parte.

47) In che modo il GDPR si occupa della videosorveglianza?

Il Regolamento 679 si occupa di videosorveglianza stabilendo che il titolare del trattamento è tenuto a procedere con un preventivo data protection impact assesement (DPIA) ex art. 35 Regolamento UE 2016/679 nelle ipotesi di sorveglianza sistematica su larga scala di zona accessibile al pubblico.

48) In che modo deve essere effettuata la videosorveglianza?

Chi fa uso della videosorveglianza, deve effettuare, nel rispetto del principio di proporzionalità, la scelta e le modalità della ripresa e la dislocazione delle telecamere affinché le stesse registrino i dati pertinenti e non eccedenti allo scopo della ripresa stessa.

Ad esempio l’angolo di visuale della ripresa deve essere limitato ai soli spazi di esclusiva pertinenza, escludendo ogni registrazione audio-video di aree comuni, o ancora i soggetti interessati dalle riprese devono essere informati con apposita cartellonistica (visibile anche in orario notturno) e avvisati che stanno accedendo ad una zona video sorvegliata.

49) Come si applica la normativa della videosorveglianza per le persone fisiche?

Alla “videosorveglianza“ che le persone fisiche fanno per scopi esclusivamente personali (videocitofono, sistema di ripresa di sicurezza, etc.) se non viene condivisa/diffusa sistematicamente con terzi e non vengono rese pubbliche le riprese, non si applica la normativa Privacy.

50) Quali novità hanno introdotto il Jobs Act e il D.lgs. 151/2015 nella normativa della videosorveglianza?

E’ opportuno ricordare che con il Jobs Act e il D.lgs. 151/2015 si elimina il divieto di utilizzo di strumenti audiovisivi e di controllo a distanza applicati agli strumenti utilizzati dal lavoratore per eseguire le sue mansioni, e agli strumenti di registrazione degli accessi e delle presenze. Non serve nessun previo accordo con i sindacati. Viene inoltre codificato il controllo difensivo, prima solamente contemplato dalla Giurisprudenza.

I dati raccolti dunque possono essere utilizzati per ogni finalità connessa al rapporto di lavoro (anche disciplinare), l’importante è che il Datore di Lavoro abbia dato al lavoratore una precisa informativa privacy con l’obbligo di osservanza.

51) Esistono delle agevolazioni per l’applicazione del GDPR 2016/679 per le piccole e medie imprese?

In un’intervista ufficiale di Antonello Soro, pubblicata sul sito ufficiale del Garante Privacy il 20 Aprile 2018, è stato evidenziato come il General Data Protection Regulation, ormai in vigore, preveda una semplificazione degli obblighi del titolari in ragione delle caratteristiche del trattamento effettuato. Inoltre, in tale sede, è stato confermato che il decreto legislativo di recepimento dell’ordinamento interno del Gdpr, nella versione approvata dal Consiglio dei ministri, preveda un’ulteriore semplificazione per le micro, piccole e medie imprese, rimandando al Garante la previsione di ulteriori semplificazioni. Il decreto di recepimento sarà pubblicato sulla Gazzetta Ufficiale nei prossimi mesi.

52) Che tipo di vantaggi comporta per una azienda la corretta applicazione del GDPR 2016/679?

La capacità di protezione dati è sinonimo di buona impresa, di competitività e buona reputazione. Un’azienda che non è in grado di proteggere il proprio patrimonio informativo tendenzialmente tenderà a essere emarginata dal mercato perché da una parte sarà considerata vulnerabile ad attacchi informatici e furti di identità, dall’altra avendo indebolito le garanzie offerte su questo terreno ai clienti, risulterà meno competitiva.

53) A partire dal 19 settembre 2018 entrerà in vigore il Decreto Legislativo 101, quali saranno le modifiche da attuare per l’adeguamento al regolamento europeo in materia di privacy?

Le modifiche previste sono le seguenti:

  • Capo I (art. 1) – Modifiche al titolo e alle premesse del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196;
  • Capo II (art. 2) – Modifiche alla parte I del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196
  • Capo III (artt. 3-12) – Modifiche alla parte II del codice in materia di protezione dei dati personali di cui decreto legislativo 30 giugno 2003, n. 196
  • Capo IV (artt. 13-16) – Modifiche alla parte III e agli allegati del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196
  • Capo V (art. 17) – Disposizioni processuali
  • Capo VI (artt. 18-27) – Disposizioni transitorie, finali e finanziarie

Questo decreto entrerà ufficialmente in vigore il 19 settembre ed è previsto un lasso temporale di otto mesi durante i quali le PMI dovrebbero essere salve dalle ispezioni della Guardia di Finanza e dalle salate sanzioni applicate dal Garante in caso di violazioni e di mancato adeguamento al GDPR.

Lo staff tecnico di MODI® S.r.l di Spinea, Mestre Venezia, analizza, valuta e disciplina la gestione del trattamento dei dati personali e della salvaguardia degli stessi all’interno dell’azienda Cliente, secondo le direttive imposte dalle normative vigenti.

Per informazioni 800300333 – www.consulenzaprivacyregolamentoue679.it

Vuoi maggiori informazioni?