Nel caso vi siate persi qualcosa sul GDPR

In vista dell’ormai prossima applicazione del nuovo Regolamento (UE) 2016/679 (“Regolamento”), di seguito riportiamo alcuni dei recenti provvedimenti e istruzioni forniti da organismi consultivi e autorità di controllo dell’Unione Europea per la protezione dei dati personali.

 

1. Responsabilizzazione (“accountability”)

Il Garante per la protezione dei dati personali (“Garante”), nella sua Guida all’applicazione del Regolamento UE 2016/679 (“Guida”), sul tema sulla responsabilizzazione di titolari e responsabili del trattamento (si veda Guida II al Regolamento Privacy UE 2016/679: i principi generali del trattamento e l’accountability o responsabilizzazione), ha evidenziato come il Regolamento sia incentrato su tale principio, ossia sull’adozione di misure finalizzate ad assicurare l’applicazione del Regolamento.

Il Garante si è, inoltre, focalizzato sulle attività specifiche che devono essere improntate a tutela dell’interessato, e, in particolare, sul rischio inerente al trattamento. Quest’ultimo, ha affermato il Garante, è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati; tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione (si vedano articoli 35-36) tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative che il titolare ritiene di dover adottare per mitigare tali rischi (si segnalano, al riguardo, le linee-guida in materia di valutazione di impatto sulla protezione dei dati del Gruppo “Articolo 29”, qui disponibili: www.garanteprivacy.it/regolamentoue/DPIA).

2. Titolare, responsabile del trattamento, contitolari

Per quanto riguarda i soggetti (si veda a tal proposito anche Guida III al Regolamento Privacy UE 2016/679. I soggetti interessati al trattamento: titolare, responsabile del trattamento, contitolari), il Garante, nella suddetta Guida ha specificato che: “I titolari di trattamento dovrebbero verificare che i contratti o altri atti giuridici che attualmente disciplinano i rapporti con i rispettivi responsabili siano conformi a quanto previsto, in particolare, dall’articolo 28, paragrafo 3, del Regolamento. Dovranno essere apportate le necessarie integrazioni o modifiche, qualora si intendano designare sub-responsabili”. La Commissione e le autorità nazionali di controllo (fra cui il Garante) stanno valutando la definizione di clausole contrattuali modello da utilizzare a questo scopo.

Attraverso l’adesione a codici deontologici, ovvero l’adesione a meccanismi di certificazione, il responsabile può dimostrare le “garanzie sufficienti” di cui all’articolo 28, paragrafi 1 e 4. Il Garante sta valutando i codici deontologici attualmente vigenti per alcune tipologie di trattamento nell’ottica dei requisiti fissati nel regolamento (articolo 40), mentre per quanto concerne i meccanismi di certificazione occorrerà attendere anche l’intervento del legislatore nazionale che dovrà stabilire alcune modalità di accreditamento dei soggetti certificatori (se diversi dal Garante: si veda articolo 43).

In ogni caso, ha affermato il Garante, il Gruppo “Articolo 29” sta lavorando sui temi e, pertanto, sarà opportuno tenere conto degli sviluppi che interverranno in materia nei prossimi mesi.

3. Il responsabile della protezione dati (DPO)

Figura importante finalizzata a facilitare l’attuazione del Regolamento è il Data Protection Officer o DPO.

Come già indicato nella Guida IV al Regolamento Privacy UE 2016/679: il responsabile della protezione dati (DPO), la sua designazione è obbligatoria in alcuni casi (articolo 37), e il Regolamento tratteggia le caratteristiche soggettive e oggettive di questa figura (indipendenza, autorevolezza, competenze manageriali: articoli 38 e 39) che il Gruppo “Articolo 29” ha ritenuto opportuno chiarire attraverso alcune linee-guida di recente pubblicazione, disponibili anche sul sito del Garante, e alle quali si rinvia per maggiori delucidazioni unitamente alle relative FAQ: Faq sul Responsabile della Protezione dei dati (RPD) in ambito privato e Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico.

 

4. Consenso al trattamento dei dati personali

Per il consenso al trattamento dei dati, il Garante segnala le linee-guida in materia di profilazione e decisioni automatizzate del Gruppo “Articolo 29” (WP 251), disponibili sulla pagina web del Garante.

Per approfondire il tema si rinvia alla Guida V al Regolamento Privacy UE 2016/679: la disciplina generale del consenso al trattamento dei dati personali.

5. I diritti dell’interessato

Il Regolamento, al capo III, articoli 11 e 12, esamina le modalità per l’esercizio dei diritti dell’interessato al trattamento, ossia della persona fisica a cui si riferiscono i dati personali. Per approfondire si rinvia all’articolo Guida VII al Regolamento Privacy UE 2016/679. I diritti dell’interessato.

Il Garante ribadisce nella propria Guida che è opportuno che i titolari del trattamento adottino le misure tecniche per favorire l’esercizio dei diritti e il riscontro alle richieste presentate dagli interessati, che, a differenza di quanto attualmente previsto, dovrà avere per impostazione predefinita forma scritta (anche elettronica).

Per quanto riguarda l’eventuale definizione di un contributo spese da parte degli interessati per le loro richieste (di solito da evadere a titolo gratuito), che il regolamento rimette al titolare del trattamento, l’Autorità intende valutare l’opportunità di definire linee-guida specifiche con le altre autorità UE, alla luce di quanto prevede l’articolo 70 del Regolamento con riguardo ai compiti del Comitato.

Sul tema del diritto alla portabilità dei dati, il Gruppo “Articolo 29” ha pubblicato recentemente linee-guida specifiche che illustrano e spiegano i requisiti e le caratteristiche del diritto alla portabilità con particolare riguardo ai diritti di terzi interessati i cui dati siano potenzialmente compresi fra quelli “relativi all’interessato” di cui quest’ultimo chiede la portabilità.

Di seguito il link della versione italiana con le relative FAQ: http://www.garanteprivacy.it/regolamentoue/portabilita.

6. Trasferimento dei dati personali verso Paesi terzi e Organizzazioni Internazionali

Per comprendere il funzionamento della disciplina del trasferimento di dati personali verso Paesi terzi e Organizzazioni Internazionali nel Regolamento rimandiamo alle seguenti guide, pubblicate su Filodiritto:

- Guida VIII al Regolamento Privacy 679/2016: Trasferimento dei dati personali verso Paesi terzi e Organizzazioni Internazionali;

- Guida IX al Regolamento Privacy 679/2016: Trasferimento dei dati personali verso Paesi terzi e Organizzazioni Internazionali, parte II.

Nei punti che seguono sono riportate le ultime novità pubblicate sul tema:

• su questa pagina il Garante ha elencato tutti i paesi che godono di una decisione di adeguatezza della Commissione europea, decisione che consente il libero trasferimento dei dati verso paesi terzi e, dal 25 maggio 2018, anche verso Organizzazioni internazionali;
• a questo link è presente la dichiarazione congiunta della stampa del Segretario al Commercio degli Stati Uniti, Ross, e del Commissario Jourová, sulla prima revisione periodica annuale del Privacy Shield, che ha avuto luogo a settembre 2017;
• tramite questo link è possibile individuare le imprese statunitensi che aderiscono al Privacy Shield;

il 26 marzo 2018 si è conclusa la consultazione pubblica per il rilascio delle Linee Guida del Gruppo “Articolo 29” in ordine alle deroghe previste dall’Articolo 49 del Regolamento per il trasferimento dei dati all’estero.

7. Data breach e notificazione all’autorità

Con il nuovo Regolamento entrerà in vigore - non solo più per chi fornisce servizi di informazione ma per tutti i titolari dei trattamenti - l’obbligo di notifica all’autorità di controllo entro 72 ore dalla avvenuta conoscenza di una violazione dei dati, altrimenti detta “data breach”. La notifica non è sempre obbligatoria, e per una ulteriore analisi dell’argomento, rimandiamo all’articolo 33 del Regolamento.

• In tema di data breach è stato pubblicato di recente il provvedimento del Garante nei confronti del Movimento 5 Stelle;
• Segnaliamo inoltre le linee guida della Commissione Europea sulla notificazione del data breach.

 

8. La valutazione d’impatto e il registro del trattamento

Tra le novità introdotte dal Regolamento, la valutazione di impatto privacy (altrimenti definita Data Protection Impact Assessment, DPIA) richiama il principio dell’accountability ed è obbligatoria qualora il trattamento sia “suscettibile di provocare un rischio elevato per i diritti e le libertà delle persone fisiche”(articolo 35 del Regolamento). L’articolo 30 del GDPR, inoltre, prescrive ai titolari e ai responsabili del trattamento la tenuta di un registro delle attività di trattamento svolte sotto la propria responsabilità. Il nostro Garante Privacy si è espresso a riguardo nella sua Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali, affermando che “il registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali”, a prescindere dalle dimensioni dell’organizzazione.

Le ultime istruzioni fornite a riguardo da organismi e autorità sono:

• le Linee-guida WP248, adottate dal Gruppo “Articolo 29” il 4 aprile 2017, concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento possa presentare l’elevato rischio ai sensi del Regolamento;
• il Garante ha ripreso le suddette Linee Guida sulla valutazione di impatto del Working Party alla seguente pagina, http://www.garanteprivacy.it/regolamentoue/DPIA, integrandole con un’infografica;
• il CNIL ha pubblicato un percorso di implementazione per il GDPR suddiviso in sei punti, che potete visionare a questo link: tra questi il secondo punto riguarda proprio la gestione del registro dei trattamenti;

sempre il CNIL fornisce spunti per la compilazione del registro dei trattamenti mettendo a disposizione a questo link sia un modello di registro da compilare, scaricabile in excell, sia un modello di registro già compilato.

9. Codici di condotta e misure tecniche organizzative adeguate

Rispetto alle misure tecniche ed organizzative adeguate che devono essere adottate, si veda il provvedimento del Garante italiano Verifica preliminare. Utilizzo di un sistema informatico antifrode nell’ambito delle transazioni di commercio elettronico effettuate attraverso il sito web aziendale - 19 gennaio 2017. Inoltre, la Comission Nationale Informatique & Libertès (“CNIL”) ha fornito un nuovo documento, una guida analitica sulle misure di sicurezza, scaricabile in inglese al seguente link.

 

10. Sanzioni

Rispetto alle sanzioni presenti nel nuovo Regolamento vi sono alcune novità.

• Al presente link la Commissione europea ha pubblicato, il 13 febbraio 2018, le sue linee guida sull’applicazione delle sanzioni amministrative.
• Nella relazione illustrativa dello schema di decreto legislativo per l’adeguamento della normativa Italiana al Regolamento si afferma che, in materia penale, non si possa mantenere il reato di cui all’articolo 169 (“Misure di sicurezza”) del previgente Codice Privacy, in quanto non sono più previste le misure minime di sicurezza e, a fronte delle elevatissime sanzioni amministrative dettate dal Regolamento, il legislatore ha ritenuto di non poter mantenere alcune delle sanzioni penali che, sovrapponendosi alle prime, avrebbero comportato la violazione del principio di “ne bis in idem”.

Infine, vi è stato un recentissimo aggiornamento in tema proposta di Regolamento E- Privacy della Commissione europea: il 4 aprile il Working Party articolo 29 ha espresso le proprie opinioni, illustrate alla pagina a questo indirizzo.