Regolamento Europeo 679/2016: cosa permane e cosa cambia con la sua introduzione


Il Regolamento Europeo 679/2016 disciplina:

1) la protezione dei dati personali delle (sole) persone fisiche
2) le regole sulla libera circolazione dei dati personali

Si applica per i trattamenti dei dati interamente o parzialmente automatizzati oppure non automatizzati.

Stabilisce principi da osservare nel trattamento dei dati, rispetto ai quali i dati sono:

  • trattati in modo lecito, corretto e trasparente nei confronti dell’interessato
  • raccolti per finalità determinate, esplicite e legittime
  • adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”)
  • conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (“limitazione della conservazione”)
  • trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità e riservatezza”)

IL NUOVO REGOLAMENTO EUROPEO: COSA PERMANE

I. LICEITÀ DEL TRATTAMENTO (ART. 6)

Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

  1. l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità
  2. il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso
  3. il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento
  4. il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica

II. CONSENSO (ART. 7) 

Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.

Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta, che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie.

L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato

 III. INFORMATIVA (ARTT. 13-14)

Permane l’obbligo di fornire informazioni all’interessato, ma con la novità di due Informative:

  1. Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato (Art. 13)
  2. Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato (Art. 14)

1. Art.13 – Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato: 

  • identità e dati di contatto del titolare del trattamento
  • dati di contatto del responsabile della protezione dei dati, ove applicabile
  • finalità del trattamento cui sono destinati i dati personali, nonché la base giuridica del trattamento
  • qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi
  • eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  • ove applicabile, intenzione del titolare del trattamento di trasferire dati personali a un paese terzo

In aggiunta, il Titolare fornisce all’interessato informazioni circa:

  • il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo
  • l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati
  • l’esistenza del diritto di revocare il consenso nei casi in cui l’interessato ha espresso il consenso al trattamento
  • il diritto di proporre reclamo a un’autorità di controllo
  • se la comunicazione di dati personali è un obbligo legale o contrattuale, oppure un requisito necessario per la conclusione di un contratto e se l’interessato ha l’obbligo di fornire i dati personali, nonché le possibili conseguenze della mancata comunicazione di tali dati
  • esistenza di un processo decisionale automatizzato, compresa la profilazione (di cui all’articolo 22, paragrafi 1 e 4) e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato

2. Art.14 – Informazioni da fornire qualora i dati personali NON siano raccolti presso l’interessato:

  • identità e dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante
  • dati di contatto del responsabile della protezione dei dati, ove applicabile
  • finalità del trattamento cui sono destinati i dati personali, nonché la base giuridica del trattamento
  • categorie di dati personali in questione
  • eventuali destinatari o eventuali categorie di destinatari dei dati personali
  • ove applicabile, intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo

 In aggiunta, vanno forniti all’interessato indicazioni su:

  • il periodo di conservazione dei dati personali
  • i legittimi interessi perseguiti dal titolare
  • l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano e di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati
  • l’esistenza del diritto di revocare il consenso in qualsiasi momento
  • il diritto di proporre reclamo a un’autorità di controllo
  • la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico
  • esistenza di un processo decisionale automatizzato

Il titolare del trattamento fornisce le informazioni al più tardi entro 1 mese.

Nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali.

IL NUOVO REGOLAMENTO EUROPEO: LE PRINCIPALI NOVITÀ

I. IL REGISTRO DEI TRATTAMENTI

La redazione del Registro dei Trattamenti è stabilita all’Art. 30 del Regolamento. Alla sua base, il principio dell’Accountability, secondo il quale il titolare del trattamento deve essere in grado di dimostrare che ha adottato un processo complessivo di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi, analoghi a quelli utilizzati nell’applicazione del D.Lgs. 231/2001.

Tale adempimento non compete alle imprese con meno di 250 dipendenti, a meno che il trattamento:

  • possa presentare un rischio per i diritti e le libertà dell’interessato
  • non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’Art. 9 par. 1 [dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale,nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona] o dati relativi a condanne penali e a reati di cui all’Art. 10 [dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza ]

Tale documentazione può essere richiesta da parte dell’Autorità di Controllo (Garante).

Contenuti: 

  • nome e dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati
  • finalità del trattamento
  • descrizione delle categorie di interessati e delle categorie di dati personali
  • categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali
  • ove applicabile, trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate
  • ove possibile, termini ultimi previsti per la cancellazione delle diverse categorie di dati
  • ove possibile, descrizione generale delle misure di sicurezza tecniche e organizzative (di cui all’articolo 32, paragrafo 1), volte a garantire la sicurezza del trattamento

II. LA VALUTAZIONE D’IMPATTO

La Valutazione d’Impatto è una valutazione preliminare che il Titolare effettua in merito a particolari trattamenti. Viene descritta all’Art. 35 del Regolamento.

Deve essere effettuata quando un tipo di trattamento, allorché preveda in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. In questo caso il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali.

Deve contenere:

  • una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento
  • una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità
  • una valutazione dei rischi per i diritti e le libertà degli interessati
  • le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione

 III. DATA BREACH

Il Data Breach è l’obbligo di comunicazione nei casi in cui – a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità – si dovesse verificare la perdita, la distruzione o la diffusione indebita di dati personali conservati, trasmessi o comunque trattati.

La normativa attuale prende in esame tale obbligo nell’attuale Codice Privacy e in alcuni Provvedimenti specifici del Garante. Il Regolamento Europeo prevede l’obbligo di comunicare l’avvenuta violazione di dati personali per tutti i trattamenti di dati personali, attraverso due modalità, a seconda della gravità dell’evento:

1. Notifica all’Autorità di Controllo (art. 33)
2. Comunicazione verso gli interessati (art. 34)

1. Art. 33: Notifica di una violazione dei dati personali all’Autorità di Controllo

La comunicazione relativa alla violazione deve essere effettuata a cura del Titolare nei confronti dell’Autorità di Controllo senza ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

Nel caso in cui non venga rispettato il termine delle 72 ore sarà necessario documentare le motivazioni che hanno determinato il ritardo.

Pertanto il Titolare deve verificare se siano state messe in atto tutte le misure tecnologiche e organizzative adeguate di protezione, per stabilire immediatamente se c’è stata violazione dei dati personali e informare tempestivamente l’autorità di controllo.

Nella comunicazione all’Autorità Garante, il Titolare deve documentare qualsiasi violazione, le conseguenze e le misure poste in atto a rimedio.

2. Art. 34: Comunicazione di una violazione dei dati personali all’interessato

Quando la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare comunica tale violazione agli interessati.

Tale comunicazione va effettuata senza ritardo e deve contenere:

  • linguaggio semplice e chiaro
  • dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni
  • descrizione delle probabili conseguenze della violazione dei dati personali
  • misure adottate o di cui si propone l’adozione per porre rimedio alla violazione dei dati

La comunicazione non è richiesta in presenza di una delle seguenti condizioni:

  • il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura
  • il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati
  • detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede, invece, a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia

III. DATA PROTECTION OFFICER (DPO)

Il  Data Protection Officer (DPO) è il Responsabile della Protezione dei Dati, colui che sorveglia sulla corretta applicazione della normativa all’interno dell’azienda.

Il Regolamento prevede (art. 37) 3 casi in cui la nomina è obbligatoria:

  1. Se il trattamento è svolto da un’autorità pubblica (ad eccezione delle autorità giudiziarie nell’esercizio delle funzione giurisdizionali)
  2. Se le attività principali consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala
  3. Se le attività principali consistono nel trattamento su larga scala di categorie particolari di dati (dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni filosofiche o religiose, l’appartenenza sindacale, dati genetici, dati biometrici al fine dell’identificazione univoca di una persona, dati relativi alla salute, alla vita sessuale o all’orientamento sessuale) o di dati personali relativi a condanne penali e reati

Ruolo del DPO:

  • può essere interno all’azienda oppure esterno, con ruolo inquadrato in un contratto di servizi
  • adeguato coinvolgimento del DPO da parte del Titolare in tutte le questioni che riguardano la protezione dei dati
  • adeguate risorse devono essere messe a disposizione del DPO da parte del Titolare
  • impossibilità di essere rimosso o penalizzato dal titolare per l’adempimento dei propri compiti
  • risponde gerarchicamente al vertice del Titolare

Compiti del DPO:

  • informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento, nonché ai dipendenti che eseguono il trattamento, in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati
  • sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati, nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo
  • fornire, se richiesto, un parere in merito alla valutazione d’impatto
  • cooperare con l’autorità di controllo e fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento.
  • i suoi dati di contatto vengono pubblicati dal titolari e vengono comunicati all’Autorità di Controllo
  • rispondere agli interessati, che lo possono contattare per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti

Il Regolamento entrerà ufficialmente in vigore il 25 Maggio 2018.

SGSSGS
Struttura Sanitaria Accreditata con Autorizzazione N. 326 del 03/04/2019. Azienda con Sistema Qualità Certificato UNI EN ISO 9001:2015 - N. IT19/1101