Newsletter Giuridica
N° 5
15/03/2019
 
NEWS In primo piano
Il nuovo Regolamento europeo in materia di privacy (Parte prima): i principi generali

Il nuovo Regolamento europeo in materia di protezione dei dati personali delle persone fisiche (d’ora in avanti “GDPR”) è pienamente applicabile nel nostro ordinamento dal 25 maggio 2018, eppure quasi il 65% delle organizzazioni non profit, come molte piccole-medie imprese, non si sono ancora adeguate a tale nuova normativa.

Abrogata la precedente disciplina in materia di trattamento dei dati personali, che era contenuta nella Direttiva 95/46/CE, è stato introdotto un quadro normativo incentrato essenzialmente su processi, attività, misure tecniche ed organizzative, obblighi e sanzioni rivolti in particolare alle figure del titolare del trattamento (colui che decide il “perché” ed il “come” trattare i dati) e del responsabile esterno del trattamento (colui che tratta i dati per conto del titolare, e da questo appositamente nominato). In questo modo è stata sostanzialmente invertita la prospettiva della disciplina di riferimento in materia di protezione dei dati personali, il cui fulcro era rappresentato unicamente dalla tutela dei diritti dell’interessato.

Viene così a configurarsi un sistema costituito da tre principi ispiratori, che permeano e sostengono l’intero impianto normativo, ed il cui rispetto è protetto da un sistema sanzionatorio (delineato dagli artt. 83 e seguenti del GDPR), caratterizzato da pesanti sanzioni amministrative, cui si aggiungono le sanzioni penali previste dalle singole normative nazionali. I tre principi in questione sono: l’accountability, la “privacy by design” e la “privacy by default”.

 

1) Accountability

Il concetto di accountability, recepito dall’art.24 del GDPR, impone a coloro che trattano i dati personali (e nello specifico il titolare e l’eventuale responsabile esterno del trattamento) l’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione dell’intero Regolamento europeo. Attraverso tale principio cardine, il GDPR estende quindi la responsabilità di coloro che trattano i dati personali, obbligandoli a mettere in pratica una serie di misure, fra cui:

a)     adottare misure che rendano ogni trattamento effettuato come conforme alle previsioni del GDPR;

b)     assicurarsi che le misure adottate forniscano la garanzia di detta conformità;

c)     fondare la scelta delle misure adottate su preventive analisi dei rischi;

d)     rendere la conformità così garantita anche facilmente dimostrabile, di fatto imponendo un obbligo di rendicontazione.

Coloro che si trovano a trattare dati personali non saranno più come in passato solamente dei meri esecutori di un elenco di misure imposte dalla legge, sulla cui conformità saranno chiamati a rispondere. Essi dovranno invece dimostrare l’effettività e l’efficacia di quanto messo in atto attraverso una continua attività di controllo e verifica delle proprie attività di trattamento.

Sulla base di quanto detto, è possibile comprendere il motivo per cui una corretta traduzione italiana del termine accountability sia quella di “responsabilità verificabile”.

 

2) Privacy by design

Il principio di privacy by design, disposto dall’art.25 del GDPR, ha lo scopo di assicurare che le garanzie di protezione dei dati non siano dimenticate, trascurate o sottovalutate. A tal fine impone a coloro che trattano i dati personali di adottare in ogni fase del trattamento, dalla progettazione fino a quello della sua esecuzione, un approccio teso alla predisposizione di misure che risultino adeguate ad assicurare la tutela degli interessati e la conformità alla legge.

La tutela degli interessati richiede di integrare nel trattamento le relative garanzie dei diritti degli interessati, quali ad esempio il diritto di accesso dell’interessato (art.15 del GDPR), il diritto di rettifica (art.16), il diritto alla cancellazione (art.17), il diritto alla limitazione di trattamento (art.18), il diritto alla portabilità dei dati (art.20), il diritto di opposizione (art.21).

Un trattamento è invece conforme alla legge se risponde ai principi di liceità, correttezza e trasparenza, enunciati all’art.5 del GDPR.

Il trattamento dei dati è lecito allorché trovi fondamento in una base giuridica, la quale può essere rappresentata:

a)     dal consenso dell'interessato: esso deve essere libero, specifico, informato ed inequivocabile, non essendo ammesso il consenso tacito o presunto, ovvero, in altri termini, essere manifestato attraverso una “dichiarazione o azione positiva inequivocabile”.

Per i dati “sensibili” di cui all’art. 9, esso deve essere anche esplicito.

b)     dall’adempimento di obblighi contrattuali, ossia il trattamento è lecito se è necessario all'esecuzione di un contratto di cui l'interessato è parte od all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c)     da obblighi di legge cui è soggetto il titolare del trattamento: in tal caso la finalità è specificata per legge;

d)     da interessi vitali della persona interessata o di terzi, ossia se è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;

e)     dal legittimo interesse prevalente del titolare o di terzi cui i dati vengono comunicati, ossia quando il trattamento è necessario per il perseguimento dei legittimi interessi del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali (in particolare se l'interessato è un minore);

f)      dall’interesse pubblico o dall’esercizio di pubblici poteri, ovvero quando è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento (tramite legge statale o dell'Unione), ed anche in tal caso la finalità deve essere specificata per legge.

Il trattamento dei dati è corretto qualora sia trasparente nei confronti degli interessati: i dati personali devono cioè essere trattati per scopi determinati, espliciti e legittimi, e senza scorrettezze o raggiri nei confronti degli interessati. Questi ultimi hanno diritto ad avere un’informazione chiara sulle finalità e le modalità del trattamento, oltre che in relazione all’indirizzo del titolare del trattamento, prima che esso prenda avvio. L'interessato deve inoltre avere a disposizione una procedura efficace e accessibile per consentirgli di ottenere l’accesso ai suoi dati in un tempo ragionevole, e quindi di conoscere se e quali dati sono detenuti dal titolare. Qualsiasi trattamento occulto o segreto deve, quindi, ritenersi illecito.

Il perseguimento di questo duplice scopo delle misure tecniche ed organizzative identificate da coloro che trattano i dati personali conduce all’effetto innovativo per cui la tutela diviene parte integrante del trattamento in sé considerato: mentre una parte delle attività di trattamento perseguirà lo scopo liberamente scelto da colui che tratta i dati personali, l’altra parte dovrà essere specificatamente indirizzata a conseguire ad adottare misure a tutela degli interessati e nel solco dei principi di protezione posti dall’ordinamento.

Pertanto la selezione di quali siano, in concreto, le necessarie attività di trattamento è oggetto di una libera scelta di colui che effettua il trattamento stesso, il quale deve agire con ponderazione e flessibilità, oltre che in modo dinamico e costante nel tempo. Ad egli spetterà interessarsi dello stato dell’arte, dei costi di attuazione, della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, soprattutto nella prospettiva della valutazione dei rischi di lesione dei diritti e delle libertà delle persone cui i dati si riferiscono.

 

3) Privacy by default

Il principio di privacy by default, previsto dall’art.25 GDPR, ha lo scopo di proteggere l’individuo in tutte quelle situazioni nelle quali potrebbe perdere o rischiare di perdere consapevolezza o controllo circa l’utilizzo delle proprie informazioni personali.

A tal fine, impone a colui che tratta dati personali l’adozione di specifiche misure che garantiscano un trattamento di dati corretto, modulate in funzione:

a)     della quantità e qualità dei dati personali raccolti;

b)     del periodo di conservazione;

c)     dell’accessibilità al dato.

In adempimento degli obblighi posti dalla norma, colui che tratta dati personali dovrà pertanto garantire la massima protezione dei dati possibile attraverso il loro trattamento minimo, tanto nella fase di raccolta quanto in quelle successive. In particolare, egli dovrà rispettare in particolar modo i principi di:

1)     minimizzazione del dato: impone il trattamento dei soli dati personali necessari in relazione a ciascuna finalità specifica del trattamento, e inoltre che la quantità dei dati raccolti e la durata della loro conservazione siano inizialmente limitate al minimo indispensabile necessario per le finalità perseguite;

2)     accessibilità del dato: impone l’adozione delle misure atte ad impedire di default la diffusione dei dati personali, e cioè che non vengano resi accessibili a un numero indefinito di persone in assenza di una specifica decisione dell’interessato.

A differenza della privacy by design, che interessa un numero più ampio di misure di protezione dei dati ed è maggiormente riconducibile alla identificazione ed implementazione di un insieme di garanzie di sistema, la privacy by default è maggiormente orientata al conseguimento di un risultato che vuole che i dati oggetto di trattamento siano (quantomeno nella sua fase inziale) soltanto quelli essenziali, da conservarsi in modo da non essere liberamente accessibili, e dunque mantenuti confidenziali.

 

4) Conclusioni

Gli analizzati principi di accountability, privacy by design e privacy by default, prima estranei al nostro ordinamento, hanno di fatto rivoluzionato l’approccio precedente al tema della privacy. Se infatti “ieri” era sufficiente un “approccio reattivo”, che permetteva di svolgere i trattamenti senza un vero coordinamento con il sistema privacy, “oggi” invece è necessario adottare un “approccio proattivo”, il quale obbliga a predisporre una valutazione di impatto ogni volta che si avvii un progetto o un’attività che prevede un trattamento di dati personali, documentandone tutte le valutazioni e le misure poste in essere per proteggere e tutelare tali dati.

 

A cura di Paolo Pompermaier

Per informazioni:

Tel. 0461/916604

fiscale@volontariatotrentino.it  

 

 
Cancella iscrizione Invia la tua news