Codice della Privacy: adeguamento alle disposizioni UE
Pubblicato il 11 ottobre 2018
In questo articolo:
- Principio della responsabilizzazione (Accountability)
- Il decreto di adeguamento
- Individuazione delle misure di sicurezza
- Gestione dei dati personali
- Contenuti dell’informativa
- Tempistica per l’informativa
- Caratteristiche dell’informativa
- La nomina di un DPO
- Ipotesi di nomina obbligatoria di un DPO
- DPO e professionisti
- Strumenti di ausilio per i professionisti
- Organizzazione dello studio professionale
- Periodo di conservazione dei dati
Condividi l'articolo:
Il 4 settembre 2018 è stato pubblicato sulla “Gazzetta Ufficiale” n. 205 il Decreto legislativo n. 101 del 10 agosto 2018. Il decreto contiene le disposizioni per l’adeguamento del D.lgs. 196/2003 (Codice della Privacy) alle disposizioni del Regolamento (Ue) 2016/679, anche noto come “Regolamento generale sulla protezione dei dati” GDPR.
Il D.lgs. 101/2018, entrato in vigore il 19 settembre 2018, è composto da 27 articoli, molti dei quali abrogano le disposizioni del Codice previgente che, all’esito di un giudizio di compatibilità, sono risultate contrastanti con le disposizioni del Regolamento europeo.
Le abrogazioni introdotte richiederanno, in particolare, uno sforzo interpretativo e di adeguamento non trascurabile, considerando che il legislatore ha previsto una fase di adattamento in cui si terrà conto delle difficoltà incontrate, ai fini della compliance con il Regolamento e con il D.lgs. 101/2018 stesso, per irrogare le sanzioni a carico di eventuali trasgressori.
In questo contesto, particolare rilievo assumono le disposizioni che “traghettano” il regime normativo precedente verso un nuovo assetto della privacy in Italia, che, salvo qualche refuso o imprecisione terminologica e formalistica (già individuati dal legislatore), appaiono in linea con il quadro europeo.
Le diverse abrogazioni attuate dal D.lgs. 101/2018, nonché le modifiche e le sostituzioni introdotte dalle altre disposizioni, evidenziano alcune difficoltà di coordinamento e comprensione cui andranno incontro le imprese e gli operatori del settore.
Tra le abrogazioni operate dal D.lgs. 101/2018 si evidenziano quelle relative al quadro sanzionatorio, in recepimento dell’irrigidimento imposto dal legislatore della Ue, soprattutto sotto il profilo pecuniario.
Scompaiono dal panorama legislativo nazionale le autorizzazioni generali, strumento cui i titolari del trattamento attingevano per avere chiarimenti sulle misure di sicurezza da applicare a tutti i trattamenti analoghi a quelli oggetto del provvedimento del Garante per la protezione dei dati personali, e le verifiche preliminari, lasciando così “scoperto” il titolare che tendeva a rifugiarsi sotto l’“ombrello” del Garante.
Vengono meno anche tutti i principi generali previsti dal Codice previgente, così come non trascurabile è l’abrogazione delle norme in tema di misure di sicurezza.
Ciò avviene conseguentemente all’introduzione del principio dell’”accountability” di cui all’articolo 5 comma 2 del Regolamento, secondo cui spetta solamente al titolare individuare e applicare le più idonee e pertinenti misure tecniche e operative ai trattamenti da questo effettuati.
È auspicabile che il Garante si accinga, in tempi piuttosto rapidi, ad adottare tutti i provvedimenti contemplati dal D.lgs. 101/2018 (ad esempio, quelli a carattere generale di cui all’articolo 21 del D.lgs. 101/2018 o quelli a carattere particolare per il trattamento dei dati genetici, biometrici e sanitari ex articolo 2-septies del Codice della Privacy), al fine di fornire opportune indicazioni e linee guida a tutti gli operatori del settore.
Principio della responsabilizzazione (Accountability)
Il Regolamento europeo sulla privacy (GDPR), in vigore dal 24 maggio 2016, pienamente applicabile in tutti gli Stati membri Ue dallo scorso 25 maggio 2018, valorizza il principio della responsabilizzazione nella gestione dei dati personali in capo a titolari e responsabili del trattamento, la cosiddetta accountability.
Con riferimento ai professionisti, il legislatore europeo richiede agli stessi (commercialisti, avvocati, consulenti del lavoro e professionisti in generale) un vero e proprio cambiamento culturale che parta da una nuova consapevolezza dell’importanza del dato personale e della sua tutela, che deve essere vista come a garanzia dei diritti e delle libertà fondamentali dell’individuo, fino alla concreta gestione della privacy nell’ambito dei luoghi di lavoro.
Questo approccio basato appunto sull’accountability e sulla analisi dei rischi, rappresenta una grande novità per la protezione dei dati, in quanto viene affidato agli stessi professionisti/titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specificati nel Regolamento europeo.
Il decreto di adeguamento
Il legislatore italiano ha adeguato il Codice interno della privacy alle disposizioni del GDPR, anche se, a prescindere dall’adeguamento, la disciplina europea sulla privacy Ue risulta direttamente e immediatamente applicabile agli Stati membri (dallo scorso 25 maggio), essendo il Regolamento una fonte del diritto europeo cosiddetta “self-executing”, che non necessita di atti formali di recepimento.
La legge di delegazione europea (2016-2017), n. 163 del 25 ottobre 2017, ha delegato il Governo ad adottare, entro 6 mesi dalla pubblicazione della legge di delega, uno o più decreti legislativi di adeguamento della normativa italiana al GDPR.
La delega non è stata esercitata nei termini previsti, pertanto la scadenza per l’esercizio della delega è stata automaticamente prorogata di 3 mesi, vale a dire fino al 21 agosto 2018. Da qui, si arriva al decreto legislativo 101/2018, denominato appunto “Decreto di adeguamento”, che è intervenuto nella struttura del Codice privacy, rimasto in vigore, con:
- l’abrogazione delle norme incompatibili con il GDPR;
- l’adeguamento delle norme compatibili;
- l’introduzione di nuove disposizioni negli ambiti in cui il GDPR lascia flessibilità di intervento ai singoli Stati.
Individuazione delle misure di sicurezza
Relativamente alle misure di sicurezza, al contrario del D.lgs. 196/2003, il Regolamento europeo non contiene un disciplinare tecnico delle misure minime di sicurezza da adottare, in quanto, in virtù del principio di responsabilizzazione, sono in capo al titolare/responsabile del trattamento la valutazione e la scelta, caso per caso, delle misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato e appropriato al rischio.
A tal proposito, il D.lgs. 101/2018 reintroduce in un certo modo le misure di sicurezza, ridenominandole “misure di garanzia”, limitandole a determinate categorie particolari di dati personali (ad esempio, per i dati genetici, biometrici e relativi alla salute).
L’indicazione la troviamo nell’art. 2, co. 3, D.lgs. 101/2018, il quale introduce nel corpo del D.lgs. 196/2003 l’art. 2-septies rubricato “Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute”.
Saranno necessari dei provvedimenti del Garante ella Privacy ai fini dell’operatività di tali misure, provvedimenti che dovranno essere emessi periodicamente per essere sempre aggiornati con l’evoluzione scientifica e tecnologica.
Gestione dei dati personali
La gestione dei dati personali va definita rispettando, oltre che il principio della responsabilizzazione sopra descritto, anche un altro criterio cardine previsto dall’art. 25 del Regolamento europeo ovvero il:
- criterio della “Protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita”.
In particolare, si ritiene di configurare il trattamento dei dati, prevedendo fin dall'inizio le garanzie indispensabili per soddisfare i requisiti indicati dal Regolamento, e tutelare i diritti degli interessati, tenendo conto del contesto in cui il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.
Tutto questo deve avvenire prima di procedere al trattamento dei dati e prima di determinare i mezzi del trattamento, e richiede al titolare/professionista un'analisi preventiva e un’attività di valutazione ex ante delle situazioni, che consentano una programmazione e una pianificazione del processo specifico di trattamento dei dati personali conforme al Regolamento.
NB! - Il titolare/professionista dovrà predisporre misure tecniche ed organizzative adeguate per garantire che, rispetto all’implementazione, siano trattati di default (per impostazione predefinita) solo i dati personali necessari per ogni specifica finalità del trattamento. |
Contenuti dell’informativa
L’informativa che i professionisti nonché le imprese, in veste di titolari del trattamento di dati personali, devono fornire all’interessato è sensibilmente diversa con il nuovo Regolamento europeo, sia dal punto di vista dei contenuti obbligatori, sia dal punto di vista delle caratteristiche e modalità di comunicazione del messaggio informativo e della sua tempistica.
Il decreto di adeguamento del Codice della privacy al GDPR contiene, oltre a disposizioni autonome, espresse modifiche a determinate norme del D.lgs. 196/2003, nonché esplicite abrogazioni di alcuni Titoli, Capi, Sezioni, Articoli e Allegati dello stesso D.lgs. 196/2003.
I contenuti obbligatori dell’informativa sono elencati tassativamente nell’art. 13 (Dati raccolti presso l’interessato) e nell’art. 14 (Dati non ottenuti presso l’interessato) del Regolamento Ue e sono più ampi rispetto a quelli previsti dal D.lgs. 196/2003, prima delle modifiche effettuate dal D.lgs. 101/2018.
Relativamente ai contenuti obbligatori dell’informativa, il titolare o professionista dovrà evidenziare in modo chiaro, trasparente e con linguaggio semplice:
- l’identità ed i dati di contatto del titolare del trattamento (e, ove applicabile, del suo rappresentante);
- i dati di contatto del responsabile della protezione dei dati (se nominato);
- le finalità del trattamento cui sono destinati i dati personali e la base giuridica del trattamento;
- i legittimi interessi perseguiti dal titolare del trattamento o da terzi, se fungono da base giuridica del trattamento;
- gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
- l’intenzione del titolare del trattamento di trasferire dati personali a un Paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o il riferimento alle garanzie appropriate od opportune e i mezzi per ottenere una copia di tali garanzie o il luogo dove sono state rese disponibili;
- il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
- l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
- l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso anteriormente prestato, nei casi di trattamento basato sul consenso, anche di categorie particolari di dati;
- il diritto di proporre reclamo a un’autorità di controllo;
- se la comunicazione di dati personali è un obbligo legale o contrattuale o un requisito necessario per la conclusione di un contratto e se l’interessato ha l’obbligo di fornire i dati personali, oltre alle possibili conseguenze circa la mancata comunicazione di tali dati;
- l’esistenza di un processo decisionale automatizzato, compresa la profilazione e, in tali casi, le informazioni significative sulla logica utilizzata, oltre all’importanza e alle conseguenze previste di tale trattamento per l’interessato
Occorre rendere note le sopra descritte informazioni (con esclusione del riferimento alla comunicazione dei dati personali come obbligo legale o contrattuale), con l’aggiunta di due elementi:
- le categorie di dati personali oggetto di trattamento;
- la fonte da cui hanno origine i dati personali e, se del caso, dell’eventualità che i dati provengano da fonti accessibili al pubblico.
Tempistica per l’informativa
Nel caso di dati raccolti direttamente presso l'interessato, l'informativa deve essere fornita prima di effettuare la raccolta dei dati.
Nella differente ipotesi in cui i dati personali non siano raccolti direttamente presso l'interessato, l'informativa deve essere fornita entro un termine ragionevole non superiore ad un mese dalla raccolta, oppure, nel caso in cui i dati siano destinati alla comunicazione con l’interessato, l’informativa va fornita al momento della prima comunicazione all’interessato.
NB! - I professionisti e le imprese, per adeguarsi alla nuova normativa europea sulla privacy, dovranno adottare anche misure organizzative interne idonee a garantire il rispetto della tempistica. Il termine di un mese per fornire l'informativa all'interessato è chiaramente un termine massimo, ricordando inoltre che il Regolamento Ue menziona in primo luogo che il termine deve essere ragionevole. |
Caratteristiche dell’informativa
Il Regolamento Ue specifica molto più in dettaglio rispetto al Codice della privacy, nella sua versione originaria prima delle modifiche da parte del D.lgs. 101/2018, le caratteristiche dell'informativa.
Le informazioni sopra descritte devono essere concise, trasparenti e facilmente accessibili per l’interessato.
Occorre utilizzare un linguaggio chiaro e semplice, inoltre per i minori occorre prevedere informative idonee specificatamente destinate ad essi.
L'informativa viene data, in linea di principio, per iscritto e preferibilmente, in formato elettronico, ovviamente nel contesto di servizi on line, ma sono ammessi altri mezzi, quindi può essere fornita anche oralmente, pur nel rispetto delle caratteristiche previste e purché sia comprovata l’identità dell’interessato.
La nomina di un DPO
Con riferimento ai “soggetti privacy”, il Regolamento europeo prevede alcune figure protagoniste nell’ambito della normativa della privacy già presenti nel Codice nella sua versione originaria, come il titolare (e contitolare) del trattamento, il responsabile del trattamento e l’interessato.
Il Regolamento europeo introduce una nuova ed importante figura: il responsabile della protezione dei dati (DPO – Data Protection Officier).
La designazione di un responsabile della protezione dati riflette l'approccio della responsabilità (accountability) insito nel Regolamento europeo, essendo questa figura finalizzata a facilitare l'attuazione dello stesso da parte del titolare e del responsabile.
Fra i compiti del DPO rientrano in particolare la sensibilizzazione e la formazione del personale e la sorveglianza sullo svolgimento della valutazione di impatto sulla protezione dei dati di cui all'art. 35, Regolamento Ue ovvero quando un tipo di trattamento (prevedendo l'uso di nuove tecnologie), considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
I DPO saranno al centro di questo nuovo quadro giuridico-normativo attraverso questo ruolo di facilitatori, in quanto chiamati appunto a facilitare l’osservanza delle disposizioni del GDPR.
La figura del DPO sembra tuttavia non costituire una novità assoluta, in quanto anche se la Direttiva 95/46/Ce non prevedeva alcun obbligo di nomina, in molti Stati membri questa è divenuta una prassi nel corso degli anni ancora prima dell’adozione del Regolamento Europeo.
Oltre a favorire l’osservanza attraverso strumenti di accountability (supportando valutazioni di impatto e conducendo o inoltre supportando audit in materia di protezione dei dati), i DPO fungono da interfaccia fra tutti i soggetti coinvolti nel sistema della privacy.
Ipotesi di nomina obbligatoria di un DPO
Secondo quanto previsto dal Regolamento Ue, alcuni titolari e responsabili del trattamento sono tenuti obbligatoriamente a nominare un Responsabile della protezione dei dati.
L’art. 37, par. 1, Regolamento Ue stabilisce che la nomina di un DPO è obbligatoria in 3 specifici casi (da interpretarsi naturalmente in via alternativa):
- se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
- se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
- se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati (di cui all’art. 9, Regolamento Ue) o di dati personali relativi a condanne penali e reati (di cui all’art. 10, Regolamento Ue).
DPO e professionisti
Con riferimento alle libere professioni, il Garante non ritiene obbligatoria la nomina del DPO in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale. Con riferimento, ad esempio, ai Dottori Commercialisti, il Consiglio Nazionale ritiene tale nomina, comunque, raccomandata anche alla luce del principio di accountability che permea il Regolamento. Il Consiglio ritiene necessario indicare per ciascuno studio professionale almeno un Referente GDPR al quale fare riferimento, sia ai fini di eventuali verifiche e controlli, sia al fine di consentire un migliore e agevole esercizio dei diritti degli interessati.
Strumenti di ausilio per i professionisti
Le novità sui nuovi adempimenti privacy coinvolgono necessariamente i Dottori Commercialisti e le varie nuove problematiche sono state affrontate dal Consiglio Nazionale, che oltre a numerosi chiarimenti, ha provveduto a dotare i professionisti di alcuni strumenti per operare nei propri studi professionali. In particolare sono state redatte alcune “Check list”, che aiutano gli stessi professionisti nella direzione della compliant alla nuova normativa.
Il nuovo contesto richiede un processo valutativo basato sulla “Risk Analisys”, tipico dei sistemi di gestione di Internal Auditing, e i chiarimenti e i suggerimenti operativi del Consiglio Nazionale possono costituire un’efficace forma di auto-valutazione preventiva.
Operativamente sono state proposte delle “Check list” tematiche, dedicate ad argomenti distinti, e una tabella di mappatura delle categorie dei dati raccolti, da utilizzare per valutare il livello di adeguamento degli studi professionali alle nuove disposizioni del regolamento.
Anche per gli stessi Studi professionali, come per tutti i soggetti che effettuano trattamenti di dati personali, vige il principio di responsabilizzazione (accountability) e, pertanto, a prescindere dall’adozione delle misure suggerite dalle “Check list”, ciascun titolare del trattamento dovrà dimostrare di avere valutato con discernimento la propria posizione in termini di rischiosità e di aver adottato adeguati modelli organizzativi con una strategia trasparente nei confronti degli interessati.
L’attività di controllo indicata per i professionisti (Commercialisti) consiste inizialmente in una mappatura delle categorie di dati raccolti, trattati e conservati, partendo dai più importanti processi riguardanti le principali attività di studio.
Le informazioni catalogate vanno completate con la stima del periodo di conservazione e l’analisi comprenderà i dati di tutti gli interessati (clienti, fornitori, dipendenti, tirocinanti, ecc.).
L’attività di autovalutazione verrà effettuata su determinati argomenti riguardanti ad esempio:
- i dati personali trattati;
- i diritti degli interessati;
- l’accuratezza e la conservazione;
- i requisiti di trasparenza;
- gli altri obblighi del titolare;
- la sicurezza del trattamento;
- i data brache (sicurezza dei dati);
- il trasferimento dati personali.
Tale sistema permette di individuare gli ambiti di intervento per conformarsi al Regolamento, andando ad analizzare tutte le misure mancanti.
Una terza fase consisterà nella individuazione delle misure relative all’adeguato trattamento dei dati non ancora attuate.
Organizzazione dello studio professionale
Nell’ambito degli studi professionali, il titolare del trattamento dovrà impostare tutte le attività e l’organizzazione di studio rispettando il principio della “Protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita”, vale a dire adottando adeguate misure tecniche ed organizzative, prima che il trattamento dei dati personali abbia inizio, idonee a consentire il rispetto dei criteri di minimizzazione dei dati, limitazione della conservazione e ad evitare la comunicazione dei dati a persone non autorizzate.
Qualora lo studio effettui, inoltre, profilazioni, trattamenti automatizzati, trattamenti trasfrontalieri di dati personali, videosorveglianza, monitoraggio sistematico o trattamenti su larga scala, dovrà prevedere informative, consensi, e misure adeguate al maggiore livello di rischiosità concretizzato per la protezione dei dati.
Infine, occorre prevedere sempre una procedura per la violazione dei suddetti dati personali e appositi meccanismi per consentire l’esercizio dei diritti dell’interessato.
Periodo di conservazione dei dati
Il periodo di conservazione potrà estendersi ad un arco temporale non superiore a quello strettamente necessario per il raggiungimento delle finalità per cui i dati sono trattati e il criterio più affidabile consiste nel riferirsi alle norme di settore dell’ordinamento che impongono, direttamente o indirettamente, obblighi di conservazione in capo ai professionisti.
In linea generale è bene evidenziare nel contratto con il cliente il periodo di conservazione e, in assenza di riferimenti normativi, i criteri necessari ai fini dell’individuazione del periodo di conservazione.
In questo modo, si potrà provvedere periodicamente alla restituzione dei documenti secondo quanto concordato con il cliente (ad esempio, consegna della denuncia dei redditi o di situazioni contabili, ecc.).
Quadro Normativo |
D.lgs. n. 101 del 10 agosto 2018 D.lgs. n. 196 del 30 giugno 2003 |
Ricevi GRATIS la nostra newsletter
Ogni giorno sarai aggiornato con le notizie più importanti, documenti originali, anteprime e anticipazioni, informazioni sui contratti e scadenze.
Richiedila subitoCondividi l'articolo: