Il nuovo regolamento comunitario sulla privacy

Pubblicato il 03 maggio 2018

Nel maggio del 2016 è entrato in vigore il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio sulla privacy ed, in particolare, sul trattamento dei dati personali delle persone fisiche, della loro protezione e della circolazione di tali dati. Con il nuovo regolamento viene abrogata la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati GDPR - General Data Protection Regulation).

 

Il regolamento entrerà operativamente in vigore il prossimo 25 maggio 2018 in tutti i Paesi dell’Unione Europea. Relativamente all’Italia, a suo tempo era stata emanata la legge n. 675 del 31 dicembre 1996 in attuazione della direttiva 95/46/CE, poi successivamente vi sono stati altri interventi normativi come il D.P.R. n. 318 del 28 luglio 1999, con il quale sono state individuate le misure minime di sicurezza per i dati personali oggetto di trattamento, e il D.Lgs. n. 467 del 28 dicembre 2001, che apportava sostanziali modifiche alla disciplina sulla privacy.

 

Tutta la materia è confluita nel D.Lgs. n. 196 del 30 giugno 2003 (Codice in materia dei dati personali), in vigore dal 1° gennaio 2004, che ha abrogato la disciplina previgente e che è stato oggetto di diversi aggiornamenti e modifiche.

Nonostante la diretta applicabilità e i vincoli previsti dal regolamento europeo, in Italia l’art. 13 della Legge n.163 del 25 ottobre 2017 (Legge di delegazione europea 2016-2017) ha delegato il Governo ad adottare uno o più decreti legislativi, entro il 21 maggio 2018, al fine di adeguare il quadro normativo nazionale alle disposizioni ivi contenute.

Secondo quanto previsto dalla legge di delegazione europea, il Codice in materia di trattamento dei dati personali, dovrà prevedere:

 

In Italia, in attuazione dell’articolo 13 della citata legge di delegazione, sono state introdotte alcune disposizioni per l’adeguamento della normativa nazionale al regolamento europeo, nello specifico per la protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.

 

Dal prossimo 25 maggio 2018, le disposizioni di diritto europeo, prevarranno sulle vigenti norme in materia di protezione dei dati personali, le nuove disposizioni previste dal Regolamento saranno immediatamente applicabili, e si farà anche riferimento alle norme recate dallo schema di decreto volte ad armonizzare l’ordinamento interno al nuovo quadro normativo dell’Unione Europea.

La legge di delegazione abilita il Governo italiano a prevedere specifici provvedimenti attuativi e integrativi adottati dal Garante per la protezione dei dati personali, nell’ambito e per le finalità previste dal regolamento.

 

Inoltre, già con la recente Legge di bilancio 2018 (Legge n. 205 del 27 dicembre 2017), in vista dell’applicazione del nuovo regolamento, sono stati attribuiti al Garante della Privacy, a tutela dei diritti fondamentali e delle libertà dei cittadini, alcuni poteri di carattere regolamentare, di vigilanza e inibitori, in più sono previste delle modifiche ed innovazioni per quanto concerne la protezione dei dati personali ed il loro trattamento.

 

Ambito di applicazione del regolamento

Il regolamento sulla protezione dei dati, disciplina la tutela del trattamento dei soli dati personali, con lo scopo di assicurare la protezione dei diritti e delle libertà delle persone fisiche in maniera equivalente in tutti gli Stati membri e la libera circolazione dei dati, ordinando i principi e le condizioni per procedere al legittimo trattamento degli stessi.

Sono, dunque, esclusi dall’ambito di applicazione delle suddette disposizioni il trattamento dei dati relativi alle persone giuridiche.

Il dato personale

Il regolamento europeo adotta una definizione ampia di dato personale, in particolare secondo l’art. 4 per dato personale si deve intendere qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato). Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Estensione dell’ambito di applicazione

Gli obiettivi che il regolamento persegue richiedono una estensione dell’ambito di applicazione delle sue disposizioni. L’art. 2 del regolamento, sull’ambito di applicazione materiale, specifica che le disposizioni si applicano al trattamento “interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi”.

In più, secondo quanto indicato dallo stesso articolo, il regolamento non trova applicazione con riguardo al trattamento dei dati:

 

Quanto all’ambito di applicazione territoriale, viene accolto come criterio generale il cd. principio di stabilimento.

 

NB! - Lo stabilimento implica l’effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile. A tale riguardo, non è determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica.

 

Il regolamento si applica ai trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento stabiliti nel territorio dell’Unione europea, a prescindere dalla circostanza che il trattamento sia o meno ivi concretamente effettuato, e a prescindere dalla nazionalità o dal luogo di residenza dei soggetti interessati cui si riferiscono i dati personali trattati.

Il regolamento (all’art. 3 secondo comma del regolamento) rende vincolanti le norme anche al trattamento effettuato da titolari del trattamento e responsabili del trattamento non stabiliti nell’Unione europea, in due casi:

 

Principi applicabili al trattamento dei dati personali

Nel regolamento europeo vengono ribaditi i principi (liceità, correttezza e trasparenza del trattamento, minimizzazione, limitazione della conservazione, finalità del trattamento) che dovranno trovare applicazione al trattamento dei dati personali, parte dei quali risultano ben noti e definiti, in quanto già previsti sia dall’attuale Codice privacy sia dalla direttiva 95/46/CE.

Tali principi sono individuati anche grazie alle indicazioni emerse dalla prassi e dalla giurisprudenza, che nel tempo si sono occupate della materia, rafforzandone la portata.

A questi ultimi principi si aggiunge, il principio previsto dall’articolo 5 del regolamento, ovvero quello di “responsabilizzazione” o “accountability”, in forza del quale il titolare del trattamento è tenuto a porre in essere tutte le misure tecniche e organizzative adeguate per garantire e dimostrare che il trattamento dei dati personali degli interessati è effettuato nel rispetto di determinati principi individuati proprio nell’articolo 5 e da altre norme del regolamento.

 

Nello specifico secondo i principi individuati, i dati personali devono essere:

 

Relativamente alla conservazione, i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal regolamento a tutela dei diritti e delle libertà dell’interessato.

 

NB! - Una apposita sezione del regolamento (Diritti dell’Interessato) regola l’attuazione concreta dei principi sopra esposti.

 

Trattamento dei dati

Il regolamento conferma la regola per cui, ai fini della sua validità, ogni trattamento deve trovare fondamento in un’idonea base giuridica che, oltre al consenso dell’interessato, è individuata nella sussistenza delle seguenti condizioni:

In merito alle suddette condizioni il Codice delle Privacy in Italia prevede alcune “basi giuridiche” in particolare all’articolo 24 il quale individua i casi in cui può essere effettuato il trattamento dei dati senza consenso.

In particolare, secondo il citato articolo, il consenso non è richiesto, oltre che nei casi previsti nella Parte II, quando il trattamento:

 

Consenso dell’interessato

Con l’entrata in vigore del nuovo regolamento, assume anche rilievo la definizione prevista dallo stesso di consenso dell’interessato, ovvero qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.

 

NB! - Tale definizione apre la strada alla possibilità che la dichiarazione di consenso non risulti necessariamente da una documentazione resa per iscritto, se sia stata resa in maniera inequivocabile.

 

Il regolamento specifica che il consenso deve essere espresso tramite un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio, mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale (principio di libertà delle forme).

Per fare questo si potrebbe prevedere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in un determinato contesto che l’interessato accetta il trattamento proposto.

Non determina consenso il silenzio, l’inattività o la preselezione di caselle.

Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.

 

Altro aspetto interessante riguarda la libera espressione del consenso. Il regolamento esclude che lo stesso possa essere ritenuto liberamente espresso se l’interessato non è in grado di operare una scelta libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio.

Su tale aspetto il regolamento è in linea con gli orientamenti espressi dal Garante in tema di libera espressione del consenso.

Altro requisito attiene alla specificità del consenso elemento che viene già richiesto dal Codice della privacy.

Tale requisito è soddisfatto nel momento in cui il consenso è applicato a tutte le attività di trattamento svolte per la stessa o le stesse finalità, al contrario se il trattamento viene effettuato per la realizzazione di più finalità, il consenso dovrebbe essere prestato per ciascuna di esse.

Relativamente alle condizioni per la prestazione del consenso queste sono specificate dall‘articolo 7 del regolamento.

Secondo quanto previsto dalla norma il titolare del trattamento deve essere sempre in grado di dimostrare che l’interessato ha inequivocabilmente prestato il proprio consenso al trattamento dei suoi dati personali, ed è necessario porre particolare attenzione a tale onere probatorio quando il consenso non viene acquisto per iscritto.

Se, invece, il consenso viene concesso nell’ambito di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso deve essere ben distinta dalle altre materie trattate sul documento in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.

Quando il trattamento è basato sul consenso, l’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento.

Tuttavia, la revoca non è idonea a pregiudicare la liceità del trattamento già effettuato e basato sul consenso precedentemente prestato.

Il diritto di revocare il consenso prestato deve essere indicato nell’informativa comunicata all’interessato prima di esprimere il consenso medesimo, infine il consenso è revocato con la stessa facilità con cui è accordato.

Nel valutare se il consenso sia stato liberamente prestato, si tiene in considerazione l’eventualità che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.

 

La privacy e le professioni economico-giuridiche

Il nuovo regolamento europeo sul trattamento dei dati personali è stato oggetto di studio da parte del Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili e della Fondazione Nazionale dei Dottori Commercialisti, tramutatosi in un documento che tra gli altri aspetti risulta utile ad una prima autovalutazione del livello di adeguamento degli studi professionali alla nuova disciplina.

Il documento oltre a sviluppare i principali aspetti normativi del nuovo regolamento, tratta anche la materia come opportunità professionale in quanto rientrante tra le competenze delle professioni economiche giuridiche.

In più vengono fornite indicazioni operative sia a livello di formazione, che per quanto riguarda l’adeguamento degli studi professionali ai nuovi obblighi.

Dal punto di vista dei professionisti, il regolamento UE 2016/679 impone un cambiamento culturale nell’approccio al modello di gestione della Privacy, che deve essere adeguatamente affrontato anche per evitare l’assoggettamento a gravi sanzioni.

Con specifico riferimento alla professione dei Dottori Commercialisti, oltre all’esperienza maturata già a partire dalla Legge 675/96 e con il D.lgs. 196/03, la stessa privacy rientra tra le materie oggetto della formazione professionale continua a cura degli Ordini territoriali e degli altri enti accreditati.

Attualmente non sono previsti specifici requisiti professionali e/o obblighi formativi da assolvere per i soggetti che intendano fornire consulenza in materia di privacy o assumere l’incarico di Data Protection Officer (DPO) ovvero di una figura dotata di particolari qualità professionali, in specie di conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati personali, nonché di capacità di assolvere all’adempimento di specifici compiti previsti dalla norma.

 

NB! - Il DPO si caratterizza per la sua indipendenza ed autonomia nell’assolvimento dell’incarico ad esso affidato, ancorché possa trattarsi di un dipendente del titolare del trattamento o di un soggetto ad esso legato da un rapporto di prestazione di servizi.

 

Bisognerà quindi attendere che la disciplina trovi una sua compiuta determinazione, grazie all’emanazione dei necessari decreti delegati e che il Garante elabori eventuali ulteriori indicazioni.

Nell’attesa gli stessi commercialisti ritengono che gli iscritti all’Albo possano proseguire la propria attività di consulenza in materia di privacy e, in forza delle specifiche competenze maturate, ricoprire in questa fase di iniziale applicazione del regolamento, l’incarico di DPO per società ed enti.

 

Quadro normativo

Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016

Legge n. 675 del 31 dicembre 1996

D.Lgs. n.196 del 30 giugno 2003

Legge n.163 del 25 ottobre 2017

GDPR, documento Cndcec - Fnc

Condividi l'articolo
Potrebbe interessarti anche

Terziario Confesercenti. Accordo integrativo

22/11/2024

CCNL Terziario Confesercenti - Accordo integrativo del 4/11/2024

22/11/2024

CCNL Comunicazione artigianato - Ipotesi di accordo del 18/11/2024

22/11/2024

Comunicazione artigianato. Rinnovo

22/11/2024

CCNL Porti - Accordo di rinnovo del 18/11/2024

22/11/2024

Ccnl Porti. Rinnovo

22/11/2024

Ai sensi dell'individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei dati personali - Regolamento (UE) n.2016/679 (GDPR)
Questo sito non utilizza alcun cookie di profilazione. Sono invece utilizzati cookie di terze parti legati alla presenza dei "social plugin".

Leggi informativa sulla privacy