Siete qui: Oggi sulla stampa
Oggi sulla stampa

Dati e informativa, istruzioni per l’uso

Il garante della privacy italiano ha compilato sei schede per aiutare le imprese ad avere le idee chiare: 1) fondamenti di liceità del trattamento; 2) titolare, responsabile, incaricato del trattamento; 3) informativa; 4) approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili; 5) diritti degli interessati; 6) trasferimenti internazionali di dati. Per ciascuna scheda, il garante ha indicato che cosa cambia e cosa rimane fermo rispetto al codice della privacy (dlgs 196/03).

Consenso. Per i dati «sensibili» il consenso deve essere «esplicito»; lo stesso vale per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione). Il consenso non deve essere «documentato per iscritto», né è richiesta la «forma scritta», anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere «esplicito» (per i dati sensibili); inoltre, il titolare deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento. Il consenso dei minori è valido a partire dai 16 anni; prima occorre raccogliere il consenso dei genitori o di chi ne fa le veci. In materia di legittimo interesse (trattamento dati senza consenso), il bilanciamento fra legittimo interesse del titolare o del terzo e diritti e libertà dell’interessato è compito dello stesso titolare. Il garante suggerisce di studiare e replicare le prescrizioni fornite, tra gli altri con i provvedimenti sul trattamento di dati biometrici; sulla videosorveglianza e sui sistemi di rilevazione informatica anti-frode.

Titolari e responsabili. Il regolamento Ue disciplina la contitolarità del trattamento e impone ai titolari di definire con un atto giuridicamente valido ai sensi del diritto nazionale obblighi reciproci. Si stabilisce l’obbligo di un contratto (o altro atto giuridico conforme al diritto nazionale) tra titolare e un responsabile del trattamento; si consente la nomina di sub-responsabili del trattamento da parte di un responsabile. Si prevedono obblighi per i responsabili del trattamento (tenuta del registro dei trattamenti svolti; idonee misure tecniche e organizzative; designazione di un responsabile della protezione dei dati, nei casi previsti). Il garante ricorda che sono compatibili con il regolamento le designazioni degli incaricati del trattamento e ritiene opportuno che titolari e responsabili del trattamento mantengano in essere la struttura organizzativa e le modalità di designazione degli incaricati di trattamento così come delineatesi sotto il codice della privacy.

Informativa. Il titolare deve sempre specificare i dati di contatto del responsabile della protezione dei dati, se esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in paesi terzi e, in caso affermativo, attraverso quali strumenti.

Inoltre, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo. Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi e le conseguenze.

Nel caso di dati personali non raccolti direttamente presso l’interessato l’informativa deve essere fornita entro un termine ragionevole che non può superare un mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato). Il regolamento ammette l’utilizzo di icone per presentare i contenuti dell’informativa in forma sintetica, ma «in combinazione» con l’informativa estesa; queste icone dovranno essere identiche in tutta l’Ue e saranno definite dalla Commissione europea.

Il garante chiede ai titolari di verificare la rispondenza delle informative attualmente utilizzate a tutti i criteri, con particolare riguardo ai contenuti obbligatori e alle modalità di redazione, in modo da apportare le modifiche o le integrazioni necessarie prima del 25 maggio 2018.

Il regolamento supporta chiaramente il concetto di informativa «stratificata» (cartello e informativa lunga, come nel videosorveglianza).

I titolari potranno, una volta adeguata l’informativa nei termini sopra indicati, continuare o iniziare a utilizzare queste modalità per la prestazione dell’informativa, comprese le icone che il garante ha in questi anni suggerito nei suoi provvedimenti, in attesa della definizione di icone standardizzate. Dovranno essere adottate anche le misure organizzative interne idonee a garantire il rispetto della tempistica: il termine di un mese per l’informativa all’interessato è un termine massimo.

Responsabilizzazione. A titolari e responsabili il compito di far l’analisi dei rischi, e, quando occorrono, la valutazione d’impatto e la consultazione preliminare del garante.

Quest’ultimo ricorda che l’autorità non avrà il compito di «autorizzare» il trattamento, ma di indicare le misure ulteriori da implementare a cura del titolare e potrà, se necessario, adottare tutte le misure correttive: dall’ammonimento del titolare fino alla limitazione o al divieto di procedere al trattamento. L’intervento dei garanti sarà principalmente «ex post», e cioè si collocherà successivamente alle determinazioni assunte dal titolare: dal 25 maggio 2018 muoiono, quindi, la notifica preventiva dei trattamenti all’autorità di controllo e il cosiddetto prior checking (o verifica preliminare), dalla tenuta di un registro dei trattamenti da parte del titolare/responsabile e, dalla effettuazione di valutazioni di impatto in piena autonomia.

Sul registro dei trattamenti, il garante sta valutando di mettere a disposizione un modello di registro dei trattamenti sul proprio sito.

Non potranno sussistere, dopo il 25 maggio 2018, obblighi generalizzati di adozione di misure «minime» di sicurezza: ogni valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati.

Il garante potrà valutare la definizione di linee-guida o buone prassi. Per alcune tipologie di trattamenti potranno restare in vigore le misure di sicurezza attualmente previste attraverso le disposizioni di legge volta per volta applicabili: è il caso dei trattamenti di dati sensibili svolti dai soggetti pubblici per finalità di rilevante interesse pubblico nel rispetto degli specifici regolamenti nei limiti in cui questi ultimi contengano disposizioni per la sicurezza.

A partire dal 25 maggio 2018, tutti i titolari, e non soltanto i fornitori di servizi di comunicazione elettronica accessibili al pubblico, dovranno notificare al garante le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque «senza ingiustificato ritardo», ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati: la notifica all’autorità dell’avvenuta violazione non è obbligatoria, ma subordinata alla valutazione del rischio per gli interessati che spetta, ancora una volta, al titolare. Se la probabilità di tale rischio è elevata, si dovrà informare delle violazione anche gli interessati.

Tutti i titolari di trattamento dovranno documentare le violazioni di dati personali subite.

Print Friendly

Condividi su

Potrebbe interessarti anche
Oggi sulla stampa

Non ha tempi, non ha luoghi, non ha obbligo di reperibilità: è lo smart working di ultima generazi...

Oggi sulla stampa

Oggi sulla stampa

«Sono entusiasta di essere stato nominato ad di Unicredit, un’istituzione veramente paneuropea e ...

Oggi sulla stampa

Oggi sulla stampa

Il primo annuncio è arrivato all’ora di pranzo, quando John Elkann ha rivelato che la Ferrari pre...

Oggi sulla stampa