Privacy 2018: cosa cambia con il nuovo Regolamento

GDPR 2018. Cosa cambia con il nuovo Regolamento europeo in materia di trattamento dei dati personali? Quali sono gli adempimenti che si debbono compiere? Che contenuto deve avere l’informativa e quali sono i tempi entro i quali deve essere consegnata? Quali sono le conseguenze in caso di mancato rispetto della normativa europea? Scopriamolo insieme.

In prossimità della piena applicazione del nuovo Regolamento europeo che vedrà, a partire dal 25.05.2018, rivoluzionare il trattamento dei dati personali, numerosi sono i dubbi e le domande circa la corretta applicazione della nuova normativa sulla privacy, alimentati dal timore delle pesanti sanzioni prescritte in caso di mancata ottemperanza.

Abbiamo già chiarito, in un nostro precedente approfondimento, come funziona il nuovo Regolamento sulla Privacy e qual è il suo ambito applicativo (leggi sul punto: Regolamento Privacy 2018: cosa sapere). Ora non resta che capire cosa realmente cambia con la normativa prossima ad essere applicata.

In questo articolo andremo a scoprire, punto per punto, le novità che si apprestano ad essere apportate in materia di trattamento dei dati personali, per sventare il rischio di farsi cogliere impreparati e per rispondere a tutti quei quesiti che conseguono ad una normativa non affatto semplice da comprendere. Ma procediamo con ordine.

Regolamento Privacy 2018: novità in tema di liceità del trattamento

Il regolamento europeo, tra le tante novità che introduce, conserva uno dei principi cardine che deve essere alla base di ogni trattamento dei dati, ovvero quello della liceità, quale base giuridica da osservare scrupolosamente. Il principio di liceità, come avremo modo di vedere, non si discosta molto da come disciplinato nel precedente codice della privacy [1].

I fondamenti di liceità [2] riguardano:

• il consenso;
• l’adempimento;
• gli obblighi contrattuali;
• gli interessi vitali della persona interessata o di terzi;
• gli obblighi di legge cui è soggetto il titolare;
• l’interesse pubblico o esercizio di pubblici poteri;
• l’interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.

Ciò posto, cerchiamo di capire cosa realmente cambierà con la nuova normativa europea e cosa, diversamente, rimarrà immutato.

Gdpr: come deve essere il consenso

In punto di consenso, le novità riguardano prevalentemente i dati sensibili.

Nel dettaglio, per il trattamento di quei dati considerati “sensibili” sarà necessario un consenso “esplicito” dell’interessato. Sul punto, non è prescritta nessuna forma tassativa, mediante la quale il consenso deve essere espresso, anche se quella più comoda ed idonea risulta essere sempre quella scritta.

Per quanto concerne i minori, il loro consenso sarà considerato valido a partire dai 16 anni (riducibile a 13 anni dalla normativa nazionale in determinati casi). Al di sotto di tale soglia, il consenso dovrà essere dato dai genitori o da chi ne fa le veci.

Rispetto alle novità predette, resta immutato quanto segue:

• il consenso deve essere libero, specifico, informato e non tacito o presunto (esempio, non è ammesso un consenso espresso tramite caselle spuntate o su di un modulo);
• il consenso deve esprimersi con una “dichiarazione o azione positiva inequivocabile” [3].

Preme rilevare che i consensi raccolti prima della data di applicazione del Regolamento europeo saranno considerati validi se conformi a quanto prescritto dal nuovo regolamento, diversamente dovranno essere di nuovo raccolti.

Per quanto concerne l’interesse vitale di un terzo, invece, si afferma che lo stesso sarà invocabile solo allorquando le altre condizioni di liceità, sopra elencate, non potranno trovare applicazione.

L’interesse legittimo prevalente di un titolare o di un terzo vede, con la normativa europea, un cambiamento in merito al bilanciamento [4] che deve farsi tra l’interesse legittimo di un terzo e la libertà dell’interessato. Infatti, spetterà non all’Autorità, bensì al titolare del trattamento valutarlo e constatarlo.

Privacy 2018: novità riguardanti i contenuti, tempi e modalità dell’informativa

Per meglio comprendere le novità apportate in merito a contenuti, tempi e modalità dell’informativa, procediamo con l’esaminare singolarmente ciò che c’è da sapere riguardo alla redazione dell’informativa.

Privacy 2018: il contenuto dell’informativa sulla privacy

Il nuovo regolamento europeo va ad elencare tassativamente, ampliandone la portata a dispetto di quanto previsto precedentemente, ciò che l’informativa sulla privacy deve contenere. Nel dettaglio:

• i dati di contatto del Responsabile della protezione dei dati (Data Protection Officer);
• la base giuridica del trattamento;
• l’interesse legittimo;
• se è previsto un trasferimento di dati personali in Paesi terzi e, se sì, con quali mezzi;
• il periodo di conservazione dei dati;
• l’esposizione del diritto di presentare un reclamo all’autorità di controllo;
• l’indicazione della logica dei processi decisionali impiegata e le conseguenze per l’interessato, nei soli casi in cui il trattamento concerna processi decisionali automatizzati come, ad esempio, la profilazione.

Privacy 2018: i tempi dell’informativa

Quali sono i tempi entro i quali l’informativa deve essere consegnata? Ebbene, per tutti i dati personali che non vengono raccolti direttamente dall’interessato [5], l’informativa dovrà essere fornita entro i seguenti termini:

• non oltre 1 mese dalla raccolta;
• oppure al momento della comunicazione a terzi o all’interessato dei dati.

Regolamento 2018: modalità dell’informativa privacy

In merito alle modalità, vale a dire le caratteristiche dell’informativa privacy, la normativa specifica che deve avere forma concisa, trasparente, intellegibile e accessibile, dotata di linguaggio chiaro e comprensibile. Può avere forma scritta, formato elettronico o orale.

Poste le novità che precedono, non cambia il fatto che l’informativa deve:

• essere messa a disposizione dell’interessato prima che vengano raccolti i dati, qualora siano raccolti direttamente presso l’interessato;
• contenere le categorie dei dati personali oggetto di trattamento, se gli stessi non vengono raccolti direttamente presso l’interessato.

E’ bene specificare che, allorquando cambino le finalità del trattamento, l’interessato dovrà essere informato prima di procedere con il trattamento dati ulteriore.

Regolamento privacy 2018: nuovi diritti degli interessati

Con il nuovo regolamento Privacy, si ampliano sensibilmente i diritti degli interessati, vale a dire di coloro ai quali appartengono i dati. Nel dettaglio:

• in materia di modalità per l’esercizio dei diritti da parte degli interessati [6], è prescritto il termine di 1 mese, estendibile a 3 mesi, entro il quale dovrà essere data risposta (scritta o orale) da parte del titolare del trattamento all’interessato;
• resta invariato l’onere del titolare ad agevolare l’esercizio dei diritti da parte dell’interessato, la gratuità e le deroghe prescritte [7];
• diritto di accesso (diritto ad ottenere una copia da parte dell’interessato dei dati oggetto di trattamento);
• il Regolamento europeo statuisce che all’interessato dovrà essere comunicato il periodo di conservazione dei dati e le garanzie applicate nel caso di trasferimento di dati verso Paesi terzi;
• importantissimo, inoltre, il diritto di cancellazione [8], meglio conosciuto come “diritto all’oblio”. Si parla del diritto alla cancellazione dei dati personali in forma rafforzata. Il titolare del trattamento sarà tenuto ad informare prontamente gli altri titolari che trattano gli stessi dati personali della richiesta di cancellazione da parte del titolare. Il suo ambito di applicazione risulta decisamente più esteso;
• diritto di limitazione del trattamento [9]: l’interessato potrà richiederlo nel caso di trattamento illecito (alternativamente alla richiesta di cancellazione); potrà chiedere inoltre la rettifica dei dati.
• diritto alla portabilità dei dati, quale nuovo diritto introdotto, che non troverà applicazione nei trattamenti non automatizzati. Sono da considerare portabili tutti quei dati trattati con il consenso dell’interessato. Presupposto, è che il titolare risulti in grado di trasferire i dati portabili ad altro titolare indicato dall’interessato.

Regolamento Privacy 2018: titolare, responsabile ed incaricato del trattamento

La normativa europea pone la necessità di distinguere due figure: il titolare del trattamento e il responsabile del trattamento.

Per titolare del trattamento è da intendere colui che è tenuto a decidere il motivo e le modalità del trattamento. Il titolare del trattamento viene considerato giuridicamente responsabile dell’inottemperanza degli obblighi previsti dalla normativa in materia di protezione dei dati personali. Mediante contratto, o altro atto equipollente, è chiamato a designare il Responsabile del trattamento.

Con l’introduzione della contitolarità del trattamento, gli stessi sono chiamati a specificare, con atto valido, l’ambito di responsabilità ed i compiti relativi allo specifico esercizio dei diritti degli interessati.

Il Responsabile del trattamento, invece, è tenuto a gestire il trattamento dei dati, ad eccezione della scelta dei mezzi e modalità che, contrariamente, spetta al Titolare.

Il Regolamento europeo introdurrà, anche su questo fronte, interessanti novità.

In particolar modo, consentirà la nomina di “sub-responsabili del trattamento” da parte del Responsabile, per determinate attività, sempre nel rispetto degli obblighi contrattuali propri del rapporto esistente tra titolare e responsabile primario.

A rispondere dell’eventuale inadempimento del sub-responsabile, nei confronti del titolare del trattamento, sarà proprio il Responsabile primario.

Sono stati istituiti, inoltre, una serie di obblighi in capo al Responsabile del trattamento, quali:

• tenuta dei registri dei trattamenti;
• l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti;
• designazione del responsabile della protezione dei dati.

Privacy 2018: responsabilizzazione dei Titolari e dei Responsabili

La normativa europea si rende promotrice di un grande cambiamento, quale quello dell’introduzione di un procedimento mirato alla responsabilizzazione dei Titolari e Responsabili del trattamento, chiamati entrambi ad adottare tutti i comportamenti e le misure più idonee ad assicurare la corretta applicazione del Regolamento.

Non a caso sono stati istituiti i criteri che seguono:

• “data protection by default and by design”. Tale criterio implica un’analisi iniziale delle garanzie indispensabili al fine di rispettare tutti i requisiti prescritti. Di talché, sarà necessario tenere conto del contesto nel quale il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.

• Il criterio del rischio relativo al trattamento, vale a dire la valutazione dei rischi che possono intaccare le libertà ed i diritti degli interessati. Il titolare dovrà non solo prevedere detti rischi, ma anche ricorrere a misure tecniche ed organizzative utili al fine di fronteggiarli. All’esito di tale valutazione, sarà libero di decidere se procedere con il trattamento o, diversamente, chiedere all’Autorità di controllo come gestire il rischio residuale. Proprio tale intervento successivo dell’Autorità, introdotto con la normativa in esame, giustifica l’abolizione di alcuni istituti precedentemente previsti, come ad esempio, la notifica preventiva dei trattamenti all’autorità di controllo, sostituiti dall’obbligo di tenuta di un registro dei trattamenti da parte del titolare/responsabile e dalla valutazione preventiva, suddescritta.

Sinteticamente, dunque, al fine di garantire un trattamento lecito e trasparente, la Commissione europea ha richiesto gli adempimenti che seguono ai Titolari e Responsabili del trattamento:

• l’obbligo di tenere il registro dei trattamenti (vale solo per gli organismi con più di 250 dipendenti) [10], ove indicare le operazioni poste in essere, utile per valutare i rischi;
• misure di sicurezza, come elencate nel regolamento, anche se non esaustivamente, in quanto la lista risulta essere considerata aperta;
• notifica delle violazioni di dati personali all’autorità di controllo, entro le 72 ore dalla scoperta;
• designazione di un responsabile della protezione dei dati.

Privacy 2018: novità in merito ai trasferimenti di dati verso Paesi terzi

Un’altra importantissima novità concerne il venir meno dell’autorizzazione nazionale.

Nel dettaglio, il trasferimento dei dati a Paesi terzi, considerati dalla normativa come “adeguati”, in virtù dell’esistenza di determinate condizioni e requisiti, potrà avvenire anche senza l’autorizzazione nazionale del Garante, a differenza di quanto invece vigeva con il Codice della privacy prossimo ad essere abrogato. Autorizzazione che, però, sarà ancora necessaria nel caso in cui il titolare opti per l’utilizzo di clausole contrattuali specifiche o accordi amministrativi tra autorità pubbliche.

Sarà vietato, inoltre, il trasferimento dati in virtù di decisioni giudiziarie o ordinanze amministrative emesse dal Paese terzo stesso, fatto salvo per i dati personali trasferiti per esigenze di interesse pubblico [11]. Ciò che, di contro, resta invariato è il regolamento inerente i flussi dei dati al di fuori dell’Unione Europea e dello spazio economico europeo.