Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

La Commissione Speciale per gli atti urgenti del Governo ha iniziato l’esame dello schema di decreto legislativo per l’adeguamento della legislazione nazionale al Regolamento (UE) 2016/679.

Si comunica che durante la 14ª seduta di giovedì 17 maggio 2018, la Commissione speciale per l’esame degli atti urgenti presentati dal Governo Schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).

Master Sole 24ore privacy officerVi proponiamo qui l’articolo di Giusella Finocchiaro e Oreste Pollicino, pubblicato su il Sole 24 Ore il 12 maggio 2018.

È stato finalmente trasmesso alle Camere lo schema di decreto elaborato dalla Presidenza del consiglio sulla base della proposta ricevuta dalla Commissione incaricata di adeguare la normativa italiana a quella europea. Tempi molto lunghi, anche per la situazione politica che non ha inserito certamente una normativa apparentemente di tipo tecnico, come quella sul Gdpr, fra le priorità.

Cosa è cambiato nello schema? Il contenitore e le norme penali. Mentre il contenuto è fondamentalmente rimasto il medesimo, salvo alcuni aggiustamenti, in parte condivisibili.

Con riguardo alla tecnica normativa, è stato scelto di inserire le modifiche apportate dal decreto nel Codice per la protezione dei dati personali, le cui disposizioni sono però perlopiù abrogate e di cui molte altre sono modificate. Ne risulta un testo di inutile complessità, che non apporta alcuna tutela sostanziale in più per il diritto alla protezione dei dati personali. La semplificazione è abbandonata e la leggibilità certamente ne risente.

La nuova tecnica normativa sembra sia stata motivata dal timore del rischio di un eccesso di delega se si fosse confermato l’approccio della Commissione di abrogare il codice. Il problema dell’eccesso di delega sembra essere stato amplificato rispetto alla sua reale portata. A differenza di numerosi casi in cui la legge delega fornisce dei principi e criteri direttivi dettagliati andando ad individuare questioni specifiche, in questo caso, si è di fronte ad espressioni di maggior respiro finalizzate più ad un riordino, anzi, ad un adeguamento della disciplina esistente rispetto alla nuova legislazione europea piuttosto che ad interventi di chirurgia legislativa. C’era dunque l’esigenza di dare piena applicazione ad una fonte di diritto dell’Unione europea che la Corte costituzionale, già dagli anni Settanta, ha riconosciuto prevalente sul diritto interno. In questi casi la Consulta è assai prudente nella identificazione di possibili vizi di costituzionalità.

L’impressione è, in altre parole, che l’adeguamento a cui mirava la legge delega sarebbe potuto passare, senza troppi problemi di possibile conformità costituzionale dello schema di decreto e un risultato di maggiore chiarezza e leggibilità dello stesso, anche per la scelta dell’abrogazione fatta dalla Commissione.

Sono state ampiamente riviste le disposizioni penali presenti nel Codice per la protezione dei dati personali e sono stati creati due nuovi reati, concernenti la cessione di rilevanti quantità di dati e l’acquisizione fraudolenta di dati. La formulazione delle nuove fattispecie di reato va ora verificata con la massima attenzione. Il principio di tassatività in materia penale non è solo tutelato dalla nostra Costituzione, ma anche dalla Carta dei diritti fondamentali dell’Unione europea. Trattandosi di materia in cui gli Stati membri hanno un margine di discrezionalità, sono comunque rilevanti i vincoli provenienti dal diritto dell’Unione, poiché si sta dando attuazione ad un regolamento comunitario. Ancora, la versione dello schema di decreto inviato alle Camere non ha tenuto in considerazione, a differenza di quanto faceva il testo licenziato dalla Commissione, della giurisprudenza della stessa Corte in tema di raccolta e conservazione di dati personali per finalità di sicurezza e di prevenzione di gravi reati.

Il bilanciamento tra sicurezza e privacy che emerge dal testo finale non sembra perfettamente in linea con il principio di proporzionalità delle restrizioni alla tutela dei dati personali su cui ha sempre insistito la Corte di giustizia.

In sintesi, uno schema di decreto che crea un raccordo fra la normativa italiana e quella europea ed effettua una verifica di compatibilità che contribuisce a creare una maggiore certezza del diritto. Ma su alcune scelte si sarebbe potuto avere più coraggio.

In previsione dell’imminente entrata in vigore del GDPR, l’Università degli studi di Roma 3 organizza un convegno del titolo “verso l’entrata in vigore del Regolamento UE 2016/679 sulla protezione dei dati personali”.

L’appuntamento è per Mercoledì 16 Maggio 2018 dalle ore 16:30 alle 19:00 presso la Sala del Consiglio del Dipartimento di Giurisprudenza.

Introducono il convegno il Prof. Carlo Colapietro e il Prof. Giorgio Resta.

Intervengono:

Prof.ssa Licia Califano (Garante per la protezione dei dati personali – Università di Urbino);

Prof.ssa Giusella Finocchiaro (Università di Bologna – Presidente del Gruppo di lavoro Min. Giustizia);

Prof. Alberto Gambino (Università Europea – IAIC);

Prof. Arturo Maresca (Università di Roma Tre);

Prof. Roberto Pardolesi (Luiss);

Prof. Oreste Pollicino (Università Bocconi);

Avv. Guido Scorza;

Dott. Roberto D’Orazio (Camera dei Deputati – Ufficio Legislazione Straniera);

Dott.ssa Ginevra Bruzzone (Assonime);

Dott. Antonio Matonti (Confindustria).

Modera il Dott. Federico Fubini (Corriere della Sera).

L’imminente entrata in vigore del GDPR è al centro del convegno organizzato da Confindustria, che si terrà presso la sede di Roma, in data 11 maggio 2018.

Interverranno:

Marcella Panucci, Direttore Generale Confindustria

Bruno Gencarelli Capo unità “Protezione e flussi internazionali di dati” Direzione generale Giustizia e Consumatori della Commissione europea.

Giuseppe Busia, Segretario Generale Autorità Garante per la protezione dei dati personali

Giusella Finocchiaro, Ordinario di diritto privato e di diritto di internet Università di Bologna

Savino Figurati Responsabile Ufficio Legale Unione Industriale Torino

Modera i lavori:

Antonio Matonti, Direttore Affari Legislativi Confindustria.

Per informazioni ed iscrizioni si rimanda alla pagina del sito di Confindustria dedicata all’evento.

posted by admin on maggio 7, 2018

Miscellanee

(No comments)

Il 25 maggio 2018 il nuovo EU Reg. 2016/679 sarà pienamente attuato e, sempre a decorrere dal 25 maggio, il Regolamento abrogherà la direttiva madre.

Tra i principi di legittimità “l’Accountability” rappresenta la novità più rilevante, il Titolare deve infatti essere sempre pronto a dimostrare di aver rispettato e di essersi conformato alle disposizioni.

I principi espressi nell’art. 5. rappresentano pertanto l’architrave del nuovo modo di concepire e realizzare i trattamenti dei dati personali delle persone fisiche; non si potrà più prescindere da essi e da una revisione dei modelli organizzativi aziendali, si renderà necessario verificare che funzionino e che siano efficaci per consentire al titolare di dimostrare, costantemente, la sua conformità.

Il Titolare ad esempio dovrà essere in grado di dimostrare che un trattamento effettuato e la conservazione dei dati stessi sia limitata a quanto strettamente necessario.

L’Accountability passa attraverso la reale consapevolezza dei titolari di come si stia operando all’interno delle proprie organizzazioni e di come questi trattamenti vengano effettuati.

Accountability e Consapevolezza infine non potranno realizzarsi pienamente senza un preciso e rigoroso programma formativo di tutte le persone che, in nome e per conto del Titolare, avranno a che fare a vario titolo con i dati personali trattati.

L’evento si svolge a Roma, il 9 maggio 2018,  presso il Senato della Repubblica – Sala Zuccari,  Via della Dogana Vecchia 29, Roma.

posted by Avv. Matilde Ratti on maggio 3, 2018

Miscellanee

(No comments)

Il regolamento privacy (Regolamento 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

Quale sistema sanzionatorio è previsto dal Regolamento?

Il Regolamento detta norme specifiche sia sotto il profilo della responsabilità civile, sia sotto il profilo della responsabilità amministrativa. Sono quindi previste regole sia per dirimere il caso in cui un soggetto sia danneggiato dal trattamento effettuato sui suoi dati personali (si pensi alla diffusione illecita di dati personali aventi natura sanitaria), sia per determinare le conseguenze del mancato adempimento da parte del titolare degli obblighi previsti dal Regolamento. Ciò significa che un titolare del trattamento dei dati personali potrà essere chiamato a rispondere sia nei confronti di un privato che ritiene di avere subito un danno per l’illecito trattamento posto in essere, sia nei confronti dell’Autorità garante, che potrà comminare una sanzione amministrativa in caso di violazione delle disposizioni del Regolamento.

Sono previste sanzioni penali?

Il Regolamento non disciplina direttamente il tema della responsabilità penale. Tuttavia, prevede la possibilità per gli Stati membri di introdurre anche sanzioni penali negli ordinamenti nazionali. La delega, però, ha rilevantissimi limiti. Ai sensi del considerando n. 149 del Regolamento il legislatore può introdurre sanzioni penali per le violazioni non soggette a sanzioni amministrative e purché la tutela penale non costituisca una duplicazione della pena in contrasto con il principio del ne bis in idem, caro alla Corte di giustizia europea.

Qual è il tetto massimo previsto per le sanzioni amministrative?

Il Regolamento prevede un tetto massimo assai elevato per le violazioni in materia di protezione dei dati personali. Ad esempio, la sanzione amministrativa potrà arrivare fino a 10 milioni di euro o, se la cifra è superiore, fino al 2% del fatturato mondiale annuo dell’esercizio precedente se non è effettuata la notifica dell’avvenuta violazione dei dati personali o qualora non sia designato il Data Protection Officer. La sanzione potrà anche arrivare a 20 milioni di euro o, se la cifra è superiore, fino al 4% del fatturato mondiale annuo dell’esercizio precedente per le violazioni più gravi. A titolo esemplificativo, è prevista la sanzione con un massimo più elevato per l’inosservanza degli ordini impartiti dall’Autorità garante o per l’illegittimo trasferimento di dati personali in un Paese extraeuropeo.

Quali sono i criteri utilizzati nell’irrogare una sanzione?

Nonostante i tetti massimi previsti per le sanzioni pecuniarie siano assai elevati, occorre precisare che la sanzione amministrativa comminata in concreto dovrà in ogni caso essere proporzionata alla violazione rilevata. In altre parole, nell’irrogare la sanzione amministrativa, l’Autorità garante dovrà necessariamente tenere in conto alcuni indicatori. Ad esempio, dovranno essere considerate la gravità e la durata della violazione, il carattere intenzionale della condotta e gli eventuali benefici finanziari conseguiti a seguito della violazione. Dovranno poi essere tenute in considerazione le misure adottate dal titolare o dal responsabile del trattamento per attenuare il danno subito dagli interessati, le eventuali precedenti violazioni commesse dal titolare del trattamento nonché il grado di cooperazione istaura con l’autorità di controllo al fine di porre rimedio alla violazione e di attenuarne i possibili effetti negativi

Cosa è previsto in materia di responsabilità civile?

Chiunque subisca un danno causato da una violazione del Regolamento ha il diritto di domandare il risarcimento del danno al titolare o al responsabile del trattamento. Tuttavia, il responsabile del trattamento non risponde in ogni caso del danno provocato, ma solo se non ha adempiuto agli obblighi a questi specificatamente diretti dal Regolamento o se ha agito in modo difforme rispetto alle istruzioni impartite dal titolare del trattamento. Qualora più soggetti siano responsabili dell’eventuale danno causato dal trattamento dei dati personali, ognuno di questi sarà tenuto a corrispondere l’intero risarcimento al danneggiato, salvo il diritto a rivalersi sugli altri danneggianti in un secondo momento.

Quali sono i rimedi posti a disposizione dell’interessato?

L’interessato che ritenga che il trattamento che riguarda i suoi dati personali violi il Regolamento può proporre reclamo all’Autorità garante. In particolare, l’interessato potrà rivolgersi sia all’Autorità garante dello Stato membro in cui risiede, sia all’Autorità garante del luogo dove si è verificata la violazione. Così, ad esempio, l’interessato che risiede in Italia potrà proporre reclamo al Garante italiano o potrà rivolgersi all’Autorità garante dello Stato in cui ha subito la violazione. Il provvedimento emesso dall’Autorità garante potrà essere oggetto di ricorso. Le parti coinvolte dalla decisione potranno infatti proporre ricorso contro la decisione dell’Autorità garante dinanzi alle autorità giurisdizionali dello Stato membro in cui è stabilito il Garante che ha emesso la decisione.

Inoltre, la persona fisica che ritiene che un titolare o un responsabile abbia violato i suoi diritti può promuovere un’azione anche direttamente dinanzi all’Autorità giurisdizionale. L’interessato potrà intraprendere l’azione nello Stato membro in cui il titolare o il responsabile hanno uno stabilimento o, alternativamente, nel luogo in cui risiede abitualmente, salvo che il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica di un altro Stato membro nell’esercizio dei pubblici poteri.

Con quali modalità può agire l’interessato?

L’interessato può agire per la tutela dei suoi diritti in modo autonomo o può scegliere di farsi rappresentare da un’organizzazione o da un’associazione in giudizio. L’associazione o l’organizzazione dovrà però avere “obiettivi statutari” di pubblico interesse e dovrà risultare attiva nel settore protezione dei dati personali.

Il regolamento privacy (Regolamento 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

Cosa si intende per Autorità di controllo?

Per Autorità di controllo si intende uno o più enti indipendenti incaricati di controllare l’effettiva applicazione del GDPR in ogni stato membro, al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche riguardo al trattamento dei dati personali. Tra i suoi compiti vi è anche quello di agevolare la libera circolazione dei dati personali all’interno dell’Unione. In Italia tale autorità è individuata nel Garante per la protezione dei dati personali.

Quali sono le caratteristiche delle Autorità di controllo?

La caratteristica fondamentale è l’indipendenza. I membri dell’Autorità non devono subire pressioni esterne, né dirette né indirette, e non possono chiedere o accettare istruzioni da alcuno. A tal fine, ogni Stato mette a diposizione della propria Autorità le risorse economiche e di personale necessarie ad adempiere con imparzialità ai propri compiti.

L’Autorità di controllo è competente ad esercitare i propri poteri solo all’interno dei confini dello Stato membro da cui è stata individuata. Non è competente per i trattamenti svolti dalle autorità giudiziarie nell’esercizio dei propri compiti istituzionali. Di regola, la richiesta di un suo intervento è senza oneri per l’interessato.

Quali sono i compiti dell’Autorità di controllo?

I principali compiti dell’Autorità di controllo sono individuabili in:

1) consulenza alle istituzioni nazionali in merito alle misure legislative e amministrative relative alla protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento dei dati;

2) trattazione e decisione dei reclami proposti da un interessato o dai suoi procuratori;

3) collaborazione e assistenza reciproca con le altre autorità di controllo europee;

4) controllo degli sviluppi relativi alla protezione dei dati personali dovuti all’evoluzione delle tecnologie dell’informazione e della comunicazione e le prassi commerciali;

5) incoraggiamento e approvazione di codici di condotta, dei meccanismi di certificazione della protezione dei dati e delle norme vincolanti d’impresa.

Quali sono i poteri dell’Autorità?

Per adempiere ai propri compiti, sono riconosciuti all’Autorità determinati poteri d’indagine, correttivi ed autorizzativi. A titolo esemplificativo, l’Autorità:

1)    può ordinare al titolare e al responsabile del trattamento di garantirle l’accesso a tutti i dati personali e a tutte le informazioni necessarie per l’esecuzione dei suoi compiti;

2)    può condurre indagini e notificare presunte violazioni del Regolamento;

3)    può accedere a tutti i locali del titolare e del responsabile del trattamento;

4)    può rivolgere ammonimenti o ingiunzioni al titolare e al responsabile, se i trattamenti dei dati violino o abbiano già violato le disposizioni del GDPR;

5)    può imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto;

6)    può infliggere una sanzione amministrativa pecuniaria;

7)    può autorizzare trattamenti, codici di condotta e clausole tipo di protezione dei dati nonché rilasciare certificazioni.

Cosa si intende per Autorità capofila?

L’Autorità capofila è l’autorità competente per i trattamenti transfrontalieri dei dati e viene individuata nell’organo di controllo situato nel territorio in cui ha sede lo stabilimento principale del titolare o del responsabile del trattamento. Sul suo ruolo si è espresso anche il Gruppo di lavoro ex Art. 29, formato dai rappresentanti dei vari garanti nazionali, emanando delle specifiche linee guida. L’Autorità capofila svolge un’attività di cooperazione tra le varie autorità di controllo nazionali coinvolte nei trattamenti transfrontalieri, sia per facilitare lo scambio di informazioni sia per cercare di raggiungere un consenso unanime. L’Autorità capofila può quindi richiedere alle autorità interessate di fornire assistenza reciproca nonché condurre in prima persona operazioni congiunte. Prima del provvedimento conclusivo, deve trasmettere il progetto di decisione alle autorità interessate per ottenere il relativo parere, di cui dovrà tenere conto. Nel caso decida di non condividere un’obiezione formulata dagli altre Autorità coinvolte, deve tuttavia sottoporre la questione al meccanismo di coerenza. Il meccanismo prevede il coinvolgimento del Comitato europeo per la protezione dei dati, il quale entro un mese dovrà pronunciarsi sulla questione.

Cosa si intende per assistenza reciproca nell’ambito del meccanismo di cooperazione?

Per assistenza reciproca si intende l’attività di cooperazione e scambio di informazioni che avviene sia tra le varie Autorità di controllo nazionali sia tra queste e l’Autorità di controllo capofila. L’assistenza reciproca comprende, ad esempio, le richieste di autorizzazioni e consultazioni preventive e le richieste di effettuare ispezioni e indagini. La domanda rivolta ad un’altra autorità nazionale deve essere completa e contenere lo scopo e i motivi della richiesta. L’Autorità richiesta di prestare assistenza ad altra Autorità non può rifiutarsi, salvo che non si reputi incompetente o se l’accoglimento della richiesta violi disposizioni normative europee o nazionali.

posted by Maria Chiara Meneghetti on aprile 18, 2018

Miscellanee

(No comments)

Il regolamento privacy (Regolamento 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

Cosa si intende per trasferimento di dati personali?

Il GDPR non definisce cosa si intenda per trasferimento. Dalla lettura degli articoli che disciplinano il trasferimento di dati (artt. 44-50 del GDPR) si desume che con “trasferimento” il GDPR indica uno spostamento di dati personali da un titolare o un responsabile del trattamento, situato all’interno dell’UE, a un titolare o responsabile del trattamento, situato fuori dall’UE.

Il GDPR estende l’attuale ambito di applicazione della disciplina. In primo luogo, ricomprende nella categoria dei trasferimenti anche i flussi di dati personali verso un’organizzazione internazionale. In secondo luogo, applica la disciplina sul trasferimento anche ai trasferimenti “successivi” in un paese terzo o verso un’organizzazione internazionale, che avvengono nei casi in cui il soggetto a cui i dati sono stati trasferiti, li trasferisce nuovamente ad un altro soggetto.

Cosa deve fare il titolare o il responsabile se vuole trasferire i dati?

Il titolare e il responsabile del trattamento potranno effettuare un trasferimento di dati personali, solo qualora rispettino una delle condizioni previste dal GDPR agli artt. 45-49.

Quali sono gli “strumenti” per il trasferimento?

Gli “strumenti” elencati agli artt. 45-49, che il titolare e il responsabile del trattamento possono utilizzare per trasferire i dati personali, riprendono in parte l’elenco di condizioni previste dal Codice privacy o create dal Gruppo di Lavoro ex Art. 29. Per esempio, un trasferimento sarà legittimo nel caso in cui: il paese verso cui i dati sono diretti abbia ottenuto una decisione di adeguatezza (adequacy decision) da parte della Commissione europea; sia soggetto a garanzie adeguate cioè, per esempio, sia regolato attraverso l’utilizzo di clausole contrattuali standard (standard contractual clauses, SCC) tra mittente e ricevente o, per i trasferimenti infragruppo, il gruppo societario adotti norme vincolanti d’impresa (binding corporate rules, BCR); il mittente soddisfi una delle deroghe previste all’art. 49 del GDPR (es. abbia raccolto il consenso dell’interessato).

Cosa cambia con il GDPR?

Da un lato, il GDPR mette a disposizione nuovi “strumenti” per effettuare un trasferimento. Dall’altro lato, ordina le diverse condizioni secondo una scala di rilevanza: la decisione di adeguatezza diventa il pilastro del nuovo sistema; solo in sua assenza i titolari o i responsabili dovranno adottare una delle alternative basi offerte dal GDPR.

In ambito di garanzie adeguate, le norme vincolanti d’impresa acquistano autonoma rilevanza e vengono dettagliatamente regolate all’art. 47 del GDPR, che ne elenca il contenuto minimo. L’art. 46, invece, innova la lista di basi giuridiche utilizzabili per un trasferimento, affiancando a SCC e BCR: l’adozione di uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche o organismi pubblici; la sottoscrizione di un codice di condotta o l’adesione a un meccanismo di certificazione approvato. Inoltre le SCC, prima valide solo se adottate dalla Commissione europea, potranno ora essere adottate anche da un’autorità di controllo nazionale (purché poi approvate dalla stessa Commissione europea o sottoposte al meccanismo di coerenza ex. art. 63 del GDPR).

Infine, l’art. 49 esplicita le ulteriori eventuali “deroghe in specifiche situazioni”, di cui il mittente può usufruire, in mancanza sia di una decisione di adeguatezza, sia di una delle garanzie adeguate indicate.

Le decisioni di adeguatezza già adottate rimangono valide?

Il GDPR precisa che le decisioni di adeguatezza adottate sulla base della direttiva 95/46/CE restano in vigore fino a quando non siano modificate, sostituite o abrogate da una decisione della Commissione europea, a seguito, per esempio, del riesame periodico previsto per tutte le decisioni di adeguatezza ogni quattro anni. Dunque, le decisioni di adeguatezza fino ad oggi adottate rimangono per il momento valide.

Le decisioni di adeguatezza già adottate possono essere consultate QUI.

Quali SCC possono essere attualmente utilizzate?

Con riferimento alle clausole contrattuali standard, la Commissione europea ha fino ad oggi adottato modelli di clausole applicabili ai trasferimenti transfrontalieri di dati da un titolare (UE) a un titolare (extra-UE) o da un titolare (UE) a un responsabile (extra-UE) (reperibili QUI).

È inoltre in corso d’opera la preparazione di uno schema di SCC per il trasferimento transfrontaliero di dati tra responsabile stabilito in UE e sub-responsabile stabilito in un paese terzo.

Vi proponiamo qui l’articolo di Giusella Finocchiaro, pubblicato su Agenda Digitale il 10 aprile 2018.

Il diritto alla protezione dei dati personali è stato disciplinato in Europa dalla cosiddetta “direttiva madre” in materia di trattamento dei dati personali, la dir. 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Da questa direttiva, a cui si sono aggiunte poi molte altre disposizioni normative, storicamente proviene il Codice per la protezione dei dati personali italiano.

La direttiva, di oltre venti anni fa, recepiva un dibattito culturale e un pensiero dottrinale sviluppatosi nei decenni precedenti e delineava un modello statico di trattamento dei dati personali, ormai superato. Basti pensare quanto fosse diversa all’epoca la tecnologia disponibile: era, ad esempio, un mondo privo di smart phone e social network.

Il Regolamento europeo 679/2016 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati e che abroga la direttiva 1995/46/CE”, preso atto del mutamento tecnologico e sociale, detta una nuova disciplina e dunque segna una significativa svolta in un percorso iniziato oltre venti anni fa. Abroga, infatti, la “direttiva-madre”, fin dal titolo.

La filosofia del Regolamento europeo è radicalmente differente. La direttiva è fondata su un approccio autorizzatorio, il Regolamento sul principio dell’accountability.

Il termine accountability significa, come è noto, responsabilità e, insieme, prova della responsabilità. Il titolare del trattamento deve essere in grado di dimostrare che ha adottato un processo complessivo di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi.

L’adeguamento al GDPR

Il Regolamento europeo è direttamente applicabile dal 25 maggio 2018. Considerato lo strumento scelto dal legislatore europeo, regolamento e non direttiva, sotto il profilo strettamente tecnico-giuridico non sarebbe stato necessario un intervento del legislatore. Esso è stato, tuttavia, ritenuto utile in moltissimi Paesi europei, per raccordare al Regolamento la normativa nazionale. In Italia analoga scelta è stata operata l’anno scorso per raccordare il Regolamento E-Idas (910/2014) sull’identità digitale, le firme elettroniche e i trust service, con il Codice dell’amministrazione digitale.

Dunque, benché con grande ritardo, in Italia è stata nominata presso il Ministero della giustizia la Commissione incaricata di adeguare la normativa italiana in materia di dati personali al Regolamento Ue 679/2016.

La Commissione ha potuto incominciare i lavori solo in gennaio e ha dovuto concluderli a metà marzo. Mentre, in altri Paesi, analoghi lavori sono iniziati nel 2016. Della Commissione hanno fatto parte, oltre a chi scrive, autorevoli esperti della materia, quali Franco Pizzetti, Oreste Pollicino, Giorgio Resta, Alessandro Mantelero, Giovanni Guerra e, per gli aspetti penali, Vittorio Manes e Francesco Caprioli. Ha partecipato costantemente ai lavori il Garante per la protezione dei dati personali, rappresentato dal Segretario generale e da alcuni funzionari.

L’adeguamento della normativa italiana a quella europea serve a coordinare la legislazione nazionale vigente con il Regolamento e ad anticipare quella verifica di compatibilità altrimenti rimessa all’interprete, al Garante per la protezione dei dati personali e al giudice. Vedi a proposito l’attuale “schema di decreto Gdpr” (per adeguare il quadro normativo nazionale alle disposizioni del regolamento UE 2016/679 GDPR).

La tecnica normativa

Sotto il profilo della tecnica normativa, il Regolamento deve restare testo a sé stante e non può essere incorporato in un testo normativo nazionale. In questo senso, fra l’altro, sono le chiare indicazioni della Commissione europea.

Si sono dunque prese le mosse dal Regolamento europeo per verificare quali norme dell’ordinamento vigente italiano siano compatibili con esso.

Si è proceduto, muovendo dal Regolamento, ad esaminare quali disposizioni nazionali sono sostituite direttamente dalle disposizioni del Regolamento europeo. Ove la materia è disciplinata dal Regolamento, le disposizioni del Codice sono ovviamente sostituite da quelle del Regolamento, che prevalgono.

Nella mutata filosofia di fondo del GDPR si possono individuare, in sintesi, due tipologie di norme.

In primo luogo, le disposizioni del Regolamento che non modificano radicalmente i contenuti della direttiva o della legge italiana, ma innovano parzialmente oppure precisano. Alcuni contenuti sono simili, calati ovviamente in un contesto differente. In questi casi, non possono coesistere due insiemi di norme (quelle italiane e quelle europee) e ovviamente il Regolamento prevale. Quindi, ad esempio, i corpi di disposizioni su informativa, consenso, diritti dell’interessato, trasferimento dei dati all’estero sono completamente sostituiti dal Regolamento. In questo caso, non ci saranno grandi differenze sostanziali per gli operatori ma un riferimento chiaro ad una fonte diversa, quella del Regolamento, prevalente.

In secondo luogo, si possono individuare disposizioni del Regolamento completamente innovative sotto il profilo sostanziale. Ad esempio, nella materia della sicurezza ci sono radicali modificazioni introdotte dal GDPR e quindi ovviamente cambia la fonte e cambia completamente anche la disciplina sostanziale.

Ancora, le sanzioni amministrative introdotte dal Regolamento innovano completamente rispetto alle disposizioni del Codice e le sostituiscono. Non è ammessa l’introduzione di minimi, ancora una volta conformemente alle indicazioni della Commissione europea. I criteri per la determinazione delle sanzioni amministrative sono elencate dal Regolamento all’art. 83 (ad es.: natura , gravità e durata della violazione, carattere dolo o colposo, ecc.).

Conseguentemente, all’esito della verifica di compatibilità, la parte generale del Codice risultava quasi interamente sostituita. Si sarebbe potuta mantenere la parte speciale, modificando numerose disposizioni, sostituite dal Regolamento. Ad esempio, quelle in materia di sanità, dal momento che l’art. 9, comma 2, lett. h) del GDPR non prevede più il consenso come base giuridica del trattamento dei dati effettuato per finalità di diagnosi, assistenza o terapia sanitaria.

Se si fosse seguita questa strada, l’interprete avrebbe avuto tre testi normativi di riferimento: il Regolamento, il decreto di adeguamento, e ciò che restava del Codice, all’evidenza non più tale. Per ragioni di semplificazione e di chiarezza si è scelto di trasferire le disposizioni rimanenti del Codice nel decreto.

Ciò nel rispetto della delega che prevede l’abrogazione delle disposizioni del Codice privacy incompatibili con il Regolamento europeo, la modifica del Codice, nonché il coordinamento del quadro normativo, in osservanza del principio generale di semplificazione e riassetto normativi.

La continuità con il Codice Privacy

Per non creare incertezza fra gli operatori, si è scelto di mantenere la continuità, ove possibile. Dunque sono fatti salvi i provvedimenti del Garante (si pensi, per esempio a quello in materia di biometria) e le autorizzazioni, che saranno oggetto di successivo riesame.

Sono stati mantenuti anche i Codici deontologici vigenti (ad esempio, quello dei giornalisti) che resteranno fermi nei settori in cui il Regolamento lascia agli Stati competenza, mentre negli altri settori potranno essere avviate le procedure per i codici di settore.

Consultazioni pubbliche e semplificazioni

Il meccanismo delle consultazioni pubbliche e il coinvolgimento delle categorie interessate è stato rafforzato in molteplici casi. Ad esempio, per l’adozione delle regole deontologiche e per la riassunzione delle autorizzazioni generali. Ciò è necessario per raccogliere le istanze dello specifico settore, assicurare la conoscenza allo stato dell’arte e verificare l’efficacia delle soluzioni che si prospettano. Per le micro, piccole e medie imprese si è previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento.

Sanzioni penali

Il Regolamento precisa che l’imposizione di sanzioni penali non deve essere in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di Giustizia, che vieta, come ribadito recentemente, un sistema a doppia sanzione e a doppio processo. Dal momento che il Regolamento europeo prevede gravi sanzioni amministrative (fino a 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore), che gli Stati membri non possono modificare e per le quali non è consentito introdurre un minimo, si sono eliminate le corrispondenti norme penali.

Questa è la proposta elaborata dalla Commissione. Ma la scelta è ovviamente di tipo politico, anche per la forte emotività connessa al tema.

E-privacy

Non si poteva intervenire in materia di e-privacy in attesa dell’emanando Regolamento in materia che sostituirà la direttiva 2002/58. Dunque le disposizioni del Codice in materia di comunicazioni elettroniche non sono state modificate.

Conclusioni

Abrogare o non abrogare il Codice per la protezione dei dati personali non significa elevare o diminuire la tutela giuridica. Il diritto alla protezione dei dati personali, si è scritto all’inizio di questo pezzo, è patrimonio giuridico europeo.

Il Codice è comunque sostituito dal Regolamento europeo per la maggior parte dei suoi articoli. Mantenere ciò che resta è una questione di tecnica normativa. La scelta più razionale sembra quella di avere due testi normativi e non tre. Ed è la scelta che rende il coordinamento più semplice per tutti gli interpreti e gli operatori. Ma che resti un Codice in gran parte abrogato non comporta di per sé una maggiore protezione, né il contrario.

Il regolamento privacy (Regolamento 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

In cosa consiste la valutazione d’impatto?

Con il nuovo Regolamento privacy il titolare del trattamento è chiamato a valutare il rischio a cui il proprio trattamento potrebbe esporre i dati trattati e, quindi, i diritti e le libertà fondamentali delle persone fisiche. La valutazione d’impatto consiste quindi in un “processo continuo” da riesaminare periodicamente e in occasione di eventuali mutamenti sostanziali, il cui risultato finale è rappresentato da una rassegna delle attività svolte per valutare il rischio derivante dal trattamento e dei mezzi, degli strumenti e delle misure adottate per contrastarlo.

Quando occorre effettuare tale valutazione?

La valutazione d’impatto andrebbe svolta dal titolare prima di procedere al trattamento, ossia in una fase in cui sia ancora possibile apportare modifiche e adottare misure tali da mitigare l’eventuale rischio emergente dalla valutazione. Tale adempimento rientra infatti nell’ambito dell’approccio di sicurezza proattiva adottato dal GDPR, consistente in una serie di strumenti a carattere preventivo e anticipatorio della tutela dei dati personali oggetto di trattamento.

Si tratta di un adempimento obbligatorio?

La valutazione d’impatto è obbligatoria solo in taluni casi, cioè quando il trattamento consista in: 1) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; 2) un trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati; o 3) una sorveglianza sistematica su larga scala di una zona accessibile al pubblico (per il concetto di larga scala, si veda LINK Faq sul DPO). È poi previsto che l’Autorità Garante per la protezione dei dati personali rediga e pubblichi un elenco delle tipologie di trattamenti soggetti a tale adempimento.

Anche nei casi in cui non debba procedersi obbligatoriamente alla valutazione d’impatto, quest’ultima rappresenta una misura raccomandata, poiché consente al titolare di individuare le eventuali situazioni di rischio e di porvi rimedio prima di arrecare danni agli interessati ovvero di violare la normativa.

Chi deve procedere alla valutazione d’impatto?

Responsabile della conduzione della valutazione d’impatto è il titolare del trattamento che può decidere di condurre la valutazione all’interno della propria organizzazione ovvero affidarla all’esterno. In ogni caso, la responsabilità rimane in capo al titolare che dovrà quindi vigilare attentamente sulla conduzione della valutazione d’impatto.

Come evidenziato anche dal Regolamento, il titolare dovrebbe poi consultarsi fin dall’inizio con il Data Protection Officer e con i responsabili del trattamento. E? altresì previsto che, ove necessario, il titolare del trattamento (o il soggetto incaricato di effettuare la valutazione) raccolga le opinioni degli interessati o dei loro rappresentanti sul trattamento che si intende effettuare, documentando l’eventuale difformità di opinioni, nonché le motivazioni che hanno indotto ad agire diversamente da quanto emerso dalle consultazioni.

Come si effettua la valutazione d’impatto?

Una volta esaminata l’obbligatorietà o facoltatività della conduzione della valutazione, occorre procedere ad una ricognizione sistematica dei trattamenti che presentano un rischio elevato. Per ciascun trattamento (o categoria di trattamento) andranno quindi raccolte informazioni circa: a) la natura, la finalità e il contesto del trattamento; b) le categorie di dati (personali e sensibili) oggetto di trattamento, i soggetti interessati a cui si riferiscono e il periodo di conservazione dei dati; c) una descrizione funzionale delle operazioni di trattamento e, in particolare, dei flussi informativi (ipotesi di comunicazione, diffusione, cessione, trasferimento dei dati con l’indicazione specifica dei soggetti destinatari dei dati interni o esterni all’organizzazione del titolare del trattamento); d) le modalità (cartacee e automatizzate) e gli strumenti con cui viene effettuato il trattamento; e) i soggetti che potranno accedere ai dati unitamente alle finalità o alle motivazioni sottese all’accesso.

Successivamente, occorrerà valutare se il trattamento sia necessario e proporzionale in relazione alle finalità e alle misure di sicurezza adottate: per ciascun trattamento andranno quindi verificate le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali.

Grazie alla documentazione e alle informazioni così raccolte, sarà possibile procedere all’identificazione dei rischi a cui sono esposti i dati, analizzandone il ciclo di vita e prendendo in considerazione il loro impiego, le finalità per cui sono utilizzati, le tecnologie impiegate e i soggetti autorizzati a trattarli.

Una volta identificati i rischi, occorrerà infine provvedere alla gestione dei medesimi. In questa fase sarà dunque necessario scegliere (ove vi sia margine di valutazione) se un determinato rischio vada eliminato, mitigato oppure accettato.

Dove conservo la valutazione d’impatto?

I risultati e le osservazioni emersi in sede di valutazione d’impatto devono confluire in un report finale, in cui le informazioni precedentemente raccolte e analizzate vengono presentate in maniera sistematica e funzionale unitamente alle misure e ai rimedi elaborati e da implementare per contrastare i rischi emersi. Il report dovrà altresì recare l’indicazione specifica dell’organizzazione o del progetto per cui la valutazione d’impatto è stata condotta, nonché i soggetti o il team che ha svolto la valutazione d’impatto unitamente ai dati di contatto di un referente.

Pillola: gli adempimenti successivi alla valutazione d’impatto

Sebbene non sia obbligatoria a norma del Regolamento, il Gruppo di lavoro Art. 29, nelle sue Guidelines on DPIA adottate il 4 aprile 2017 e revisionate il 4 ottobre 2017, raccomanda la pubblicazione del report (o di parte di esso) per ragioni di trasparenza e per dimostrare la conformità al Regolamento. Ciò è suggerito in particolare per le organizzazioni il cui trattamento di dati riguarda la generalità dei consociati (ad esempio, le autorità pubbliche), ma rappresenta ad ogni modo una buona prassi per tutte le organizzazioni.

Ove sulla base della valutazione d’impatto il titolare del trattamento sia riuscito a porre rimedio in modo soddisfacente ai rischi emersi, la procedura può dirsi conclusa. In caso contrario, cioè qualora la situazione di rischio non sia stata mitigata e il trattamento riveli pertanto un rischio ancora elevato per i diritti e le libertà fondamentali dei soggetti interessati, occorrerà rivolgersi all’Autorità Garante italiana per la protezione dei dati personali, al fine di avviare la c.d. consultazione preventiva ai sensi dell’art. 36 del Regolamento.