Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

La scelta europea di introdurre un Regolamento Generale sulla Privacy direttamente applicabile, e non una direttiva, era inevitabilmente destinata a sconvolgere i quadri normativi degli stati membri, fra cui l’Italia.

La legge di delegazione europea prevede l’abrogazione delle disposizioni del Codice incompatibili con il Regolamento europeo, la modifica del Codice, nonché il coordinamento del quadro normativo. Oltre a ciò, fra i principi e i criteri direttivi generali di cui all’articolo 32 della legge 24 dicembre 2012, n. 23, sono indicati quelli del “riassetto e (del)la semplificazione normativi con l’indicazione esplicita delle norme abrogate” .

Dunque: abrogazione espressa, coordinamento del quadro normativo e semplificazione.

La tecnica normativa è rimessa al legislatore delegato, che può abrogare le disposizioni incompatibili e coordinare il quadro normativo, allo scopo di adeguare l’ordinamento italiano semplificando.

Non si poteva che muovere dal Regolamento, fonte sovraordinata rispetto al Codice, verificando la compatibilità delle norme del Codice con quelle del Regolamento.

La parte generale del Codice risulta sostituita in modo naturale dalle disposizioni del Regolamento, che su queste prevalgono e quasi nulla resta della parte generale del Codice.

La parte speciale del Codice è stata invece trasferita, con i necessari adeguamenti imposti dal Regolamento europeo, nello schema di decreto.

L’alternativa, quanto a tecnica normativa, sarebbe stata quelle di avere tre testi normativi: Regolamento, decreto e “Codice”, palesemente non più tale, perché svuotato della maggior parte delle disposizioni.

Avere due testi normativi e non tre risponde alle esigenze di chiarezza e di semplificazione, oltre a garantire una miglior tutela al diritto oggetto delle disposizioni, cioè il diritto alla protezione dei dati personali.

Si è voluto lasciare emergere in modo chiaro che la fonte di riferimento è costituita dal Regolamento e che non vi sono due o più testi normativi, parzialmente sovrapposti, nei quali sarebbe stato necessario cercare le disposizioni e verificarne di volta in volta la compatibilità. La fonte è costituita dal Regolamento europeo, eventualmente integrata dallo schema di decreto.

Il contenuto:

Lo scenario tecnologico, sociale e normativo negli ultimi venti anni è profondamente mutato e il GDPR adotta un nuovo approccio alla protezione dei dati personali, basato sull’accountability invece che su un sistema autorizzatorio.

La “direttiva-madre” n. 46 del 1995 sulla protezione dei dati personali, da cui ha avuto origine il Codice, è abrogata dal Regolamento europeo 679 del 2016.

I cambiamenti sulla disciplina per la protezione dei dati personali, più o meno graditi, entrano nel nostro ordinamento portati direttamente dal Regolamento, che opera una rivoluzione normativa, mentre lo schema di decreto si occupa di raccordare il Regolamento con il quadro normativo italiano.

Il diritto alla protezione dei dati personali è nella Carta dei diritti fondamentali dell’Unione europea. È patrimonio europeo e non solo italiano.

Le scelte principali:

- Continuità

Si è scelto di garantire la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti. Essi restano fermi nell’attuale configurazione nelle materie di competenza degli Stati membri, mentre possono essere riassunti e modificati su iniziativa delle categorie interessate quali codici di settore.

- Meccanismo delle consultazioni pubbliche e il coinvolgimento delle categorie interessate

Si è rafforzato il meccanismo delle consultazioni pubbliche e il coinvolgimento delle categorie interessate in molteplici casi.

- Semplificazione delle micro, piccole e medie imprese

Si è previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento.

- Norme penali

L’art. 83 del Regolamento impone l’introduzione di sanzioni amministrative ad hoc per le violazioni delle norme a tutela dei dati personali, mentre il successivo art. 84 ammette l’introduzione di ulteriori sanzioni (anche penali), «in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83». In proposito, inoltre, il considerando n. 149 precisa che «l’imposizione di sanzioni penali per violazioni di tali norme nazionali, e di sanzioni amministrative, non dovrebbe essere in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di Giustizia».

Quasi tutte le vigenti disposizioni penali (artt. 167 ss. del codice privacy) reprimono comportamenti che, in attuazione dell’art. 83 del Regolamento, dovranno essere puniti con sanzioni amministrative (fa eccezione soltanto il reato di false comunicazioni al Garante). Di conseguenza, è stata evidenziata l’opportunità di adempiere a tale obbligo procedendo direttamente ad una depenalizzazione di tali illeciti penali, in modo da scongiurare i rischi di violazione del principio del ne bis in idem tra sanzioni penali e sanzioni amministrative affermato nella giurisprudenza delle Corti europee.

Oltre a ciò, si deve considerare che l’art. 167 (a parte che nel caso Vividown poi riformato in appello e cassato dalla Suprema Corte) non è stato applicato che in pochissimi procedimenti bagatellari dalle Corti italiane.

- e-Privacy

Al fine di non incorrere nel rischio di eccedere la delega e in attesa dell’emanando Regolamento europeo in materia di e-Privacy, il decreto non modifica le disposizioni concernenti le comunicazioni elettroniche.

La ricchezza dell’esperienza giuridica italiana degli ultimi venti anni e più in materia di protezione dei dati personali rimane salda e non è certo solamente legata a ciò che resta del Codice, sostituito dal Regolamento europeo.

Giusella Finocchiaro

privacy8_320x245Il regolamento privacy (Regolamento 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

Quali sono i diritti dell’interessato?

L’interessato, cioè la persona fisica i cui dati personali sono trattati, detiene una serie di diritti, esercitabili nei confronti del titolare del trattamento in qualunque momento, che gli permettono di mantenere il controllo sui dati che ha conferito e sul loro utilizzo.

Questi diritti, già previsti anche dal Codice privacy, sono per esempio: il diritto di accesso ai propri dati (in base al quale l’interessato ha diritto di ottenere la presa visione dei dati che lo riguardano e di una serie di informazioni aggiuntive); il diritto di rettifica (in base al quale l’interessato può chiedere la correzione o integrazione dei dati comunicati); il diritto di opposizione (in base al quale l’interessato ha diritto di opporsi al trattamento in corso al ricorrere di specifiche circostanze).

Cosa cambia con il GDPR?

Per quanto riguarda i diritti, il GDPR ne arricchisce l’elenco, aggiungendo alla lista: il diritto di cancellazione (o diritto all’oblio); il diritto di limitazione del trattamento e il diritto alla portabilità.

Dal punto di vista dei titolari, rimane in capo agli stessi l’obbligo di agevolare l’esercizio dei diritti da parte degli interessati (adottando ogni misura tecnica e organizzativa idonea) e di dare riscontro alle loro richiese (eventualmente con la collaborazione del responsabile del trattamento).

Il GDPR, in particolare, stabilisce che il termine per la risposta all’interessato è, per tutti i diritti, 1 mese, che può essere esteso fino a 3 mesi, in considerazione della complessità e del numero di richieste ricevute. In ogni caso, il titolare deve dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego. La risposta, di regola in forma scritta, deve essere concisa, trasparente e formulata in un linguaggio semplice e chiaro.

Cos’è il diritto di cancellazione (diritto all’oblio)?

Il diritto all’oblio costituisce il diritto dell’interessato di richiedere al titolare del trattamento la cancellazione dei dati dallo stesso detenuti.

Il diritto all’oblio, però, non può essere esercitato in ogni circostanza, ma solo in presenza di una delle condizioni elencate all’art. 17 del GDPR. Queste ricorrono nel caso in cui:

1) i dati esuberino rispetto al perseguimento delle finalità di trattamento;

2) si sia revocato il consenso al trattamento o si sia esercitato il diritto di opposizione;

3) il trattamento risulti illecito;

4) i dati debbano essere cancellati per adempiere ad un obbligo di legge;

5) i dati siano stati raccolti nell’ambito di un servizio della società dell’informazione, quando l’interessato era ancora minorenne (quindi non pienamente consapevole dei rischi derivanti dal trattamento).

All’obbligo del titolare di adempiere alla richiesta di cancellazione dell’interessato, in una delle situazioni sopra elencate, si aggiunge un onere ulteriore. Negli ambienti digitali, infatti, la circolazione e diffusione delle informazioni raggiunge portata ben più significativa rispetto alla loro circolazione nel mondo fisico. Per questo motivo il GDPR ha previsto che il titolare, nel caso in cui abbia reso i dati personali dell’interessato pubblici (es. su un sito web), dovrà anche informare gli altri titolari del trattamento della richiesta espressa dall’interessato di cancellare qualsiasi link o copia o riproduzione dei suoi dati personali.

Gli unici limiti al diritto all’oblio sono previsti nel caso in cui il diritto dell’interessato ad ottenere la cancellazione dei suoi dati soccomba di fronte a interessi superiori. È il caso, per esempio, in cui il trattamento dei dati sia necessario per l’esercizio del diritto alla libertà di espressione e di informazione o, ancora, perché sia richiesto dalla legge o sia necessario al perseguimenti di un interesse pubblico. Il diritto all’oblio potrebbe inoltre essere negato nel caso in cui la conservazione dei dati sia necessaria per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

Cos’è il diritto di limitazione del trattamento?

L’esercizio da parte dell’interessato di questo diritto, gli consente di, appunto, “limitare” il trattamento dei suoi dati in una serie di situazioni in cui, pur non venendo totalmente meno un interesse al loro trattamento, l’interessato ne richiede una restrizione temporanea.

Il diritto di ottenere una limitazione nel trattamento può essere esercitato quando:

1) l’interessato contesta l’esattezza dei dati personali, e richiede quindi una limitazione al loro utilizzo per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali;

2) il trattamento è illecito, ma l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;

3) benché il titolare non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;

4) l’interessato si è opposto al trattamento, e si attua la limitazione del trattamento in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.

Cos’è il diritto alla portabilità dei dati?

Il diritto alla portabilità si presenta come un diritto dal duplice contenuto. Da un lato, si sostanzia nel diritto dell’interessato di ricevere i dati in un formato strutturato, di uso comune, che sia leggibile da dispositivi automatici. Non ci sono espresse indicazioni sul tipo di formato utilizzabile, ma è evidente che l’obbiettivo è quello di garantire che i dati siano forniti in un formato “interoperabile”, che ne consenta il facile riutilizzo da una molteplicità di dispositivi e servizi.

Dall’altro lato, il diritto alla portabilità si sostanzia nel diritto di trasmettere (ma anche di ottenere la trasmissione diretta di) i suoi dati a un altro titolare del trattamento, senza che il titolare “originario” possa impedirlo.

Anche il diritto alla portabilità non può essere esercitato incondizionatamente, ma solo qualora i dati personali rispettino una serie di condizioni, in particolare devono:

1) essere dati personali chiaramente riferibili all’interessato (ovviamente rimangono esclusi i dati anonimi);

2) essere trattati sulla base del consenso preventivo dell’interessato o di un contratto di cui e? parte l’interessato;

3) essere trattati attraverso strumenti automatizzati;

4) essere stati forniti dall’interessato. Questa condizione, però, deve interpretarsi in senso ampio, per cui il diritto non è limitato ai dati forniti consapevolmente e in modo attivo dall’interessato (es. dati raccolti attraverso un form di iscrizione) ma si estende anche ai dati forniti attraverso la fruizione di un servizio o l’utilizzo di un dispositivo (es. dati di localizzazione o la cronologia del browser dell’interessato).

È importante precisare che il diritto alla portabilità, invece, non può essere esercitato sui dati c.d. “derivati”, cioè il prodotto del lavoro di analisi effettuato dal titolare sulla base di dati personali dallo stesso raccolta. Si tratta, in altre parole, di dati “creati” dal titolare, sui quali lo stesso mantiene il controllo (es. l’esito di una valutazione concernente la salute di un utente o il profilo creato al fine di attribuire uno score creditizio o di ottemperare a normativa antiriciclaggio).

posted by admin on marzo 24, 2018

Eventi

(No comments)

Il decreto legislativo Il 21 marzo 2018 il Consiglio dei Ministri ha approvato, in esame preliminare, un decreto legislativo che, in attuazione dell’art. 13 della legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163), introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Il decreto è oggetto del convegno “Adeguare l’ordinamento italiano al GDPR” organizzato da Assonime alle Scuderie di Palazzo Altieri il 27 marzo.  Nel corso del convegno la Professoressa Finocchiaro, presidente del gruppo di lavoro che ha redatto il testo di legge, parteciperà con un intervento dal titolo “Come impostare l’adeguamento dell’ordinamento italiano”.

Per maggiori informazioni si rimanda al sito di Assonime.

Unione_EuropeaIl 21 marzo 2018 il Consiglio dei Ministri ha approvato, in esame preliminare, un decreto legislativo che, in attuazione dell’art. 13 della legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163), introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

A far data dal 25 maggio 2018, data in cui le disposizioni di diritto europeo acquisteranno efficacia, il vigente Codice in materia di protezione dei dai personali, di cui al decreto legislativo 30 giugno 2003, n. 196, sarà abrogato e la nuova disciplina in materia sarà rappresentata principalmente dalle disposizioni del suddetto Regolamento immediatamente applicabili e da quelle recate dallo schema di decreto volte ad armonizzare l’ordinamento interno al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy.

Security_cybercrimeIl regolamento privacy (Regolamento 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, diano un primo e sintetico orientamento alla nuova normativa.

Cosa si intende per data breach?

Il GDPR definisce il data breach, in italiano “violazione dei dati personali”, come la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Le tipologie di data breach, quindi, sono molteplici e possono configurarsi nel furto o nell’accidentale cancellazione di dati da un database, ma anche in un attacco malware che impedisca l’accesso ai sistemi informatici o in un blackout che renda i dati temporaneamente non disponibili.

In sintesi si può dire che il data breach è una specifica tipologia di incidente di sicurezza, nel caso in cui siano coinvolti dati personali. Mentre tutti i data breach sono incidenti di sicurezza, non è detto che un incidente di sicurezza sia qualificabile come data breach.

Cosa deve fare il titolare del trattamento in caso di data breach?

Gli artt. 33 e 34 del GDPR disciplinano le procedure che il titolare deve attivare in caso di data breach. Queste si distinguono in una procedura di notifica della violazione all’autorità di controllo (che in Italia è il Garante per la protezione dei dati personali) e in una procedura di comunicazione della violazione all’interessato.

Entrambi i procedimenti hanno il preciso scopo di informare, il Garante o l’interessato, dell’avvenuta violazione per permettere loro di attivarsi e adottare eventuali misure di tutela.

Cosa deve fare il responsabile del trattamento in caso di data breach?

Sebbene l’obbligo di notifica e di comunicazione sia posto in capo al titolare, l’art. 33 dispone che il responsabile del trattamento, dopo essere venuto a conoscenza della violazione, debba informarne il titolare senza ingiustificato ritardo.

Per rendere l’intervento a seguito di violazioni il più efficiente e tempestivo possibile, anche in considerazione delle dimensioni dei contesti di trattamento dei dati e delle persone che possono esservi coinvolte, sarebbe utile per il titolare predisporre un apposito piano di sicurezza. Il piano dovrebbe definire gli step e le procedure organizzative da adottare nella gestione di eventuali violazioni e l’organigramma dei soggetti o dei livelli direttivi a cui è necessario fare riferimento per riportare l’accadimento.

Quando deve essere effettuata la notifica al Garante?

L’art. 33 del GDPR prevede che il titolare che sia venuto a conoscenza di una violazione debba darne tempestiva notifica all’autorità di controllo, ove possibile entro le 72 ore o, se effettuata oltre il termine, motivando le ragioni del ritardo. Non è necessario effettuare la notifica nel caso in cui sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le liberta? delle persone fisiche. È il titolare, quindi, responsabile di analizzare i potenziali rischi generati dal data breach nei confronti degli interessati e valutare se questi non siano tali da far scattare l’obbligo di notifica all’autorità di controllo. Si noti che basta la presenza di un rischio “semplice” per obbligare il titolare alla notifica.

Quando deve essere data comunicazione all’interessato della violazione?

L’art. 34 del GDPR prevede che, quando il data breach sia suscettibile di presentare un rischio elevato per i diritti e le liberta? delle persone fisiche, il titolare sia obbligato a dare comunicazione della violazione all’interessato senza ingiustificato ritardo. Dunque, a differenza della notifica al Garante, la comunicazione all’interessato deve essere fornita solo nel caso in cui la violazione presenti un “rischio elevato”. È comunque sempre compito e responsabilità del titolare effettuare tale valutazione. L’articolo prosegue elencando una serie di circostanze in cui, pur in presenza di un potenziale rischio elevato, la comunicazione all’interessato non deve essere effettuata se: a) il titolare aveva applicato adeguate misure tecniche e organizzative di protezione sui dati oggetti di violazione (es. cifratura); b) il titolare ha successivamente adottato misure idonee a scongiurare un rischio elevato per gli interessati; c) la comunicazione richiederebbe sforzi sproporzionati (in questo caso si procederebbe a una comunicazione pubblica o con simili modalità).

Quali sono le modalità di comunicazione?

Per essere compliant con l’obbligo di comunicazione del GDPR non è sufficiente informare l’interessato. L’adeguatezza di una comunicazione, infatti, dipende non solo dal contenuto del messaggio, ma anche dalle modalità con cui tale messaggio è stato veicolato. Per soddisfare la loro funzione informativa, le comunicazioni devono essere formulate in un linguaggio semplice e facilmente comprensibile. Devono essere privilegiate modalità di comunicazione diretta con i soggetti interessati (come e-mail, SMS o messaggi diretti). Il messaggio dovrebbe essere comunicato in maniera evidente e trasparente, evitando quindi di inviare le informazioni in contesti eccessivamente generici e fuorvianti (per esempio con update generali o newsletter).

Come si valuta il rischio a seguito di una violazione?

La valutazione dei rischi scaturenti da una violazione è un passaggio fondamentale perché permette al titolare non solo di individuare misure adeguate per arginare o eliminare l’intrusione, ma anche di valutare la necessità di attivare le procedure di notifica e comunicazione (che si attivano solo al superamento di determinate soglie di rischio). La valutazione è simile a quella che il titolare deve effettuare con riferimento al Data Protection Impact Assessment (cioè la valutazione d’impatto preventiva), a differenza della quale, però, dovrà essere maggiormente personalizzata avendo riguardo alle circostanze concrete della violazione.

Tra i fattori che il titolare dovrà tenere in considerazione nel suo assessment ci sono: il tipo di violazione (di riservatezza, di accessibilità o di integrità?) e la natura dei dati violati (es. dati sanitari, documenti di identità o numeri di carte di credito); la facilità con cui potrebbero essere identificati gli interessati (che varia a seconda del tipo di dati, identificativi o non identificativi, e delle modalità utilizzate nella loro conservazione, per esempio tecniche di pseudonimizzazione o crittografia); la gravità delle conseguenze sugli individui (che è differisce se i dati sono stati inviati per errore a un soggetto di fiducia o sono stati rubati da un terzo sconosciuto); eventuali speciali caratteristiche e numero degli individui interessati (es. se sono coinvolti bambini o anziani; se si tratta di violazione massiccia o individuale) e le particolari caratteristiche del titolare (per esempio in base all’ambito di attività).

posted by admin on marzo 15, 2018

Ecommerce e contrattualistica

(No comments)

La Fondazione Forense Bolognese, Il dipartimento di scienze giuridiche e la scuola di giurisprudenza dell’Università di Bologna organizzano un convegno su “Il contratto internazionale: vecchi e nuovi problemi per giudice, arbitro, imprese e consulenti, anche alla luce della soft law.”

La giornata di studi, ricca di interventi di relatori provenienti dal mondo accademico, giuridico e professionale, è dedicata all’analisi degli aspetti controversi del contratto internazionale. L’organizzazione e direzione scientifica è a cura della Prof.ssa Paola Manes. La Prof.ssa Giusella Finocchiaro parteciperà al convegno con un intervento sul tema “Intelligenza artificiale e contratto internazionale”. L’appuntamento è 16 marzo 2018 a Bologna, presso l’aula traslazione del Complesso di San Domenico, in Piazza San Domenico 13.

L’evento rientra nelle attività di formazione continua per gli avvocati con 5 crediti attribuiti per l’incontro. La partecipazione è libera con iscrizione obbligatoria. Per il programma e per maggiori informazioni si rimanda a QUESTA pagina.

carta-didentitàIl regolamento privacy (Regolamento (UE) 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

Chi è il Data Protection Officer?

Il Data Protection Officer, o più comunemente D.P.O. (in italiano, “Responsabile della protezione dei dati”), è la figura nominata dal titolare o dal responsabile del trattamento avente, principalmente, un duplice ruolo: da un lato, quello di sorvegliare e coordinare l’osservanza della disciplina privacy all’interno dell’organizzazione del soggetto che l’ha designato; dall’altro, quello di interfaccia esterna con le autorità e con i soggetti interessati.

Quando deve essere nominato il D.P.O.?

La designazione del D.P.O. è obbligatoria quando: a) il trattamento è effettuato da un soggetto pubblico (eccettuate le autorità giurisdizionali); b) il trattamento richiede il monitoraggio sistematico degli interessati su larga scala; c) viene effettuato il trattamento su larga scala di particolari categorie di dati (ad esempio: dati sensibili, dati genetici, biometrici, dati giudiziari o dati riferiti a minori). Tuttavia, la legge nazionale o il diritto europeo possono prevedere ulteriori casi di designazione obbligatoria.

Al di fuori di queste ipotesi, la nomina del D.P.O. è facoltativa ma è comunque fortemente raccomandata, data la rilevante funzione di ausilio e di supporto nell’osservanza del GDPR.

Quali sono i requisiti necessari per essere nominati D.P.O.?

Il D.P.O. deve possedere conoscenze specialistiche proporzionate alla sensibilità, complessità e quantità dei dati sottoposti a trattamento. In particolare, deve padroneggiare la normativa e le prassi nazionali ed europee in materia di protezione dei dati e avere un’approfondita conoscenza del GDPR, così come del settore di attività e della struttura organizzativa del titolare del trattamento.

Infine, deve avere una buona familiarità con le operazioni di trattamento svolte, nonché con i sistemi informativi e le esigenze di sicurezza e protezione dei dati manifestate dal titolare/responsabile.

Quali compiti può svolgere il D.P.O.?

Oltre alla funzione di coordinamento interno e di interfaccia esterna, il D.P.O. deve occuparsi della formazione continua dell’organico del titolare/responsabile del trattamento in materia privacy, monitorare il rispetto del GDPR, nonché fornire – ove richiesto – un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento. L’elenco delle mansioni non è esaustivo e il titolare o il responsabile del trattamento possono decidere di affidargli ulteriori compiti, come ad esempio la tenuta del registro delle attività di trattamento.

Il D.P.O. può essere un dipendente?

Il titolare o il responsabile del trattamento possono decidere di nominare D.P.O. un soggetto interno alla propria organizzazione ovvero di affidare la mansione ad un soggetto esterno (mediante outsourcing o un contratto di servizi). In entrambi i casi, occorrerà garantire la piena autonomia e indipendenza del D.P.O., così come l’assenza di conflitti di interesse. Per questo motivo, il D.P.O. non può ricevere istruzioni né essere rimosso o penalizzato per l’adempimento dei propri compiti.

Il D.P.O. può avvalersi di ausiliari?

È obbligo del titolare o del responsabile del trattamento fornire al D.P.O. tutte le risorse necessarie in termini di tempo e budget sufficienti per espletare i propri compiti, infrastrutture (sede, attrezzature, strumentazione) e personale. Il D.P.O. può infatti avvalersi di un team di collaboratori che lo coadiuvino nei propri compiti. In tal caso, occorrerà ripartire chiaramente i compiti all’interno del team e prevedere che sia un solo soggetto identificato a fungere da referente.

Chi è responsabile delle violazioni del GDPR?

Il controllo del rispetto del GDPR non significa che il D.P.O. sia personalmente responsabile in caso di inosservanza. Il titolare e il responsabile del trattamento continueranno a rispondere delle eventuali violazioni in materia privacy derivanti dal loro trattamento.

Il titolare/responsabile deve rendere pubblica la nomina del D.P.O.?

La nomina del D.P.O. deve essere resa nota tanto all’interno, quanto all’esterno dell’organizzazione del titolare o del responsabile del trattamento. In particolare, sul sito del titolare/responsabile del trattamento andranno pubblicati i dati di contatto del D.P.O., tra cui recapito postale, numero telefonico dedicato e/o indirizzo dedicato di posta elettronica. I medesimi dati di contatto dovranno poi essere comunicati all’Autorità Garante per la protezione dei dati personali, nonché resi noti ai soggetti interessati per il tramite dell’informativa (vd. scheda sull’informativa).

Un odontoiatra era comparso nella trasmissione “Scherzi a parte” in veste d’attore, in un contesto del tutto estraneo alla sua professione, ma durante il programma erano stati resi pubblici sia il suo nome e cognome, sia nome e ubicazione del suo studio, senza autorizzazione dell’interessato.

La Corte di Cassazione ha respinto il ricorso di Reti televisive italiane S.p.a. e Videotime S.p.a. contro una sentenza del 2014 della Corte di Appello di Roma che condannava le due società del gruppo Mediaset a risarcire un odontoiatra, per violazione della privacy.

La Corte d’appello, nell’emettere la sentenza, aveva rilevato che il professionista non aveva mai dato alle società interessate il consenso all’utilizzazione e alla diffusione televisiva del proprio nominativo, tantomeno in associazione alla propria attività professionale.

Reti Televisive Italiane S.P.A. e Videotime S.P.A avevano in seguito presentato ricorso in Cassazione, lamentando una violazione da parte della Corte dell’articolo 112 c,p.c. (in relazione al)’art. 360 n. 4 c.p.c.): secondo loro, infatti, La Corte avrebbe riconosciuto la sussistenza del danno subito dall’odontoiatra senza prove materiali del fatto che il denunciante avesse manifestato prima della trasmissione, la volontà di non essere identificato né associato alla propria professione.

In seguito al controricorso del medico, il 13 febbraio 2017 il Procuratore generale presso la Corte di cassazione ha infine rigettato il ricorso, ritenendo che la violazione dell’articolo 112 non sussista, avendo il giudice operato senza alterare nessuno degli elementi obiettivi di identificazione dell’azione.

Reti Televisive Italiane S.P.A. e Videotime S.P.A dovranno quindi corrispondere all’odontoiatra il risarcimento per danni morali più quello per le spese legali sostenute.

Security_cybercrimeLa Corte di Cassazione a Sezioni Unite mette un punto all’annosa questione concernente la qualificazione della causale di bonifico come dato sensibile, risolvendo un contrasto giurisprudenziale sorto in seno alla Corte stessa e di cui questo blog si era già occupato.

I fatti sono noti: il soggetto beneficiario di un’indennità per malattia e invalidità elargita ai sensi della l. 25 febbraio 1992, n. 210 (“Indennizzo a favore dei soggetti danneggiati da complicanze di tipo irreversibile a causa di vaccinazioni obbligatorie, trasfusioni”) lamenta l’illecito trattamento dei propri dati da parte della Regione, erogatrice dell’indennizzo e ordinatrice del relativo bonifico, e della sua banca, ricevente il bonifico per conto del proprio correntista. Giacché i riferimenti legislativi della norma che accorda l’indennità sono menzionati nella causale di bonifico, il soggetto beneficiario sostiene che tale indicazione sia idonea a rivelare il proprio stato di salute e, di conseguenza, rappresenti un dato sensibile che deve essere trattato con le cautele rigorose previste per tale peculiare categoria di dati. In considerazione dell’esplicita dicitura indicata nella clausola di bonifico, tanto la Regione, quanto la Banca non avrebbero invece adottato – secondo il beneficiario – le opportune cautele di cifratura dei dati sensibili volte a non rendere identificabile il soggetto interessato e ad escludere il collegamento tra quest’ultimo e il dato sensibile. Da qui, l’illecito trattamento.

La Cassazione affronta la questione dapprima nel 2014, con la sentenza n. 10947, abbracciando la teoria della causale del bonifico come dato sensibile, poi nel 2015 con la sentenza n. 10815 smentendo l’orientamento precedentemente espresso e sostenendo, in particolare, l’assenza di un obbligo in capo alla Regione e alla banca di cifrare i dati (maggiori approfondimenti QUI).

Alla luce di tale contrasto giurisprudenziale, la Prima sezione civile della Cassazione, nuovamente interpellata sul tema, rinvia la questione alle Sezioni Unite che, con la sentenza n. 30981 del 27 dicembre 2017, sposano il primo degli orientamenti menzionati. In primo luogo, le Sezioni Unite si interrogano sulla natura della causale del bonifico, giungendo ad affermare che si tratta di dato sensibile in quanto “la dizione ‘pagamento rateo arretrati bimestrali e posticipati l. n. 210 del 1992’ contiene la rivelazione del dato sensibile riguardante la salute del ricorrente in quanto la periodicità della corresponsione (…) non può che riguardare il soggetto affetto dalle patologie cui l’indennità si riferisce e non i suoi familiari-eredi ai quali la legge riconosce un importo a titolo di una tantum”. In secondo luogo, ritenendo che sia la Regione, sia la banca abbiano posto in essere un trattamento di dati e che ne siano i relativi titolari, i giudici ermellini proseguono nel valutare l’applicabilità o meno al caso di specie delle cautele riservate ai dati sensibili, in particolare le tecniche di cifratura e l’utilizzazione di codici identificativi di cui al già richiamato art. 22, 6° comma del Codice privacy. A tal proposito, le Sezioni Unite – in contrasto con la sentenza del 2015 – sostengono che l’obbligo della cifratura non sia limitato ai dati sensibili esclusivamente contenuti in elenchi, registri o banche dati, tenuti con l’ausilio di strumenti elettronici, così come indicato nella su citata disposizione, ma si estenda a tutte le modalità di raccolta dei dati come si ricava dalla più puntuale indicazione contenuta nel successivo 7° comma, specificamente diretta ai dati sensibili relativi alla salute. In tale disposizione si precisa, infatti, che i dati idonei a rivelare lo stato di salute debbano essere trattati con le modalità di cui al 6° comma (che richiede la cifratura o l’utilizzazione di codici identificativi).

Secondo la Cassazione, dunque, la Regione avrebbe dovuto osservare le prescrizioni contenute nell’art. 22, commi 6 e 7, che impongono di rendere inintelligibili i dati sensibili e permettono di identificare gli interessati solo in caso di necessità. A nulla rilevano – secondo i giudici – gli “obblighi di trasparenza posti a carico della pubblica amministrazione nell’allocazione e distribuzione delle risorse finanziarie ai quali i soggetti pubblici sono tenuti (…) perché i beneficiari dell’indennità sono identificabili per relationem per mezzo dei codici cifrati o criptati limitatamente però a ciò che è strettamente necessario a provvedere alle erogazioni ed a rispettare gli altri obblighi normativi ed istituzionali”.

Tuttavia, l’iter argomentativo delle Sezioni Unite non si arresta qui: in modo innovativo (quanto atipico), le Sezioni Unite estendono l’obbligo di cifratura anche alla banca che di norma, a causa della propria natura di soggetto privato, non sarebbe soggetta a tale cautela, imposta solo ai soggetti pubblici nell’ambito dei propri trattamenti. Tuttavia, nel caso di specie, i giudici ritengono che la mancata adozione da parte della banca di idonee misure che impediscano l’identificazione del soggetto interessato “determinerebbe un vulnus privo di ragionevolezza in ordine al trattamento dei dati nella fase successiva alla trasmissione di essi all’istituto bancario, caratterizzata dal potenziale aumento del numero dei soggetti che ne possono venire a contatto. Le cautele della cifratura sono finalizzate proprio ad evitare la conoscenza dei dati sensibili attinenti alla salute da parte di soggetti che ne possano venire a contatto per” il semplice fatto di far parte dell’organizzazione del titolare del trattamento (in questo caso, la banca).

In conclusione, secondo le Sezioni Unite, i titolari del trattamento – a prescindere dalla loro natura privata o pubblica –, ove si trovino a trattare dati sensibili, dovrebbero sempre adottare modalità organizzative dirette ad escludere il collegamento tra il dato sensibile e il soggetto interessato ed a limitare l’identificabilità per le operazioni indispensabili ed ai soli addetti a tali specifiche operazioni, celando ai restanti componenti dell’organizzazione del titolare la decifrabilità dei dati.

firma_digitale2Il regolamento privacy (Regolamento (UE) 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

Cos’è il consenso al trattamento?

Secondo la nuova definizione del GDPR, per consenso si intende “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento” (art. 4, n 11).

Analizzando la definizione, si desume che il consenso rappresenta una manifestazione di volontà, espressa in termini affermativi e in maniera inequivocabile. Dunque potrà essere unicamente una dichiarazione o azione positiva dell’interessato e non invece un suo comportamento meramente passivo, per esempio un suo ipotetico silenzio-assenso.

Inoltre, il GDPR, come anche il Codice privacy, richiede che il consenso sia non solo inequivocabile, ma anche: libero (prestato in assenza di costrizioni); specifico (uno per ogni finalità di trattamento); informato (all’interessato deve essere stata fornita adeguata informativa sul trattamento dei dati personali).

Chi deve richiedere il consenso per il trattamento dei dati personali?

Il titolare del trattamento o, se a ciò specificatamente istruito, il responsabile del trattamento devono raccogliere il consenso dell’interessato nel caso vogliano trattarne i dati.

Si segnala che il GDPR pone in capo al titolare un vero e proprio onere probatorio. L’art. 7, 1° comma specifica infatti che il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.

Quando deve essere richiesto il consenso per i dati personali?

Il consenso dell’interessato è una delle molteplici basi giuridiche che il GDPR prevede, alternativamente, per legittimare il trattamento di dati personali che il titolare vuole effettuare. Ciò vuol dire che sarà necessario raccogliere il consenso ogniqualvolta non sia utilizzabile una delle alternative basi giuridiche previste dal GDPR all’art. 6. Queste sono essenzialmente “circostanze equipollenti” al consenso, in presenza delle quali i dati possono essere trattati anche senza il consenso dell’interessato.

Quali sono le circostanze equipollenti al consenso dell’interessato?

L’art. 6 del GDPR elenca, oltre al consenso, cinque diversi tipi di basi giuridiche che riprendono per lo più le alternative già previste dal nostro Codice privacy. Il trattamento sarà comunque lecito in assenza del consenso dell’interessato se: a) è necessario all’esecuzione di un contratto o di un obbligo precontrattuale di cui l’interessato è parte; b) è necessario per adempiere ad un obbligo legale; c) è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona; d) è necessario per l’esecuzione di un compito di interesse pubblico; e) è necessario per il perseguimento di un legittimo interesse del titolare o di terzi, purché non pregiudichi le libertà o i diritti degli interessati.

In quest’ultimo caso sarà dovere e responsabilità del titolare operare il bilanciamento fra il suo interesse legittimo e i diritti degli interessati, giustificando la prevalenza del suo interesse su quello dei diversi interessati.

Quali possono essere legittimi interessi del titolare?

Il GDPR ai considerando 47,48 e 49 elenca a titolo esemplificativo alcuni attività che potrebbero essere considerate di interesse legittimo per il titolare, prevalenti rispetto a quelli degli interessati.

Tra queste si inserisce la legittima prevenzione delle frodi o le finalità di marketing diretto (che si precisa avviene nel caso il titolare utilizzi i dati di contatto che l’interessato gli aveva fornito in precedenza nel contesto della vendita di un prodotto o di un servizio senza richiedere il consenso dell’interessato, a condizione che si tratti di servizi analoghi a quelli oggetto della vendita e che l’interessato, adeguatamente informato, non rifiuti tale uso). Ancora potrebbe considerarsi coperto dall’interesse legittimo il trattamento di dati a fini amministrativi interni o al fine di garantire la sicurezza delle reti e dell’informazione.

Ci sono condizioni particolari per il trattamento dei dati sensibili (c.d. particolari categorie di dati)?

Per il trattamento di categorie particolari di dati (dati sensibili), la regola generale e? quella del consenso “esplicito” (il consenso esplicito si applica anche nel caso in cui il titolare intenda adottare un procedimento decisionale basato unicamente su trattamenti automatizzati, compresa la profilazione, che produca effetti giuridici sull’interessato).

Anche in questo caso il GDPR prevede una serie “circostanze equipollenti” che derogano alla necessità di raccogliere il consenso (art. 9). Tra queste ve ne sono alcune particolarmente innovative, tra cui trattamenti necessari per: assolvere ad obblighi in materia di diritto del lavoro, sicurezza sociale e protezione sociale; finalità di medicina preventiva o di medicina del lavoro; motivi di interesse pubblico nel settore della sanita? pubblica; fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o fini statistici.

Quali sono le novità in materia di consenso dei minori?

Il GDPR inserisce una disposizione ad hoc per il consenso dei minori, che tuttavia riguarda esclusivamente l’offerta diretta di servizi della società dell’informazione.

In considerazione dell’ampia varietà di contenuti e servizi digitali a cui i minori hanno accesso grazie all’utilizzo di Internet, il GDPR vuole rafforzare la posizione di tutela di questi ultimi di fronte ai pericoli della Rete. L’art. 8 specifica quindi che il consenso prestato dal minore per il trattamento dei suoi dati personali, nell’ambito di un servizio della società dell’informazione, è lecito solo nel caso il minore abbia almeno 16 anni (età che può essere diminuita fino a un minimo di 13 anni dagli Stati membri).

Nel caso l’età del minore sia inferiore, il trattamento sarà legittimato solo con il consenso, prestato o autorizzato, dal genitore o comunque titolare della responsabilità genitoriale.

Quali sono le condizioni di raccolta del consenso?

Alla luce della definizione di consenso (manifestazione di volontà libera, specifica, informata e inequivocabile), il GDPR specifica alcune condizioni richieste al titolare al fine di assicurare la raccolta di un consenso legittimo.

Il consenso può essere prestato tramite dichiarazione scritta o a mezzo di dichiarazione orale.

Nel caso il consenso sia prestato per iscritto, nell’ambito di una dichiarazione che riguardi anche altre questioni, il consenso al trattamento dei dati personali deve essere presentato in maniera chiaramente distinguibile dalle altre materie.

La formulazione del consenso deve essere comprensibile e facilmente accessibile, utilizzando quindi un linguaggio semplice e chiaro.

Inoltre il titolare deve tenere in considerazione che il consenso prestato dall’interessato potrà essere dallo stesso sempre revocato, in qualsiasi momento, con la stessa facilità con cui è stato accordato.

Come scrivere un consenso conforme al regolamento?

Per sintetizzare, per formulare un consenso conforme al GDPR, questo:

1) deve integrare un atto positivo inequivocabile: può essere raccolto attraverso una dichiarazione scritta, anche attraverso mezzi elettronici, o una dichiarazione orale;

1.1) ciò implica che non equivalgono a consenso: silenzio, inattività o preselezione di caselle

1.2) al contrario si potrà raccogliersi il consenso tramite: apposita casella (non preselezionata) su un sito; la scelta di impostazioni tecniche per i servizi della società dell’informazione o comunque qualsiasi dichiarazione o comportamento che indichi chiaramente l’accettazione dell’interessato

2) deve essere formulato con un linguaggio semplice, chiaro e comprensibile;

3) deve esserci un consenso per ciascuna finalità di trattamento (si ricorda che marketing e profilazione costituiscono finalità distinte);

4) in presenza di minori: verificare l’età del minore o richiedere il consenso parentale;

5) per le particolari categorie di dati, deve essere in ogni caso “esplicito”;

6) necessita l’adozione di misure che permettano al titolare di dimostrare l’avvenuta raccolta del consenso e l’esercizio agevole del diritto di revoca dell’interessato.