Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

In occasione della recente entrata in vigore del Regolamento Generale per la Protezione dei Dati Personali, l’Università di Bologna organizza un convegno dedicato all’adeguamento al GDPR (Reg. UE 2016/679 in materia di protezione dei dati personali).

L’evento, volto a definire il contesto e la sostanza del nuovo Regolamento sulla privacy, è stato organizzato sotto la guida di Giusella Finocchiaro, Presidente del gruppo di lavoro, presso l’Ufficio Legislativo del Ministero della Giustizia, incaricato di provvedere alla ricognizione, all’analisi ed all’approfondimento delle disposizioni, di matrice europea, previste dalle fonti normative, al fine di provvedere al recepimento ed adeguamento dell’ordinamento interno alle prescrizioni europee in materia di protezione dei dati personali.

Il convegno vede la partecipazione degli esperti componenti della Commissione presso l’Ufficio Legislativo del Ministero della Giustizia:

Avv. Giovanni Guerra – Avvocato del Foro di Roma

Prof. Alessandro Mantelero – Politecnico di Torino

Prof. Franco Pizzetti – Università degli Studi di Torino, Università Luiss Guido Carli

Prof. Oreste Pollicino – Università Bocconi

Prof. Giorgio Resta – Università degli Studi Roma Tre

Con loro discutono rappresentanti istituzionali:

Cons. Augusta Iannini  – Vice Presidente dell’Autorità Garante per la protezione dei dati personali

Cons. Carmelo Barbieri – Vice Capo Ufficio Legislativo – Ministero della Giustizia

Introducono il convegno:

Prof. Francesco Ubertini – Magnifico Rettore Alma Mater Studiorum Università di Bologna

Prof. Luigi Balestra – Vice Presidente della Scuola di Giurisprudenza – Alma Mater Studiorum Università di Bologna

Dott. Alberto Vacchi – Presidente di Confindustria Emilia Area Centro – Presidente e Amministratore Delegato di IMA Spa

Dott. Pierluigi Stefanini – Presidente Unipol Gruppo e Vice Presidente UnipolSai Assicurazioni

Avv. Gianluca Di Ascenzo – Presidente del Codacons

Modera il giornalista del Sole 24 Ore, Dott. Giovanni Negri.

L’appuntamento è per giovedì 31 Maggio 2018 dalle ore 15.00 presso la Sala VIII Centenario – Via Zamboni 33, Bologna.

Master Sole 24ore Vi proponiamo qui l’articolo di Giusella Finocchiaro sullo schema di decreto che armonizza l’integrazione del Regolamento dell’Unione Europea sulla privacy, pubblicato sull’inserto privacy del il Sole 24 Ore il 24 maggio 2018.

A distanza di oltre vent’anni dalla prima normativa europea in materia, la direttiva madre 46 del 1995, è giunto il momento di voltare pagina. Prendendo atto dei cambiamento tecnologici (nel 1995 non esistevano gli smartphone) che hanno indotto grandi cambiamenti sociologici (basti pensare alla vita che si svolge sui social network). E’ cambiato anche il contesto economico: oggi i dati sono il nuovo petrolio, come scrive l’Economist. E quello politico: l’Europa si è impegnata nel mercato unico digitale.

Il Regolamento europeo 679/2016, che entra in vigore domani, riflette tutti questi cambiamenti e volta pagina. Innanzitutto detta una disciplina unitaria per tutti gli Stati Membri, salvo alcuni spazi lasciati al legislatore nazionale, definendo così uno spazio unico anche sotto il profilo giuridico, all’interno e verso l’esterno.

Afferma con forza il principio della libera circolazione dei dati, la quale “non può essere limitata nè vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali”, come recita l’articolo 1 del regolamento.

Il diritto alla protezione dei dati personali, sancito dalla Carta Dei Diritti Fondamentali dell’Unione Europea, è soggetto a un necessario bilanciamento. I dati personali possono essere al tempo stesso gli elementi su cui si definiscono l’immagine e l’identità dell’individuo, nonché beni economici oggetto di scambio.

Il patrimonio italiano costituito dalla nostra elaborazione normativa, giurisprudenziale e dottrinale, è ormai patrimonio giuridico europeo e in questa prospettiva va correttamente inquadrata la nuova fase della protezione dei dati personali. I principi fondamentali già consolidati sono confermati dal regolamento europeo: così informativa, consenso e altri presupposti di legittimità del trattamento.

Muta però la filosofia di fondo: si passa dall’approccio autorizzatorio a quello fondato sull’accountability. E questo comporta la modifica nella governance: la gestione dei dati personali diviene gestione del rischio, non più soltanto competenza del legale o dell’IP.

In Italia, con grande ritardo, è stata incaricata una commissione legislativa – che ha concluso i lavori in due mesi, il 19 marzo – di predisporre il testo di un decreto legislativo per adeguare la normativa italiana a quella europea.

Opera non strettamente necessaria, essendo il regolamento direttamente applicabile, ma utile per operare un coordinamento. La commissione ha verificato la compatibilità delle norme presenti nell’ordinamento italiano con quelle del regolamento europeo, che direttamente le sostituiscono.

Ha quindi proceduto con un’operazione non frequente: l’abrogazione espressa delle norme italiane sostituite. Si tratta di n’operazione culturale di grande rilevanza, volta a chiarire agli operatori e agli interpreti il quadro normativo di riferimento.

[...]

Continua sull’inserto privacy del Il Sole 24 Ore del 23 maggio 2018.

posted by admin on maggio 23, 2018

Miscellanee

(No comments)

Vi proponiamo qui l’articolo di Giusella Finocchiaro sullo schema di decreto che armonizza l’integrazione del Regolamento dell’Unione Europea sulla privacy, pubblicato su il Sole 24 Ore il 23 maggio 2018.

Master Sole 24ore privacy officerVi proponiamo qui l’articolo di Giusella Finocchiaro e Oreste Pollicino, pubblicato su il Sole 24 Ore il 12 maggio 2018.

È stato finalmente trasmesso alle Camere lo schema di decreto elaborato dalla Presidenza del consiglio sulla base della proposta ricevuta dalla Commissione incaricata di adeguare la normativa italiana a quella europea. Tempi molto lunghi, anche per la situazione politica che non ha inserito certamente una normativa apparentemente di tipo tecnico, come quella sul Gdpr, fra le priorità.

Cosa è cambiato nello schema? Il contenitore e le norme penali. Mentre il contenuto è fondamentalmente rimasto il medesimo, salvo alcuni aggiustamenti, in parte condivisibili.

Con riguardo alla tecnica normativa, è stato scelto di inserire le modifiche apportate dal decreto nel Codice per la protezione dei dati personali, le cui disposizioni sono però perlopiù abrogate e di cui molte altre sono modificate. Ne risulta un testo di inutile complessità, che non apporta alcuna tutela sostanziale in più per il diritto alla protezione dei dati personali. La semplificazione è abbandonata e la leggibilità certamente ne risente.

La nuova tecnica normativa sembra sia stata motivata dal timore del rischio di un eccesso di delega se si fosse confermato l’approccio della Commissione di abrogare il codice. Il problema dell’eccesso di delega sembra essere stato amplificato rispetto alla sua reale portata. A differenza di numerosi casi in cui la legge delega fornisce dei principi e criteri direttivi dettagliati andando ad individuare questioni specifiche, in questo caso, si è di fronte ad espressioni di maggior respiro finalizzate più ad un riordino, anzi, ad un adeguamento della disciplina esistente rispetto alla nuova legislazione europea piuttosto che ad interventi di chirurgia legislativa. C’era dunque l’esigenza di dare piena applicazione ad una fonte di diritto dell’Unione europea che la Corte costituzionale, già dagli anni Settanta, ha riconosciuto prevalente sul diritto interno. In questi casi la Consulta è assai prudente nella identificazione di possibili vizi di costituzionalità.

L’impressione è, in altre parole, che l’adeguamento a cui mirava la legge delega sarebbe potuto passare, senza troppi problemi di possibile conformità costituzionale dello schema di decreto e un risultato di maggiore chiarezza e leggibilità dello stesso, anche per la scelta dell’abrogazione fatta dalla Commissione.

Sono state ampiamente riviste le disposizioni penali presenti nel Codice per la protezione dei dati personali e sono stati creati due nuovi reati, concernenti la cessione di rilevanti quantità di dati e l’acquisizione fraudolenta di dati. La formulazione delle nuove fattispecie di reato va ora verificata con la massima attenzione. Il principio di tassatività in materia penale non è solo tutelato dalla nostra Costituzione, ma anche dalla Carta dei diritti fondamentali dell’Unione europea. Trattandosi di materia in cui gli Stati membri hanno un margine di discrezionalità, sono comunque rilevanti i vincoli provenienti dal diritto dell’Unione, poiché si sta dando attuazione ad un regolamento comunitario. Ancora, la versione dello schema di decreto inviato alle Camere non ha tenuto in considerazione, a differenza di quanto faceva il testo licenziato dalla Commissione, della giurisprudenza della stessa Corte in tema di raccolta e conservazione di dati personali per finalità di sicurezza e di prevenzione di gravi reati.

Il bilanciamento tra sicurezza e privacy che emerge dal testo finale non sembra perfettamente in linea con il principio di proporzionalità delle restrizioni alla tutela dei dati personali su cui ha sempre insistito la Corte di giustizia.

In sintesi, uno schema di decreto che crea un raccordo fra la normativa italiana e quella europea ed effettua una verifica di compatibilità che contribuisce a creare una maggiore certezza del diritto. Ma su alcune scelte si sarebbe potuto avere più coraggio.

In previsione dell’imminente entrata in vigore del GDPR, l’Università degli studi di Roma 3 organizza un convegno del titolo “verso l’entrata in vigore del Regolamento UE 2016/679 sulla protezione dei dati personali”.

L’appuntamento è per Mercoledì 16 Maggio 2018 dalle ore 16:30 alle 19:00 presso la Sala del Consiglio del Dipartimento di Giurisprudenza.

Introducono il convegno il Prof. Carlo Colapietro e il Prof. Giorgio Resta.

Intervengono:

Prof.ssa Licia Califano (Garante per la protezione dei dati personali – Università di Urbino);

Prof.ssa Giusella Finocchiaro (Università di Bologna – Presidente del Gruppo di lavoro Min. Giustizia);

Prof. Alberto Gambino (Università Europea – IAIC);

Prof. Arturo Maresca (Università di Roma Tre);

Prof. Roberto Pardolesi (Luiss);

Prof. Oreste Pollicino (Università Bocconi);

Avv. Guido Scorza;

Dott. Roberto D’Orazio (Camera dei Deputati – Ufficio Legislazione Straniera);

Dott.ssa Ginevra Bruzzone (Assonime);

Dott. Antonio Matonti (Confindustria).

Modera il Dott. Federico Fubini (Corriere della Sera).

L’imminente entrata in vigore del GDPR è al centro del convegno organizzato da Confindustria, che si terrà presso la sede di Roma, in data 11 maggio 2018.

Interverranno:

Marcella Panucci, Direttore Generale Confindustria

Bruno Gencarelli Capo unità “Protezione e flussi internazionali di dati” Direzione generale Giustizia e Consumatori della Commissione europea.

Giuseppe Busia, Segretario Generale Autorità Garante per la protezione dei dati personali

Giusella Finocchiaro, Ordinario di diritto privato e di diritto di internet Università di Bologna

Savino Figurati Responsabile Ufficio Legale Unione Industriale Torino

Modera i lavori:

Antonio Matonti, Direttore Affari Legislativi Confindustria.

Per informazioni ed iscrizioni si rimanda alla pagina del sito di Confindustria dedicata all’evento.

Il regolamento privacy (Regolamento 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

Cosa si intende per Autorità di controllo?

Per Autorità di controllo si intende uno o più enti indipendenti incaricati di controllare l’effettiva applicazione del GDPR in ogni stato membro, al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche riguardo al trattamento dei dati personali. Tra i suoi compiti vi è anche quello di agevolare la libera circolazione dei dati personali all’interno dell’Unione. In Italia tale autorità è individuata nel Garante per la protezione dei dati personali.

Quali sono le caratteristiche delle Autorità di controllo?

La caratteristica fondamentale è l’indipendenza. I membri dell’Autorità non devono subire pressioni esterne, né dirette né indirette, e non possono chiedere o accettare istruzioni da alcuno. A tal fine, ogni Stato mette a diposizione della propria Autorità le risorse economiche e di personale necessarie ad adempiere con imparzialità ai propri compiti.

L’Autorità di controllo è competente ad esercitare i propri poteri solo all’interno dei confini dello Stato membro da cui è stata individuata. Non è competente per i trattamenti svolti dalle autorità giudiziarie nell’esercizio dei propri compiti istituzionali. Di regola, la richiesta di un suo intervento è senza oneri per l’interessato.

Quali sono i compiti dell’Autorità di controllo?

I principali compiti dell’Autorità di controllo sono individuabili in:

1) consulenza alle istituzioni nazionali in merito alle misure legislative e amministrative relative alla protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento dei dati;

2) trattazione e decisione dei reclami proposti da un interessato o dai suoi procuratori;

3) collaborazione e assistenza reciproca con le altre autorità di controllo europee;

4) controllo degli sviluppi relativi alla protezione dei dati personali dovuti all’evoluzione delle tecnologie dell’informazione e della comunicazione e le prassi commerciali;

5) incoraggiamento e approvazione di codici di condotta, dei meccanismi di certificazione della protezione dei dati e delle norme vincolanti d’impresa.

Quali sono i poteri dell’Autorità?

Per adempiere ai propri compiti, sono riconosciuti all’Autorità determinati poteri d’indagine, correttivi ed autorizzativi. A titolo esemplificativo, l’Autorità:

1)    può ordinare al titolare e al responsabile del trattamento di garantirle l’accesso a tutti i dati personali e a tutte le informazioni necessarie per l’esecuzione dei suoi compiti;

2)    può condurre indagini e notificare presunte violazioni del Regolamento;

3)    può accedere a tutti i locali del titolare e del responsabile del trattamento;

4)    può rivolgere ammonimenti o ingiunzioni al titolare e al responsabile, se i trattamenti dei dati violino o abbiano già violato le disposizioni del GDPR;

5)    può imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto;

6)    può infliggere una sanzione amministrativa pecuniaria;

7)    può autorizzare trattamenti, codici di condotta e clausole tipo di protezione dei dati nonché rilasciare certificazioni.

Cosa si intende per Autorità capofila?

L’Autorità capofila è l’autorità competente per i trattamenti transfrontalieri dei dati e viene individuata nell’organo di controllo situato nel territorio in cui ha sede lo stabilimento principale del titolare o del responsabile del trattamento. Sul suo ruolo si è espresso anche il Gruppo di lavoro ex Art. 29, formato dai rappresentanti dei vari garanti nazionali, emanando delle specifiche linee guida. L’Autorità capofila svolge un’attività di cooperazione tra le varie autorità di controllo nazionali coinvolte nei trattamenti transfrontalieri, sia per facilitare lo scambio di informazioni sia per cercare di raggiungere un consenso unanime. L’Autorità capofila può quindi richiedere alle autorità interessate di fornire assistenza reciproca nonché condurre in prima persona operazioni congiunte. Prima del provvedimento conclusivo, deve trasmettere il progetto di decisione alle autorità interessate per ottenere il relativo parere, di cui dovrà tenere conto. Nel caso decida di non condividere un’obiezione formulata dagli altre Autorità coinvolte, deve tuttavia sottoporre la questione al meccanismo di coerenza. Il meccanismo prevede il coinvolgimento del Comitato europeo per la protezione dei dati, il quale entro un mese dovrà pronunciarsi sulla questione.

Cosa si intende per assistenza reciproca nell’ambito del meccanismo di cooperazione?

Per assistenza reciproca si intende l’attività di cooperazione e scambio di informazioni che avviene sia tra le varie Autorità di controllo nazionali sia tra queste e l’Autorità di controllo capofila. L’assistenza reciproca comprende, ad esempio, le richieste di autorizzazioni e consultazioni preventive e le richieste di effettuare ispezioni e indagini. La domanda rivolta ad un’altra autorità nazionale deve essere completa e contenere lo scopo e i motivi della richiesta. L’Autorità richiesta di prestare assistenza ad altra Autorità non può rifiutarsi, salvo che non si reputi incompetente o se l’accoglimento della richiesta violi disposizioni normative europee o nazionali.

Il regolamento privacy (Regolamento 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

In cosa consiste la valutazione d’impatto?

Con il nuovo Regolamento privacy il titolare del trattamento è chiamato a valutare il rischio a cui il proprio trattamento potrebbe esporre i dati trattati e, quindi, i diritti e le libertà fondamentali delle persone fisiche. La valutazione d’impatto consiste quindi in un “processo continuo” da riesaminare periodicamente e in occasione di eventuali mutamenti sostanziali, il cui risultato finale è rappresentato da una rassegna delle attività svolte per valutare il rischio derivante dal trattamento e dei mezzi, degli strumenti e delle misure adottate per contrastarlo.

Quando occorre effettuare tale valutazione?

La valutazione d’impatto andrebbe svolta dal titolare prima di procedere al trattamento, ossia in una fase in cui sia ancora possibile apportare modifiche e adottare misure tali da mitigare l’eventuale rischio emergente dalla valutazione. Tale adempimento rientra infatti nell’ambito dell’approccio di sicurezza proattiva adottato dal GDPR, consistente in una serie di strumenti a carattere preventivo e anticipatorio della tutela dei dati personali oggetto di trattamento.

Si tratta di un adempimento obbligatorio?

La valutazione d’impatto è obbligatoria solo in taluni casi, cioè quando il trattamento consista in: 1) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; 2) un trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati; o 3) una sorveglianza sistematica su larga scala di una zona accessibile al pubblico (per il concetto di larga scala, si veda LINK Faq sul DPO). È poi previsto che l’Autorità Garante per la protezione dei dati personali rediga e pubblichi un elenco delle tipologie di trattamenti soggetti a tale adempimento.

Anche nei casi in cui non debba procedersi obbligatoriamente alla valutazione d’impatto, quest’ultima rappresenta una misura raccomandata, poiché consente al titolare di individuare le eventuali situazioni di rischio e di porvi rimedio prima di arrecare danni agli interessati ovvero di violare la normativa.

Chi deve procedere alla valutazione d’impatto?

Responsabile della conduzione della valutazione d’impatto è il titolare del trattamento che può decidere di condurre la valutazione all’interno della propria organizzazione ovvero affidarla all’esterno. In ogni caso, la responsabilità rimane in capo al titolare che dovrà quindi vigilare attentamente sulla conduzione della valutazione d’impatto.

Come evidenziato anche dal Regolamento, il titolare dovrebbe poi consultarsi fin dall’inizio con il Data Protection Officer e con i responsabili del trattamento. E? altresì previsto che, ove necessario, il titolare del trattamento (o il soggetto incaricato di effettuare la valutazione) raccolga le opinioni degli interessati o dei loro rappresentanti sul trattamento che si intende effettuare, documentando l’eventuale difformità di opinioni, nonché le motivazioni che hanno indotto ad agire diversamente da quanto emerso dalle consultazioni.

Come si effettua la valutazione d’impatto?

Una volta esaminata l’obbligatorietà o facoltatività della conduzione della valutazione, occorre procedere ad una ricognizione sistematica dei trattamenti che presentano un rischio elevato. Per ciascun trattamento (o categoria di trattamento) andranno quindi raccolte informazioni circa: a) la natura, la finalità e il contesto del trattamento; b) le categorie di dati (personali e sensibili) oggetto di trattamento, i soggetti interessati a cui si riferiscono e il periodo di conservazione dei dati; c) una descrizione funzionale delle operazioni di trattamento e, in particolare, dei flussi informativi (ipotesi di comunicazione, diffusione, cessione, trasferimento dei dati con l’indicazione specifica dei soggetti destinatari dei dati interni o esterni all’organizzazione del titolare del trattamento); d) le modalità (cartacee e automatizzate) e gli strumenti con cui viene effettuato il trattamento; e) i soggetti che potranno accedere ai dati unitamente alle finalità o alle motivazioni sottese all’accesso.

Successivamente, occorrerà valutare se il trattamento sia necessario e proporzionale in relazione alle finalità e alle misure di sicurezza adottate: per ciascun trattamento andranno quindi verificate le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali.

Grazie alla documentazione e alle informazioni così raccolte, sarà possibile procedere all’identificazione dei rischi a cui sono esposti i dati, analizzandone il ciclo di vita e prendendo in considerazione il loro impiego, le finalità per cui sono utilizzati, le tecnologie impiegate e i soggetti autorizzati a trattarli.

Una volta identificati i rischi, occorrerà infine provvedere alla gestione dei medesimi. In questa fase sarà dunque necessario scegliere (ove vi sia margine di valutazione) se un determinato rischio vada eliminato, mitigato oppure accettato.

Dove conservo la valutazione d’impatto?

I risultati e le osservazioni emersi in sede di valutazione d’impatto devono confluire in un report finale, in cui le informazioni precedentemente raccolte e analizzate vengono presentate in maniera sistematica e funzionale unitamente alle misure e ai rimedi elaborati e da implementare per contrastare i rischi emersi. Il report dovrà altresì recare l’indicazione specifica dell’organizzazione o del progetto per cui la valutazione d’impatto è stata condotta, nonché i soggetti o il team che ha svolto la valutazione d’impatto unitamente ai dati di contatto di un referente.

Pillola: gli adempimenti successivi alla valutazione d’impatto

Sebbene non sia obbligatoria a norma del Regolamento, il Gruppo di lavoro Art. 29, nelle sue Guidelines on DPIA adottate il 4 aprile 2017 e revisionate il 4 ottobre 2017, raccomanda la pubblicazione del report (o di parte di esso) per ragioni di trasparenza e per dimostrare la conformità al Regolamento. Ciò è suggerito in particolare per le organizzazioni il cui trattamento di dati riguarda la generalità dei consociati (ad esempio, le autorità pubbliche), ma rappresenta ad ogni modo una buona prassi per tutte le organizzazioni.

Ove sulla base della valutazione d’impatto il titolare del trattamento sia riuscito a porre rimedio in modo soddisfacente ai rischi emersi, la procedura può dirsi conclusa. In caso contrario, cioè qualora la situazione di rischio non sia stata mitigata e il trattamento riveli pertanto un rischio ancora elevato per i diritti e le libertà fondamentali dei soggetti interessati, occorrerà rivolgersi all’Autorità Garante italiana per la protezione dei dati personali, al fine di avviare la c.d. consultazione preventiva ai sensi dell’art. 36 del Regolamento.

Il regolamento privacy (Regolamento 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

Cosa è il registro delle attività di trattamento?

Si tratta di un nuovo adempimento introdotto dal GDPR e consistente nell’elenco di tutte le attività di trattamento svolte sotto la responsabilità del titolare e del responsabile del trattamento.

Chi è obbligato alla tenuta di tale registro?

Il titolare e il responsabile sono tenuti obbligatoriamente a redigere e a conservare in modo autonomo il proprio registro. Il registro del titolare e quello del responsabile devono pertanto essere due documenti distinti, aventi ciascuno un preciso contenuto minimo.

La compilazione del registro potrà eventualmente essere delegata al Data Protection Officer, senza che ciò comporti uno spostamento della responsabilità relativa all’osservanza di tale obbligo che rimane comunque in capo al titolare e al responsabile.

Nella redazione del registro, il titolare e il responsabile potranno poi chiedere l’ausilio dei responsabili dipartimentali della propria organizzazione: si presume infatti che questi ultimi abbiano una maggiore familiarità e conoscenza dei trattamenti svolti all’interno del reparto a cui fanno capo, potendo fornire informazioni più precise e corrette in ordine ai trattamenti.

Il GDPR prevede eccezioni a tale obbligo?

Il nuovo Regolamento prevede che l’obbligo di tenuta del registro delle attività di trattamento non si applichi a imprese o organizzazioni con meno di 250 dipendenti. Tuttavia, affinché tale esonero sia valido, è necessario altresì che il trattamento non presenti un rischio per i diritti e le libertà dell’interessato, il trattamento sia occasionale o non includa il trattamento di categorie particolari di dati o di dati personali relativi a condanne penali e a reati.

Quali informazioni devono essere indicate nel registro?

Il contenuto minimo delle informazioni da inserire nel registro muta a seconda che il documento inerisca le attività di trattamento del titolare ovvero del responsabile.

Nel primo caso, il titolare dovrà indicare: a) il nome e i dati di contatto del titolare e, ove applicabile, del contitolare, del rappresentante del titolare del trattamento e del D.P.O; b) le finalità del trattamento; c) una descrizione delle categorie di interessati e delle categorie di dati personali; d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati; e) ove applicabile, il Paese terzo o l’organizzazione internazionale verso cui i dati vengono trasferiti, indicando anche la relativa base di legittimità (decisione di adeguatezza o garanzie adeguate); f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate.

Nel secondo caso, il responsabile è tenuto invece a indicare solo: a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del D.P.O; b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento; c) ove applicabile, il Paese terzo o l’organizzazione internazionale verso cui i dati vengono trasferiti, indicando anche la relativa base di legittimità; d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate.

È possibile elaborare e conservare il registro in forma elettronica?

Il GDPR prescrive la forma scritta del registro, ammettendo tuttavia l’equivalenza del formato elettronico. Sarà dunque possibile elaborare e conservare il registro anche direttamente su periferiche informatiche, ad esempio attraverso la creazione di file Excel.

Esistono ulteriori adempimenti connessi al registro?

La mera redazione del registro non è sufficiente per potersi dire completamente conformi al GDPR. Occorre infatti provvedere periodicamente alla sua revisione ed aggiornamento, in particolare inserendo eventuali nuove attività di trattamento o eliminando quelle cessate.

Inoltre, il titolare e il responsabile del trattamento (e, ove applicabile, il loro rappresentante) hanno l’obbligo di esibire il registro ogniqualvolta l’Autorità Garante per la protezione dei dati personali lo richieda.

Master Sole 24ore privacy officerVi proponiamo qui l’articolo di Giusella Finocchiaro sullo schema di decreto che armonizza l’integrazione del Regolamento dell’Unione Europea sulla privacy, pubblicato su il Sole 24 Ore in data 1 aprile 2018.

Il GDPR, cioè il Regolamento UE 2016/679 relativo alla protezione dei dati personali nonché alla libera circolazione dei dati, è direttamente applicabile dal 25 maggio.

L’Italia ha ritenuto, con un notevole ritardo, che fosse opportuno adeguare il quadro normativo. Altri Paesi europei hanno intrapreso il lavoro di adeguamento già nel 2016, noi nel gennaio di quest’anno. Il 21 marzo il Consiglio dei Ministri ha approvato uno schema di decreto.

Il GDPR, emanato oltre 20 anni dopo la “direttiva-madre” 95/46, che viene abrogata, rivoluziona l’approccio alla protezione dei dati personali. Si passa da un regime autorizzatorio ad uno di accountability, cioè di responsabilizzazione. L’interesse alla libera circolazione dei dati personali è ora uno dei riferimenti necessari nel bilanciamento che l’applicazione del diritto alla protezione dei dati personali impone. Sulla base giuridica del legittimo interesse del titolare, valutata la specifica finalità, potranno essere trattati, ad esempio, i dati provenienti da pubblici registri, comunicati i dati infragruppo, trattati i dati dei rappresentanti delle persone giuridiche. Ancora, il consenso al trattamento dei dati sanitari per finalità di diagnosi, assistenza o terapia sanitaria non sarà più richiesto.

Il nuovo approccio normativo della UE a venti anni dalla direttiva, si fonda sulla constatazione del mutamento dello scenario tecnologico e sociale (basti pensare ai social network che neppure esistevano).

Ciò premesso, veniamo al metodo e alle scelte principali adottate nello schema di decreto. Visto che il Regolamento europeo non può essere inserito in un testo normativo italiano, si sono integrate le sue disposizioni, ove necessario, nello schema di decreto, seguendo l’ordine del Regolamento. La delega prevedeva l’abrogazione delle disposizioni del Codice privacy incompatibili con il Regolamento, la modifica del Codice e il coordinamento del quadro normativo, in osservanza del principio generale di semplificazione e riassetto normativi.

Dunque, muovendo dal Regolamento, fonte sovraordinata, si sono eliminate le disposizioni del Codice italiano, figlio della direttiva abrogata, non compatibili. Pressoché l’intera parte generale del Codice è risultata abrogata.

Di conseguenza, si è posta la scelta se mantenere un terzo testo normativo (oltre al Regolamento e al decreto) costituito da ciò che restava del Codice, all’evidenza non più tale, o se trasferire le disposizioni del Codice nel decreto, lasciando agli operatori non tre, ma due testi normativi. Questa seconda scelta è parsa la più razionale nell’ottica di riordinamento e di semplificazione.

Si è scelto, inoltre, di mantenere la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante (si pensi, per esempio a quello in materia di biometria) e le autorizzazioni, che saranno oggetto di successivo riesame. Sono stati mantenuti anche i Codici deontologici vigenti (ad esempio, quello dei giornalisti).

Si sono rafforzati il meccanismo delle consultazioni pubbliche e il coinvolgimento delle categorie interessate in molteplici casi. Per le micro, piccole e medie imprese si è previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento.

Il Regolamento precisa che l’imposizione di sanzioni penali non deve essere in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di Giustizia Ue, che vieta, come ribadito recentemente, un sistema a doppia sanzione e a doppio processo.Siccome il Regolamento prevede gravi sanzioni amministrative (fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore), che gli stati membri non possono modificare e per le quali non è consentito introdurre un minimo, si sono eliminate le corrispondenti norme penali.

In attesa dell’emanando Regolamento europeo in materia di e-Privacy, il decreto non modifica le disposizioni concernenti le comunicazioni elettroniche.

Considerato il nuovo approccio europeo alla protezione dei dati personali, lo schema di decreto cerca di semplificare e deburocratizzare, nonché di ridurre i costi dell’incertezza giuridica.