Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

La Commissione Speciale per gli atti urgenti del Governo ha iniziato l’esame dello schema di decreto legislativo per l’adeguamento della legislazione nazionale al Regolamento (UE) 2016/679.

Si comunica che durante la 14ª seduta di giovedì 17 maggio 2018, la Commissione speciale per l’esame degli atti urgenti presentati dal Governo Schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).

Master Sole 24ore privacy officerVi proponiamo qui l’articolo di Giusella Finocchiaro e Oreste Pollicino, pubblicato su il Sole 24 Ore il 12 maggio 2018.

È stato finalmente trasmesso alle Camere lo schema di decreto elaborato dalla Presidenza del consiglio sulla base della proposta ricevuta dalla Commissione incaricata di adeguare la normativa italiana a quella europea. Tempi molto lunghi, anche per la situazione politica che non ha inserito certamente una normativa apparentemente di tipo tecnico, come quella sul Gdpr, fra le priorità.

Cosa è cambiato nello schema? Il contenitore e le norme penali. Mentre il contenuto è fondamentalmente rimasto il medesimo, salvo alcuni aggiustamenti, in parte condivisibili.

Con riguardo alla tecnica normativa, è stato scelto di inserire le modifiche apportate dal decreto nel Codice per la protezione dei dati personali, le cui disposizioni sono però perlopiù abrogate e di cui molte altre sono modificate. Ne risulta un testo di inutile complessità, che non apporta alcuna tutela sostanziale in più per il diritto alla protezione dei dati personali. La semplificazione è abbandonata e la leggibilità certamente ne risente.

La nuova tecnica normativa sembra sia stata motivata dal timore del rischio di un eccesso di delega se si fosse confermato l’approccio della Commissione di abrogare il codice. Il problema dell’eccesso di delega sembra essere stato amplificato rispetto alla sua reale portata. A differenza di numerosi casi in cui la legge delega fornisce dei principi e criteri direttivi dettagliati andando ad individuare questioni specifiche, in questo caso, si è di fronte ad espressioni di maggior respiro finalizzate più ad un riordino, anzi, ad un adeguamento della disciplina esistente rispetto alla nuova legislazione europea piuttosto che ad interventi di chirurgia legislativa. C’era dunque l’esigenza di dare piena applicazione ad una fonte di diritto dell’Unione europea che la Corte costituzionale, già dagli anni Settanta, ha riconosciuto prevalente sul diritto interno. In questi casi la Consulta è assai prudente nella identificazione di possibili vizi di costituzionalità.

L’impressione è, in altre parole, che l’adeguamento a cui mirava la legge delega sarebbe potuto passare, senza troppi problemi di possibile conformità costituzionale dello schema di decreto e un risultato di maggiore chiarezza e leggibilità dello stesso, anche per la scelta dell’abrogazione fatta dalla Commissione.

Sono state ampiamente riviste le disposizioni penali presenti nel Codice per la protezione dei dati personali e sono stati creati due nuovi reati, concernenti la cessione di rilevanti quantità di dati e l’acquisizione fraudolenta di dati. La formulazione delle nuove fattispecie di reato va ora verificata con la massima attenzione. Il principio di tassatività in materia penale non è solo tutelato dalla nostra Costituzione, ma anche dalla Carta dei diritti fondamentali dell’Unione europea. Trattandosi di materia in cui gli Stati membri hanno un margine di discrezionalità, sono comunque rilevanti i vincoli provenienti dal diritto dell’Unione, poiché si sta dando attuazione ad un regolamento comunitario. Ancora, la versione dello schema di decreto inviato alle Camere non ha tenuto in considerazione, a differenza di quanto faceva il testo licenziato dalla Commissione, della giurisprudenza della stessa Corte in tema di raccolta e conservazione di dati personali per finalità di sicurezza e di prevenzione di gravi reati.

Il bilanciamento tra sicurezza e privacy che emerge dal testo finale non sembra perfettamente in linea con il principio di proporzionalità delle restrizioni alla tutela dei dati personali su cui ha sempre insistito la Corte di giustizia.

In sintesi, uno schema di decreto che crea un raccordo fra la normativa italiana e quella europea ed effettua una verifica di compatibilità che contribuisce a creare una maggiore certezza del diritto. Ma su alcune scelte si sarebbe potuto avere più coraggio.

Il regolamento privacy (Regolamento 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

Cosa è il registro delle attività di trattamento?

Si tratta di un nuovo adempimento introdotto dal GDPR e consistente nell’elenco di tutte le attività di trattamento svolte sotto la responsabilità del titolare e del responsabile del trattamento.

Chi è obbligato alla tenuta di tale registro?

Il titolare e il responsabile sono tenuti obbligatoriamente a redigere e a conservare in modo autonomo il proprio registro. Il registro del titolare e quello del responsabile devono pertanto essere due documenti distinti, aventi ciascuno un preciso contenuto minimo.

La compilazione del registro potrà eventualmente essere delegata al Data Protection Officer, senza che ciò comporti uno spostamento della responsabilità relativa all’osservanza di tale obbligo che rimane comunque in capo al titolare e al responsabile.

Nella redazione del registro, il titolare e il responsabile potranno poi chiedere l’ausilio dei responsabili dipartimentali della propria organizzazione: si presume infatti che questi ultimi abbiano una maggiore familiarità e conoscenza dei trattamenti svolti all’interno del reparto a cui fanno capo, potendo fornire informazioni più precise e corrette in ordine ai trattamenti.

Il GDPR prevede eccezioni a tale obbligo?

Il nuovo Regolamento prevede che l’obbligo di tenuta del registro delle attività di trattamento non si applichi a imprese o organizzazioni con meno di 250 dipendenti. Tuttavia, affinché tale esonero sia valido, è necessario altresì che il trattamento non presenti un rischio per i diritti e le libertà dell’interessato, il trattamento sia occasionale o non includa il trattamento di categorie particolari di dati o di dati personali relativi a condanne penali e a reati.

Quali informazioni devono essere indicate nel registro?

Il contenuto minimo delle informazioni da inserire nel registro muta a seconda che il documento inerisca le attività di trattamento del titolare ovvero del responsabile.

Nel primo caso, il titolare dovrà indicare: a) il nome e i dati di contatto del titolare e, ove applicabile, del contitolare, del rappresentante del titolare del trattamento e del D.P.O; b) le finalità del trattamento; c) una descrizione delle categorie di interessati e delle categorie di dati personali; d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati; e) ove applicabile, il Paese terzo o l’organizzazione internazionale verso cui i dati vengono trasferiti, indicando anche la relativa base di legittimità (decisione di adeguatezza o garanzie adeguate); f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate.

Nel secondo caso, il responsabile è tenuto invece a indicare solo: a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del D.P.O; b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento; c) ove applicabile, il Paese terzo o l’organizzazione internazionale verso cui i dati vengono trasferiti, indicando anche la relativa base di legittimità; d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate.

È possibile elaborare e conservare il registro in forma elettronica?

Il GDPR prescrive la forma scritta del registro, ammettendo tuttavia l’equivalenza del formato elettronico. Sarà dunque possibile elaborare e conservare il registro anche direttamente su periferiche informatiche, ad esempio attraverso la creazione di file Excel.

Esistono ulteriori adempimenti connessi al registro?

La mera redazione del registro non è sufficiente per potersi dire completamente conformi al GDPR. Occorre infatti provvedere periodicamente alla sua revisione ed aggiornamento, in particolare inserendo eventuali nuove attività di trattamento o eliminando quelle cessate.

Inoltre, il titolare e il responsabile del trattamento (e, ove applicabile, il loro rappresentante) hanno l’obbligo di esibire il registro ogniqualvolta l’Autorità Garante per la protezione dei dati personali lo richieda.

Master Sole 24ore privacy officerVi proponiamo qui l’articolo di Giusella Finocchiaro sullo schema di decreto che armonizza l’integrazione del Regolamento dell’Unione Europea sulla privacy, pubblicato su il Sole 24 Ore in data 1 aprile 2018.

Il GDPR, cioè il Regolamento UE 2016/679 relativo alla protezione dei dati personali nonché alla libera circolazione dei dati, è direttamente applicabile dal 25 maggio.

L’Italia ha ritenuto, con un notevole ritardo, che fosse opportuno adeguare il quadro normativo. Altri Paesi europei hanno intrapreso il lavoro di adeguamento già nel 2016, noi nel gennaio di quest’anno. Il 21 marzo il Consiglio dei Ministri ha approvato uno schema di decreto.

Il GDPR, emanato oltre 20 anni dopo la “direttiva-madre” 95/46, che viene abrogata, rivoluziona l’approccio alla protezione dei dati personali. Si passa da un regime autorizzatorio ad uno di accountability, cioè di responsabilizzazione. L’interesse alla libera circolazione dei dati personali è ora uno dei riferimenti necessari nel bilanciamento che l’applicazione del diritto alla protezione dei dati personali impone. Sulla base giuridica del legittimo interesse del titolare, valutata la specifica finalità, potranno essere trattati, ad esempio, i dati provenienti da pubblici registri, comunicati i dati infragruppo, trattati i dati dei rappresentanti delle persone giuridiche. Ancora, il consenso al trattamento dei dati sanitari per finalità di diagnosi, assistenza o terapia sanitaria non sarà più richiesto.

Il nuovo approccio normativo della UE a venti anni dalla direttiva, si fonda sulla constatazione del mutamento dello scenario tecnologico e sociale (basti pensare ai social network che neppure esistevano).

Ciò premesso, veniamo al metodo e alle scelte principali adottate nello schema di decreto. Visto che il Regolamento europeo non può essere inserito in un testo normativo italiano, si sono integrate le sue disposizioni, ove necessario, nello schema di decreto, seguendo l’ordine del Regolamento. La delega prevedeva l’abrogazione delle disposizioni del Codice privacy incompatibili con il Regolamento, la modifica del Codice e il coordinamento del quadro normativo, in osservanza del principio generale di semplificazione e riassetto normativi.

Dunque, muovendo dal Regolamento, fonte sovraordinata, si sono eliminate le disposizioni del Codice italiano, figlio della direttiva abrogata, non compatibili. Pressoché l’intera parte generale del Codice è risultata abrogata.

Di conseguenza, si è posta la scelta se mantenere un terzo testo normativo (oltre al Regolamento e al decreto) costituito da ciò che restava del Codice, all’evidenza non più tale, o se trasferire le disposizioni del Codice nel decreto, lasciando agli operatori non tre, ma due testi normativi. Questa seconda scelta è parsa la più razionale nell’ottica di riordinamento e di semplificazione.

Si è scelto, inoltre, di mantenere la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante (si pensi, per esempio a quello in materia di biometria) e le autorizzazioni, che saranno oggetto di successivo riesame. Sono stati mantenuti anche i Codici deontologici vigenti (ad esempio, quello dei giornalisti).

Si sono rafforzati il meccanismo delle consultazioni pubbliche e il coinvolgimento delle categorie interessate in molteplici casi. Per le micro, piccole e medie imprese si è previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento.

Il Regolamento precisa che l’imposizione di sanzioni penali non deve essere in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di Giustizia Ue, che vieta, come ribadito recentemente, un sistema a doppia sanzione e a doppio processo.Siccome il Regolamento prevede gravi sanzioni amministrative (fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore), che gli stati membri non possono modificare e per le quali non è consentito introdurre un minimo, si sono eliminate le corrispondenti norme penali.

In attesa dell’emanando Regolamento europeo in materia di e-Privacy, il decreto non modifica le disposizioni concernenti le comunicazioni elettroniche.

Considerato il nuovo approccio europeo alla protezione dei dati personali, lo schema di decreto cerca di semplificare e deburocratizzare, nonché di ridurre i costi dell’incertezza giuridica.

Unione_EuropeaIl 21 marzo 2018 il Consiglio dei Ministri ha approvato, in esame preliminare, un decreto legislativo che, in attuazione dell’art. 13 della legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163), introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

A far data dal 25 maggio 2018, data in cui le disposizioni di diritto europeo acquisteranno efficacia, il vigente Codice in materia di protezione dei dai personali, di cui al decreto legislativo 30 giugno 2003, n. 196, sarà abrogato e la nuova disciplina in materia sarà rappresentata principalmente dalle disposizioni del suddetto Regolamento immediatamente applicabili e da quelle recate dallo schema di decreto volte ad armonizzare l’ordinamento interno al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy.

carta-didentitàIl regolamento privacy (Regolamento (UE) 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

Chi è il Data Protection Officer?

Il Data Protection Officer, o più comunemente D.P.O. (in italiano, “Responsabile della protezione dei dati”), è la figura nominata dal titolare o dal responsabile del trattamento avente, principalmente, un duplice ruolo: da un lato, quello di sorvegliare e coordinare l’osservanza della disciplina privacy all’interno dell’organizzazione del soggetto che l’ha designato; dall’altro, quello di interfaccia esterna con le autorità e con i soggetti interessati.

Quando deve essere nominato il D.P.O.?

La designazione del D.P.O. è obbligatoria quando: a) il trattamento è effettuato da un soggetto pubblico (eccettuate le autorità giurisdizionali); b) il trattamento richiede il monitoraggio sistematico degli interessati su larga scala; c) viene effettuato il trattamento su larga scala di particolari categorie di dati (ad esempio: dati sensibili, dati genetici, biometrici, dati giudiziari o dati riferiti a minori). Tuttavia, la legge nazionale o il diritto europeo possono prevedere ulteriori casi di designazione obbligatoria.

Al di fuori di queste ipotesi, la nomina del D.P.O. è facoltativa ma è comunque fortemente raccomandata, data la rilevante funzione di ausilio e di supporto nell’osservanza del GDPR.

Quali sono i requisiti necessari per essere nominati D.P.O.?

Il D.P.O. deve possedere conoscenze specialistiche proporzionate alla sensibilità, complessità e quantità dei dati sottoposti a trattamento. In particolare, deve padroneggiare la normativa e le prassi nazionali ed europee in materia di protezione dei dati e avere un’approfondita conoscenza del GDPR, così come del settore di attività e della struttura organizzativa del titolare del trattamento.

Infine, deve avere una buona familiarità con le operazioni di trattamento svolte, nonché con i sistemi informativi e le esigenze di sicurezza e protezione dei dati manifestate dal titolare/responsabile.

Quali compiti può svolgere il D.P.O.?

Oltre alla funzione di coordinamento interno e di interfaccia esterna, il D.P.O. deve occuparsi della formazione continua dell’organico del titolare/responsabile del trattamento in materia privacy, monitorare il rispetto del GDPR, nonché fornire – ove richiesto – un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento. L’elenco delle mansioni non è esaustivo e il titolare o il responsabile del trattamento possono decidere di affidargli ulteriori compiti, come ad esempio la tenuta del registro delle attività di trattamento.

Il D.P.O. può essere un dipendente?

Il titolare o il responsabile del trattamento possono decidere di nominare D.P.O. un soggetto interno alla propria organizzazione ovvero di affidare la mansione ad un soggetto esterno (mediante outsourcing o un contratto di servizi). In entrambi i casi, occorrerà garantire la piena autonomia e indipendenza del D.P.O., così come l’assenza di conflitti di interesse. Per questo motivo, il D.P.O. non può ricevere istruzioni né essere rimosso o penalizzato per l’adempimento dei propri compiti.

Il D.P.O. può avvalersi di ausiliari?

È obbligo del titolare o del responsabile del trattamento fornire al D.P.O. tutte le risorse necessarie in termini di tempo e budget sufficienti per espletare i propri compiti, infrastrutture (sede, attrezzature, strumentazione) e personale. Il D.P.O. può infatti avvalersi di un team di collaboratori che lo coadiuvino nei propri compiti. In tal caso, occorrerà ripartire chiaramente i compiti all’interno del team e prevedere che sia un solo soggetto identificato a fungere da referente.

Chi è responsabile delle violazioni del GDPR?

Il controllo del rispetto del GDPR non significa che il D.P.O. sia personalmente responsabile in caso di inosservanza. Il titolare e il responsabile del trattamento continueranno a rispondere delle eventuali violazioni in materia privacy derivanti dal loro trattamento.

Il titolare/responsabile deve rendere pubblica la nomina del D.P.O.?

La nomina del D.P.O. deve essere resa nota tanto all’interno, quanto all’esterno dell’organizzazione del titolare o del responsabile del trattamento. In particolare, sul sito del titolare/responsabile del trattamento andranno pubblicati i dati di contatto del D.P.O., tra cui recapito postale, numero telefonico dedicato e/o indirizzo dedicato di posta elettronica. I medesimi dati di contatto dovranno poi essere comunicati all’Autorità Garante per la protezione dei dati personali, nonché resi noti ai soggetti interessati per il tramite dell’informativa (vd. scheda sull’informativa).

Un odontoiatra era comparso nella trasmissione “Scherzi a parte” in veste d’attore, in un contesto del tutto estraneo alla sua professione, ma durante il programma erano stati resi pubblici sia il suo nome e cognome, sia nome e ubicazione del suo studio, senza autorizzazione dell’interessato.

La Corte di Cassazione ha respinto il ricorso di Reti televisive italiane S.p.a. e Videotime S.p.a. contro una sentenza del 2014 della Corte di Appello di Roma che condannava le due società del gruppo Mediaset a risarcire un odontoiatra, per violazione della privacy.

La Corte d’appello, nell’emettere la sentenza, aveva rilevato che il professionista non aveva mai dato alle società interessate il consenso all’utilizzazione e alla diffusione televisiva del proprio nominativo, tantomeno in associazione alla propria attività professionale.

Reti Televisive Italiane S.P.A. e Videotime S.P.A avevano in seguito presentato ricorso in Cassazione, lamentando una violazione da parte della Corte dell’articolo 112 c,p.c. (in relazione al)’art. 360 n. 4 c.p.c.): secondo loro, infatti, La Corte avrebbe riconosciuto la sussistenza del danno subito dall’odontoiatra senza prove materiali del fatto che il denunciante avesse manifestato prima della trasmissione, la volontà di non essere identificato né associato alla propria professione.

In seguito al controricorso del medico, il 13 febbraio 2017 il Procuratore generale presso la Corte di cassazione ha infine rigettato il ricorso, ritenendo che la violazione dell’articolo 112 non sussista, avendo il giudice operato senza alterare nessuno degli elementi obiettivi di identificazione dell’azione.

Reti Televisive Italiane S.P.A. e Videotime S.P.A dovranno quindi corrispondere all’odontoiatra il risarcimento per danni morali più quello per le spese legali sostenute.

firma_digitale2Il regolamento privacy (Regolamento (UE) 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

Cos’è il consenso al trattamento?

Secondo la nuova definizione del GDPR, per consenso si intende “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento” (art. 4, n 11).

Analizzando la definizione, si desume che il consenso rappresenta una manifestazione di volontà, espressa in termini affermativi e in maniera inequivocabile. Dunque potrà essere unicamente una dichiarazione o azione positiva dell’interessato e non invece un suo comportamento meramente passivo, per esempio un suo ipotetico silenzio-assenso.

Inoltre, il GDPR, come anche il Codice privacy, richiede che il consenso sia non solo inequivocabile, ma anche: libero (prestato in assenza di costrizioni); specifico (uno per ogni finalità di trattamento); informato (all’interessato deve essere stata fornita adeguata informativa sul trattamento dei dati personali).

Chi deve richiedere il consenso per il trattamento dei dati personali?

Il titolare del trattamento o, se a ciò specificatamente istruito, il responsabile del trattamento devono raccogliere il consenso dell’interessato nel caso vogliano trattarne i dati.

Si segnala che il GDPR pone in capo al titolare un vero e proprio onere probatorio. L’art. 7, 1° comma specifica infatti che il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.

Quando deve essere richiesto il consenso per i dati personali?

Il consenso dell’interessato è una delle molteplici basi giuridiche che il GDPR prevede, alternativamente, per legittimare il trattamento di dati personali che il titolare vuole effettuare. Ciò vuol dire che sarà necessario raccogliere il consenso ogniqualvolta non sia utilizzabile una delle alternative basi giuridiche previste dal GDPR all’art. 6. Queste sono essenzialmente “circostanze equipollenti” al consenso, in presenza delle quali i dati possono essere trattati anche senza il consenso dell’interessato.

Quali sono le circostanze equipollenti al consenso dell’interessato?

L’art. 6 del GDPR elenca, oltre al consenso, cinque diversi tipi di basi giuridiche che riprendono per lo più le alternative già previste dal nostro Codice privacy. Il trattamento sarà comunque lecito in assenza del consenso dell’interessato se: a) è necessario all’esecuzione di un contratto o di un obbligo precontrattuale di cui l’interessato è parte; b) è necessario per adempiere ad un obbligo legale; c) è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona; d) è necessario per l’esecuzione di un compito di interesse pubblico; e) è necessario per il perseguimento di un legittimo interesse del titolare o di terzi, purché non pregiudichi le libertà o i diritti degli interessati.

In quest’ultimo caso sarà dovere e responsabilità del titolare operare il bilanciamento fra il suo interesse legittimo e i diritti degli interessati, giustificando la prevalenza del suo interesse su quello dei diversi interessati.

Quali possono essere legittimi interessi del titolare?

Il GDPR ai considerando 47,48 e 49 elenca a titolo esemplificativo alcuni attività che potrebbero essere considerate di interesse legittimo per il titolare, prevalenti rispetto a quelli degli interessati.

Tra queste si inserisce la legittima prevenzione delle frodi o le finalità di marketing diretto (che si precisa avviene nel caso il titolare utilizzi i dati di contatto che l’interessato gli aveva fornito in precedenza nel contesto della vendita di un prodotto o di un servizio senza richiedere il consenso dell’interessato, a condizione che si tratti di servizi analoghi a quelli oggetto della vendita e che l’interessato, adeguatamente informato, non rifiuti tale uso). Ancora potrebbe considerarsi coperto dall’interesse legittimo il trattamento di dati a fini amministrativi interni o al fine di garantire la sicurezza delle reti e dell’informazione.

Ci sono condizioni particolari per il trattamento dei dati sensibili (c.d. particolari categorie di dati)?

Per il trattamento di categorie particolari di dati (dati sensibili), la regola generale e? quella del consenso “esplicito” (il consenso esplicito si applica anche nel caso in cui il titolare intenda adottare un procedimento decisionale basato unicamente su trattamenti automatizzati, compresa la profilazione, che produca effetti giuridici sull’interessato).

Anche in questo caso il GDPR prevede una serie “circostanze equipollenti” che derogano alla necessità di raccogliere il consenso (art. 9). Tra queste ve ne sono alcune particolarmente innovative, tra cui trattamenti necessari per: assolvere ad obblighi in materia di diritto del lavoro, sicurezza sociale e protezione sociale; finalità di medicina preventiva o di medicina del lavoro; motivi di interesse pubblico nel settore della sanita? pubblica; fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o fini statistici.

Quali sono le novità in materia di consenso dei minori?

Il GDPR inserisce una disposizione ad hoc per il consenso dei minori, che tuttavia riguarda esclusivamente l’offerta diretta di servizi della società dell’informazione.

In considerazione dell’ampia varietà di contenuti e servizi digitali a cui i minori hanno accesso grazie all’utilizzo di Internet, il GDPR vuole rafforzare la posizione di tutela di questi ultimi di fronte ai pericoli della Rete. L’art. 8 specifica quindi che il consenso prestato dal minore per il trattamento dei suoi dati personali, nell’ambito di un servizio della società dell’informazione, è lecito solo nel caso il minore abbia almeno 16 anni (età che può essere diminuita fino a un minimo di 13 anni dagli Stati membri).

Nel caso l’età del minore sia inferiore, il trattamento sarà legittimato solo con il consenso, prestato o autorizzato, dal genitore o comunque titolare della responsabilità genitoriale.

Quali sono le condizioni di raccolta del consenso?

Alla luce della definizione di consenso (manifestazione di volontà libera, specifica, informata e inequivocabile), il GDPR specifica alcune condizioni richieste al titolare al fine di assicurare la raccolta di un consenso legittimo.

Il consenso può essere prestato tramite dichiarazione scritta o a mezzo di dichiarazione orale.

Nel caso il consenso sia prestato per iscritto, nell’ambito di una dichiarazione che riguardi anche altre questioni, il consenso al trattamento dei dati personali deve essere presentato in maniera chiaramente distinguibile dalle altre materie.

La formulazione del consenso deve essere comprensibile e facilmente accessibile, utilizzando quindi un linguaggio semplice e chiaro.

Inoltre il titolare deve tenere in considerazione che il consenso prestato dall’interessato potrà essere dallo stesso sempre revocato, in qualsiasi momento, con la stessa facilità con cui è stato accordato.

Come scrivere un consenso conforme al regolamento?

Per sintetizzare, per formulare un consenso conforme al GDPR, questo:

1) deve integrare un atto positivo inequivocabile: può essere raccolto attraverso una dichiarazione scritta, anche attraverso mezzi elettronici, o una dichiarazione orale;

1.1) ciò implica che non equivalgono a consenso: silenzio, inattività o preselezione di caselle

1.2) al contrario si potrà raccogliersi il consenso tramite: apposita casella (non preselezionata) su un sito; la scelta di impostazioni tecniche per i servizi della società dell’informazione o comunque qualsiasi dichiarazione o comportamento che indichi chiaramente l’accettazione dell’interessato

2) deve essere formulato con un linguaggio semplice, chiaro e comprensibile;

3) deve esserci un consenso per ciascuna finalità di trattamento (si ricorda che marketing e profilazione costituiscono finalità distinte);

4) in presenza di minori: verificare l’età del minore o richiedere il consenso parentale;

5) per le particolari categorie di dati, deve essere in ogni caso “esplicito”;

6) necessita l’adozione di misure che permettano al titolare di dimostrare l’avvenuta raccolta del consenso e l’esercizio agevole del diritto di revoca dell’interessato.

Si tratta di bambole, peluche, robot in grado di interagire con le persone e con l’ambiente circostante, registrare suoni, scattare foto, girare video e collegarsi con Internet: una raccolta di dati di cui è bene che i genitori siano consapevoli.

Senza puntare il dito contro la nuova generazione di giochi, il Garante messo a punto un vademecum per informare i cittadini dei possibili rischi per la privacy, soprattutto dei bambini piccoli, dovuti all’utilizzo di questi dispositivi ludici, spesso accompagnati anche da utili funzioni educative, che sono in grado di raccogliere, elaborare e comunicare dati e informazioni di diverso genere – dalla voce alle password, dalle immagini alle e-mail, fino ai gusti, alle preferenze e alle abitudini non solo del minore ma dell’intera famiglia.

Bastano alcune semplici regole da seguire per far divertire i propri figli senza esporli a violazioni della propria riservatezza.  Ad esempio, informandosi su quali e quanti dati potrebbe raccogliere e trattare il giocattolo e per quali finalità, spegnendolo o disconnettendolo dalla rete quando non viene utilizzato, impostando password di accesso sicure per la connessione a Internet dello smart toy, ed eventualmente anche per l’accesso al giocattolo o alla app che lo gestisce.

Tutti i consigli del Garante sono disponibili a QUESTA pagina.

Alla luce del termine, ormai prossimo, di applicazione delle prescrizioni europee in materia di protezione dei dati personali, il Ministero della Giustizia ha designato un gruppo di esperti chiamati a conformare urgentemente l’attuale Codice Privacy alle nuove regole.

Sono due le normative comunitarie che dovranno essere implementate nel nostro ordinamento nel maggio del 2018. Il Regolamento 2016/679 del Parlamento europeo e del Consiglio sulla privacy, che abroga la precedente direttiva del 1995, dovrà essere applicato dal 25 maggio 2018, mentre nel giorno 6 dello stesso mese è fissato il termine per la pubblicazione e l’adozione delle disposizioni legislative, regolamentari e amministrative della Direttiva UE 2016/680 relativa alla protezione dei dati personali da parte delle autorità competenti ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali nonché alla libera circolazione di tali dati.

Per conformare urgentemente il nostro Codice in materia di dati personali alle nuove disposizioni, il Governo ha deciso di avvalersi di qualificati esperti, anche esterni all’Amministrazione e provenienti da diverse categorie professionali. Il 14 dicembre 2017 Giusella Finocchiaro è stata designata dal Ministero della Giustizia a presiedere il Gruppo di lavoro incaricato di provvedere alla predisposizione dei decreti legislativi, in modo da garantire il tempestivo recepimento ed adeguamento dell’ordinamento interno alle prescrizioni europee in materia di privacy.