Data protection officer. Figura strategica per le imprese.

Il nuovo “Regolamento europeo per la protezione e libera circolazione dei dati personali” introduce la figura del Data Protection Officer per tutte le imprese pubbliche e per quelle private che svolgono trattamenti potenzialmente in grado – per la natura dei dati o per l’entità del trattamento – di ledere gravemente i diritti degli interessati ed hanno, pertanto, la necessità di essere monitorati da un soggetto che sia indipendente rispetto alle logiche aziendali. Leggi tutto

Il responsabile della protezione dei dati

Con l’art. 35, il Nuovo Regolamento europeo sulla riservatezza e sul trattamento dei dati personali dei cittadini introduce la figura – obbligatoria per alcune tipologie di aziende pubbliche e private – del responsabile della protezione dei dati, che deve avere una professionalità adeguata a garantire il rispetto della normativa relativa al trattamento e delle best practice in materia di sicurezza informatica.
Tale figura risulta di natura chiaramente dirigenziale, poiché diversamente avrebbe difficoltà a imporre il rispetto di regole e procedure che, per loro natura, incidono sul funzionamento di ogni ufficio che procede al trattamento.
La designazione del responsabile della protezione dei dati è necessaria quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, da un’impresa che abbia più di duecentocinquanta dipendenti o nell’ipotesi in cui i trattamenti per loro natura richiedono il controllo sistematico e regolare degli interessati.
Quando si tratta di più imprese che fanno parte di un gruppo e condividono gli stessi database è consentita la nomina di un unico responsabile della protezione dei dati, circostanza che semplifica anche la stesura e gestione delle corporate rules già da tempo auspicate dai Garanti europei e oggi tradotte in prassi, per consentire alle aziende di dimensioni sovranazionali di utilizzare gli archivi informatici di cui sono dotate senza limiti territoriali.

Evitare i conflitti di interesse
Il regolamento precisa l’opportunità di evitare conflitti di interessi tra la funzione di responsabile della protezione dei dati e altre eventuali mansioni svolte dal nominato all’interno dell’azienda o del gruppo di aziende, evidenziando che la nomina ha durata almeno biennale, sebbene il soggetto che la ricopre possa essere sostituito in qualsiasi momento, qualora non sia più in grado di svolgere i suoi compiti, non soddisfi più le condizioni richieste per l’esercizio delle sue funzioni (perché, ad esempio, l’azienda ha cambiato sistema IT e sono necessarie altre professionalità) o siano sorte situazioni di incompatibilità che ne suggeriscono la rimozione/sostituzione.
La figura riveste una tale importanza nella struttura aziendale ipotizzata dagli estensori del Regolamento che la comunicazione dei suoi dati all’autorità di controllo e al pubblico viene resa obbligatoria e preciso onere del responsabile del trattamento.
La motivazione è comunque facilmente comprensibile, dato che si tratta del soggetto al quale vanno rivolte tutte le istanze relative all’adozione delle misure di sicurezza e alle rivendicazioni degli interessati dal trattamento operato dall’azienda.
Dal punto di vista procedurale, l’assetto organizzativo dell’azienda o del gruppo di aziende deve essere ricalibrato sull’esigenza di far partecipare il responsabile della protezione dei dati a tutte le attività che riguardino anche indirettamente la protezione dei dati personali.
Il Regolamento stabilisce anche, probabilmente per evitare che il compito del responsabile della protezione dei dati sia poi vanificato dalle esigenze di bilancio e che la figura diventi semplicemente un capro espiatorio sul quale far convergere l’attenzione dell’autorità di controllo o dei soggetti danneggiati, che il responsabile del trattamento provveda a garantire al responsabile della protezione ogni risorsa necessaria per adempiere alle sue funzioni, con ciò creando un rapporto di sostanziale parità contrattuale tra il superiore gerarchico e il sottoposto.

Funzioni tipiche
Dal punto di vista pratico, il Regolamento individua alcune funzioni tipiche del responsabile della protezione dei dati, che si riverberano, ovviamente, sugli oneri a carico dell’azienda e del responsabile del trattamento di cui al punto precedente, nel senso che, per garantire l’espletamento dei compiti affidatigli, il responsabile della protezione richiederà le risorse necessarie ad assicurare tali funzioni.
L’elenco dei compiti è dichiaratamente non esaustivo, indicando semplicemente le mansioni che il responsabile del trattamento ha l’obbligo di affidare, ma ciò non toglie che l’elenco possa essere esteso in base alle reali necessità dell’azienda, andando a integrare il mansionario del dipendente.
Il responsabile della protezione dei dati dovrà, quindi, espletare almeno i seguenti compiti:
– informare e consigliare il responsabile del trattamento o l’incaricato del trattamento in merito agli obblighi derivanti dal presente Regolamento e conservare la documentazione relativa a tale attività e alle risposte ricevute
– sollecitare l’applicazione delle politiche di gestione dei dati stabilite di concerto con il responsabile del trattamento o con l’incaricato del trattamento e verificare che siano effettivamente implementate e rese operative
– attribuire e richiedere l’attribuzione responsabilità agli incaricati del trattamento, assicurandone direttamente o indirettamente la formazione e le verifiche periodiche
– garantire l’attuazione del Regolamento, con particolare riguardo ai requisiti concernenti la protezione dei dati fin dalla progettazione del sistema, nonché i successivi sviluppi, sia in chiave manutentiva che evolutiva, assicurando non solo la protezione di default e la sicurezza dei dati dal punto di vista tecnico, ma sollecitando e realizzando l’adozione di misure organizzative per gestire l’informazione dell’interessato e le richieste degli interessati, affinché i diritti riconosciuti dal regolamento siano effettivamente esercitabili
– garantire la conservazione della documentazione di cui all’articolo 28
– controllare che le violazioni dei dati personali siano documentate, notificate agli interessati e comunicate alle autorità di controllo
– controllare che il responsabile del trattamento effettui la valutazione d’impatto sulla protezione dei dati e richieda l’autorizzazione preventiva o la consultazione preventiva nei casi espressamente previsti
– controllare che sia dato seguito alle richieste dell’autorità di controllo e, nell’ambito delle sue competenze, cooperare con l’autorità di controllo per ogni necessità, di propria iniziativa o su richiesta di quest’ultima
– fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento

In sostanza, il Regolamento sottolinea la figura centrale del responsabile della protezione dei dati rispetto all’effettivo rispetto dei principi di correttezza, liceità e adeguatezza del trattamento, poiché solo con una politica di efficace ed effettiva garanzia dell’interessato dal trattamento si potrà realizzare quel processo di armonizzazione al quale mira il regolamento, anche per garantire che il trasferimento dei dati agli Stati extra UE segua le medesime regole.
E, infatti, dopo la sollecitazione agli Stati Membri ad adottare codici di condotta e certificazioni (artt. 38 e 39) per garantire la corretta applicazione del Regolamento, in relazione a un trattamento equo e trasparente, alla raccolta dei dati e al rilascio di informazioni secondo criteri etici, al puntuale riscontro delle richieste dell’interessato e dell’autorità, alla tutela dei minori e all’adozione di procedure di auditing e di risoluzione stragiudiziale delle controversie, la Commissione ha incentrato l’attenzione sulle varie modalità e possibilità di trasferimento dei dati verso Paesi esterni allo spazio europeo e alle sue regole.

Trasferimento dei dati verso un Paese terzo
In linea generale, il trasferimento di dati personali oggetto di un trattamento verso un Paese terzo o un’organizzazione internazionale è ammesso soltanto se il responsabile del trattamento e l’incaricato del trattamento accertano l’adeguatezza delle norme e procedure del Paese/ organizzazione ricevente a garantire lo stesso livello di protezione dello spazio economico europeo, se il destinatario dei dati assume l’onere di garantire il rispetto di misure di sicurezza analoghe a quelle minime previste nello spazio europeo o se le corporate rules delle aziende che effettueranno il trattamento sono state realizzate e adottate nel rispetto delle condizioni indicate nel regolamento.
In assenza della verifica di adeguatezza, è ammesso il trasferimento soltanto a condizione che:
– il trasferimento sia necessario all’esecuzione di un contratto o di operazioni precontrattuali relative ad un rapporto tra l’interessato e il responsabile del trattamento ovvero tra il responsabile del trattamento e un terzo, ma con benefici per l’interessato
– il trasferimento sia necessario per motivi di interesse pubblico rilevante o per l’esercizio di diritti in sede giudiziaria o per la salvaguardia di un interesse vitale
– l’interessato abbia espressamente acconsentito al trasferimento dopo essere stato
dell’interessato
– il trasferimento sia relativo a un pubblico registro, purché sussista il controllo di legittimità dell’interesse all’accesso e dei requisiti per la consultazione previsti dal diritto dell’Unione o dello Stato membro
– il trasferimento sia necessario per il perseguimento dei legittimi interessi del responsabile del trattamento o dell’incaricato del trattamento e il responsabile abbia offerto garanzie adeguate per la protezione dei dati personali

Alcuni limiti non sono applicabili se il trattamento è svolto da un’autorità pubblica nell’esercizio di pubblici poteri, purché l’interesse pubblico sia riconosciuto tale dall’Unione Europea o da uno Stato Membro dell’Unione.
La Commissione e le autorità di controllo, ai sensi dell’art. 45, provvederanno all’adozione di misure di cooperazione internazionale per facilitare l’applicazione del regolamento per la tutela dei dati personali e per favorire l’armonizzazione delle norme transnazionali e lo scambio dei dati con i paesi che non aderiscono all’Unione Europea ma sono disponibili ad adottare misure di sicurezza adeguate.

Fonte: Sicurezza magazine

I limiti del nuovo GDPR

Proseguendo nell’analisi del nuovo Regolamento Europeo sulla riservatezza dei dati personali, si incontra la sezione quinta, dedicata alle limitazioni che possono essere introdotte dagli Stati Membri per ridurre la portata delle norme di prossima introduzione.
Si tratta, evidentemente, di un paragrafo importante nell’ottica dell’armonizzazione, poiché è attraverso dette limitazioni che la norma potrebbe essere stravolta e vanificata rispetto alle varie versioni e interpretazioni finora adottate.
L’art. 21 ribadisce sostanzialmente quanto già presente nel D.Lgs. 196/2003 e stabilisce che ogni misura legislativa debba essere necessaria e proporzionata agli obiettivi da perseguire, che vengono distinti tra pubblici e privati.
Sono motivi di giustificata riduzione delle garanzie del cittadino la salvaguardia della pubblica sicurezza, le attività d’indagine, accertamento e repressione dei reati, la tutela di altri interessi pubblici dell’Unione o di uno Stato Membro.
Tra le ragioni di ordine privatistico vengono menzionate le attività volte a prevenire e punire le violazioni della deontologia professionale, le funzioni di controllo e regolamentazione di pubblici poteri, la tutela dell’interessato o di altri soggetti coinvolti.

Chi è e che cosa spetta al responsabile del trattamento
Il successivo Capo IV tratta delle figure dell’incaricato e del responsabile del trattamento, quest’ultimo, come già detto in precedenza, non nell’accezione finora prevista dalla disciplina italiana (soggetto delegato dal titolare del trattamento a svolgere determinate mansioni con piena autonomia decisionale, ferme restando le disposizioni generali impartite per iscritti) ma come equivalente del titolare del trattamento.
È considerato ora “responsabile del trattamento” il soggetto che “singolarmente o insieme ad altri determina le finalità, le condizioni e i mezzi del trattamento di dati personali”, mentre è indicato come “incaricato del trattamento” il soggetto che “elabora dati personali per conto del responsabile del trattamento”.
Viene, quindi, a mancare la figura interposta dal diritto italiano tra il titolare del trattamento e l’incaricato, che distingueva un delegato con facoltà decisionali rispetto a un mero esecutore
ale modifica creerà non pochi problemi nella concreta applicazione, sul territorio italiano, della nuova disciplina, poiché sono ormai stratificati, nella memoria e nelle abitudini di professionisti e imprenditori, determinate figure che sarà difficile rielaborare sotto diversa denominazione.
I compiti del nuovo responsabile del trattamento vengono ampiamente delineati dall’art. 22, che anticipa, innanzitutto, la necessità di adottare politiche e misure di sicurezza e di documentarle, al fine di dimostrare di aver operato correttamente.

Impostazione anglosassone
Il regolamento comunitario risente dell’evidente impostazione anglosassone, basata, principalmente, sull’interpretazione giurisprudenziale di pochi principi posti alla base del provvedimento.
La definizione secondo la quale è necessario documentare di aver operato correttamente se, dal punto di vista teorico, potrebbe sembrare una semplificazione, dal punto di vista pratico costituirà un problema da affrontare in sede giudiziaria per stabilire che cosa sarà ritenuto idoneo a tal fine e che cosa, invece, sarà considerato insufficiente o inesistente.
L’obbligo di provvedere all’adozione di misure di sicurezza “adeguate” mal si concilia con una giurisdizione come quella italiana, in cui si è abituati a norme tecniche, che individuano puntualmente le misure di sicurezza da rispettare.
Il concetto di “adeguate” è sicuramente più adatto al settore tecnologico (quello più interessato dai rischi connessi al trattamento) che non una norma tecnica – che soffrirebbe inevitabilmente di una rapidissima obsolescenza – ma, al tempo stesso, risente di una impostazione non matematica che non mancherà di creare disagi interpretativi.
A solo titolo d’esempio è sufficiente rilevare che, in un giudizio oltremodo lento come quello italiano, il concetto di “adeguatezza” utilizzabile nel momento in cui si è manifestato l’illecito sarà certamente diverso da quello del tempo in cui il Giudice, chiamato a decidere della controversia, dovrà redigere la sentenza, con ogni prevedibile conseguenza in ordine alla corretta interpretazione della norma.
Se, da un lato, le misure di garanzia previste dall’art. 22 sembrano poter documentare l’attività del responsabile e dei suoi collaboratori e consentire loro di produrre, in giudizio, materiale a discarico di eventuali responsabilità, al tempo stesso quella documentazione potrà non essere ritenuta sufficiente dal Giudice chiamato a pronunciarsi, stante l’assenza di precisi parametri di riferimento.

Data protection by default e data protection by design
Di tale problema, del resto, si preoccupa anche il legislatore comunitario, nel momento in cui delega la Commissione all’adozione di atti esecutivi finalizzati a delineare le misure di sicurezza da adottarsi a cura dei responsabili del trattamento.
Entrando nel dettaglio della progettazione e realizzazione del sistema di sicurezza, l’art. 23 specifica che il responsabile del trattamento deve eseguire una valutazione della natura e tipologia di dati da trattare, rispetto alle diverse finalità perseguite.
Tenendo conto anche dei costi e dell’evoluzione tecnologica, dovrà porre in essere le misure e procedure tecniche e organizzative idonee a garantire che “…il trattamento sia conforme al regolamento e assicuri la tutela dei diritti dell’interessato”.
I dati raccolti – e oggetto di trattamento – dovranno essere esclusivamente quelli necessari al raggiungimento degli obiettivi programmati e, anche in relazione all’accesso a tali dati, dovranno essere autorizzati solo i soggetti che hanno un effettiva necessità di consultarli per il raggiungimento degli obiettivi programmati.
Anche la durata della conservazione dei dati dovrà essere calcolata sulla base dell’effettiva necessità di effettuare e continuare il trattamento.
Dall’esame degli articoli sulle misure di sicurezza appare evidente l’intento degli estensori del regolamento di orientare il cittadino – e, in particolare, i responsabili del trattamento – ad accettare il più elaborato e articolato concetto di privacy by design, rispetto a quello finora comunemente utilizzato di privacy by default.
Non un progetto di messa in sicurezza uguale per tutti, com’è avvenuto finora con le check list realizzate dal Garante Privacy e successivamente utilizzate per realizzare i modelli da applicare al trattamento dei dati (che spesso costringeva le aziende a modificare gli ordinari flussi di lavoro per adeguarsi alle regole imposte dalle norme vigenti), ma un progetto realizzato su misura per ogni realtà aziendale, capace di adattarsi alla gestione di dati già esistente e di trarre il massimo dalle misure di sicurezza realizzabili in concreto, senza costrizioni particolari.
L’art. 24 introduce la figura del “corresponsabile del trattamento”, al quale, attraverso accordi interni, possono essere delegate singole mansioni e responsabilità connesse al trattamento dei dati.
Il regolamento cita, in particolare, le procedure e i meccanismi per l’esercizio dei diritti dell’interessato, ma al solo fine di porre in evidenza l’attenzione che deve essere posta alle legittime richieste di accesso e modifica del trattamento.
La figura del “corresponsabile del trattamento” sostituisce quella che il D.Lgs. 196/2003 individuava come “responsabile del trattamento” e persona di fiducia del “titolare”, al quale potevano essere delegate funzioni importanti del trattamento dei dati, con autonomia decisionale.
Con l’art. 26, invece, il regolamento individua gli “incaricati del trattamento” per evidenziarne i compiti e, soprattutto, la mancanza di qualsiasi autonomia nella gestione dei dati.
Il concetto viene rafforzato dalla impossibilità di nominare altri incaricati del trattamento senza autorizzazione del responsabile.

Documentazione da conservare
Il successivo articolo 28 elenca la documentazione che il responsabile del trattamento deve conservare per garantire la liceità della propria attività, specificando le informazioni che devono essere presenti e messe a disposizione dell’Autorità preposta al controllo.
La predisposizione di tale documentazione richiede l’individuazione delle figure del responsabile degli eventuali corresponsabili del trattamento, con l’indicazione specifica, per questi ultimi, delle mansioni e dei compiti loro assegnati.
Attraverso l’individuazione delle finalità del trattamento, il regolamento induce il responsabile a individuare il campo d’azione della propria attività, delle regole adottate (inclusi i termini di conservazione temporale) e dei soggetti ai quali i dati saranno comunicati.
Non sono soggetti all’obbligo di detenere la suddetta documentazione le persone fisiche che non facciano un utilizzo commerciale dei dati e le aziende e organizzazioni con meno di 250 dipendenti che trattino dati personali solo per finalità accessorie alle attività principali.
Il responsabile del trattamento che risiede in paese extra UE ha l’obbligo di individuare un responsabile del trattamento nel territorio dell’Unione, salvo che la Commissione non abbia stabilito che il paese terzo garantisce un livello di tutela adeguato, che l’impresa del responsabile abbia meno di 250 dipendenti, che il trattamento sia operato da autorità pubbliche o da organismi pubblici, che il trattamento di dati di cittadini dell’Unione sia solo occasionale.
Nella comunicazione con l’Autorità di controllo, l’onere di fornire informazioni e cooperare è posto a carico del responsabile, dei corresponsabili e di ogni incaricato e ciascuno di essi ha l’obbligo di rispondere, per quanto di sua competenza o comunque qualora non lo facciano gli altri, entro un termine ragionevole fissato dall’Autorità stessa.
La risposta a eventuali osservazioni formulate dall’Autorità dovrà, comunque, contenere una descrizione delle misure di sicurezza adottate e dei risultati raggiunti a seguito di tale adeguamento.

Fonte: Sicurezza magazine

GDPR: i diritti dell’interessato

Il capo terzo del nuovo Regolamento Europeo sul trattamento dei dati personali riguarda i diritti dell’interessato e inizia con la generica definizione degli obblighi di informazione e trasparenza che gravano sul responsabile del trattamento, stabilendo che le politiche di gestione devono consentire l’agevole esercizio dei diritti di accesso alle informazioni presenti negli archivi, espresse in un linguaggio semplice e chiaro, adeguato alla controparte, in particolare se destinate ai minori.
Ne consegue un obbligo di informazione che non è solo di natura formale ma si estende, anche, alla valutazione dell’idoneità del messaggio in relazione al destinatario della comunicazione che, finora, non era mai stato preso in considerazione dall’ordinamento italiano, almeno nell’ambito della riservatezza dei dati.
Con la seconda sezione, viene delineata la struttura minima dell’informativa che il responsabile del trattamento deve fornire all’interessato.
Il regolamento non specifica se l’informazione debba essere data per iscritto o se sia sufficiente una semplice comunicazione orale, limitandosi ad ammettere l’uso del formato elettronico.
Alla luce dell’esperienza italiana, in cui l’onere della prova incombe, comunque, sul responsabile del trattamento, il suggerimento è, ovviamente, quello di documentare con ogni mezzo, inclusa la storicizzazione dei consensi acquisiti su un database, l’ottemperanza a tale prescrizione.
Analogamente a quanto già previsto dal D.Lgs. 196/2003, devono essere specificati l’identità e i recapiti del responsabile del trattamento e di suoi eventuali delegati, con una particolare attenzione per il soggetto cui è affidata la protezione dei dati, ritenuto, evidentemente, una delle figure di riferimento della nuova disciplina.
L’informativa deve, inoltre, contenere l’indicazione delle finalità del trattamento, dei soggetti o delle categorie di soggetti ai quali i dati possono essere comunicati e l’elenco dei diritti che l’interessato può esercitare nei confronti del responsabile.
Nel caso in cui la comunicazione a terzi riguardi un’organizzazione o un Paese esterni all’Unione Europea, l’informativa deve indicare, anche, le clausole contrattuali che regolano il trasferimento e il livello di protezione garantito dal ricevente, richiamando una decisione di adeguatezza della Commissione.
Due nuovi elementi vengono aggiunti all’informativa cui l’utente italiano era finora abituato: l’obbligo di indicare il periodo di conservazione dei dati e l’indicazione dell’autorità di controllo e garanzia cui rivolgersi per eventuali reclami, con i relativi recapiti.
Quando i dati personali vengono raccolti presso l’interessato, il responsabile ha l’obbligo di specificare se il conferimento ha natura obbligatoria o facoltativa e le conseguenze dell’eventuale opposizione al trattamento da parte dell’interessato.
Quando, invece, i dati sono raccolti presso altra fonte, l’informativa deve essere resa all’interessato entro un termine ragionevole e, comunque, non oltre l’eventuale diffusione o comunicazione ad altro soggetto.
L’informativa non è dovuta se l’interessato dispone già delle notizie che essa contiene – ad esempio, per un preesistente rapporto con il responsabile del trattamento – se il trattamento è previsto dalla Legge, se l’impegno risulterebbe sproporzionato rispetto alle finalità di tutela o se l’eventuale comunicazione dovesse pregiudicare i diritti e le libertà di altri soggetti coinvolti, sulla base del diritto dell’Unione o di uno degli Stati Membri, ai sensi del successivo art. 21 (Pubblica Sicurezza, attività delle Forze dell’Ordine o della magistratura, tutela dei diritti, interessi pubblici dell’Unione o degli Stati Membri, attività finalizzate ad accertare e perseguire violazioni deontologiche degli appartenenti a professioni regolamentate).
Lo stesso regolamento prevede la predisposizione di modelli standard, da parte della Commissione, per agevolare la prima applicazione della nuova disciplina.

Accesso ai dati, tracciabilità e cancellazione
Con il successivo articolo 15, la nuova norma europea elenca le modalità di accesso ai dati da parte dell’interessato, che può richiedere in qualsiasi momento la conferma dell’esistenza e dell’attualità di un trattamento a suo carico e ottenere le seguenti informazioni: finalità del trattamento, tipologia di dati trattati, destinatari e categorie di destinatari, periodo di conservazione.
La comunicazione di risposta deve indicare, al pari dell’informativa, il diritto dell’interessato di ottenere la rettifica o la cancellazione dei dati che lo riguardano, il diritto di proporre reclamo all’autorità di controllo e vigilanza, il diritto di tracciare la filiera di acquisizione e cessione dei dati.
Quest’ultimo adempimento, in particolare, deve far convergere gli sforzi dei responsabili del trattamento verso quella storicizzazione che con il D.Lgs. 196/2003 era solo auspicabile e non ancora esplicita.
Anche nel testo italiano era prevedibile la necessità di tracciare ogni record, dal momento dell’acquisizione fino a quello della cancellazione, blocco o cessione a terzi, ma tale adempimento si desumeva solo dall’insieme di regole poste a tutela dei dati, mentre nel regolamento è più volte richiamato come corollario dei vari diritti dell’interessato.
Il diritto di ottenere la cancellazione dei dati che riguardano l’interessato e di precludere ogni ulteriore utilizzo e divulgazione degli stessi viene specificamente disciplinato dall’art. 17 del nuovo regolamento, che pone l’attenzione sul difficile bilanciamento di interessi tra diritto di cronaca, diritto all’oblio e altri diritti concorrenti.
La cancellazione risulta possibile nel momento in cui i dati non sono più necessari per il perseguimento delle finalità cui erano destinati, se l’interessato ha revocato il consenso al trattamento, se è scaduto il termine di conservazione o se il trattamento è contrario o non più conforme alle norme del regolamento.
Le eccezioni riguardano l’esercizio del diritto di cronaca e i trattamenti finalizzati a scopi artistici o letterari, il trattamento di dati personali relativi alla salute effettuato nell’interesse della ricerca scientifica o a tutela della vita e della salute delle persone e, infine, quelli gestiti per finalità di ricerca scientifica, storica o per l’elaborazione di statistiche. Fin qui, nulla di nuovo rispetto a quanto già previsto dal D.Lgs. 196/2003.

Diritto di cronaca e diritto di oblio
Sul difficile rapporto tra diritto di cronaca e diritto alla rimozione di notizie veritiere ma ormai datate – e, per questo, potenzialmente lesive della reputazione degli interessati – è recentemente intervenuto il Tribunale di Ortona, con una sentenza che non mancherà di suscitare polemiche.
La vicenda processuale nasce dalla richiesta dei proprietari di un’azienda (coinvolta nel 2008 in un fatto di rilevanza penale), indirizzata ai responsabili di un quotidiano online, di rimuovere un articolo, pubblicato nell’immediatezza dell’evento, considerato ormai lesivo della reputazione degli interessati.
Al rifiuto di procedere alla rimozione ha fatto seguito il giudizio, al termine del quale il Giudice chiamato a decidere della controversia ha ritenuto che sussista un diritto all’oblio prevalente rispetto al diritto di cronaca, ormai affievolito dal trascorrere del tempo e dal cessato interesse della collettività a conoscere, a distanza di anni, fatti non più attuali.
Comprensibile la perplessità della testata giornalistica, la quale, al di là del danno economico derivante dal risarcimento stabilito in favore della controparte (17.000 Euro oltre le spese di giudizio), sosteneva l’assenza di norme applicabili al caso di specie e, in particolare, la mancanza di un termine certo per la rimozione delle notizie, senza il quale la valutazione dell’attività giornalistica e della relativa responsabilità in ordine alla conservazione dei dati viene rimessa, in buona sostanza, alla prudente valutazione del Giudice, senza alcun criterio oggettivo.
Da tale punto di vista, il nuovo regolamento nulla aggiunge a quanto già stabilito dalla disciplina italiana, rimettendo nuovamente, di fatto, ogni decisione alla valutazione del Giudice, che dovrà tener conto della necessità di bilanciare il diritto di cronaca con quello alla riservatezza.
Anzi, da tale punto di vista, il nuovo ordinamento sembra far pendere l’ago della bilancia in favore della riservatezza, poiché, all’art. 17, co. 2, prevede che, nell’ipotesi in cui i dati siano resi pubblici, il responsabile del trattamento sarà tenuto, anche, a mantenere sotto controllo l’eventuale pubblicazione da parte di terzi, essendone comunque responsabile.
Neppure il successivo rinvio all’art. 80, sull’esercizio della libertà d’espressione e sul connesso trattamento per fini giornalistici, sembra aver posto alcun rimedio a tale contrasto, rinviando alle singole disposizioni degli Stati Membri per eventuali esenzioni e deroghe.
Del resto, la necessità di provvedere, volta per volta, alla valutazione del caso concreto, al fine di assicurare il giusto bilanciamento del diritto di cronaca e del diritto all’oblio, viene confermata dal successivo art. 19 sul diritto dell’interessato di opporsi al trattamento, allorché viene indicato che tale facoltà può essere esercitata “…salvo che il responsabile del trattamento dimostri l’esistenza di motivi preminenti e legittimi per procedere al trattamento che prevalgono sugli interessi o sui diritti e sulle libertà fondamentali dell’interessato”.
L’ago della bilancia sembrerebbe, dunque, spostato in favore del diritto alla riservatezza, con conseguente necessità di rimozione del contenuto lesivo dell’altrui interesse nel momento in cui la testata giornalistica, per far esplicito riferimento al caso di Ortona, non è in grado di dimostrare che sussiste ancora un interesse della collettività alla consultazione dell’articolo.
Insomma, anche l’Europa non sembra brillare per chiarezza espositiva e argomentativa, in ordine alla demarcazione di ambiti di applicazione della norma che pongano il cittadino al riparo da abusi e incomprensioni.

Profiling sistematico, un fantasma orwelliano?
Si resta perplessi, invece, dalla dovizia di particolari con la quale l’art. 18, ad esempio, disciplina la portabilità dei dati da un sistema informatico all’altro, come se il problema principale non fosse quello di evitare la diffusione incontrollata del dato dal potenziale lesivo pressoché illimitato per effetto della velocità di propagazione consentita dalle reti telematiche ma fosse, piuttosto, quello di garantire la trasmissione delle informazioni ad ogni costo.
Disciplina che si evolve in senso preoccupante e si pone in netto contrasto con l’attuale normativa italiana – sulla quale, ciononostante, avrà la prevalenza – a causa dell’art. 20 sulla profilazione dell’interessato, in base al quale il cittadino dell’Unione potrà essere sottoposto a una misura che produce effetti giuridici o, comunque, significativi sulla sua persona, qualora il trattamento sia eseguito nel contesto di una previsione contrattuale o sia espressamente autorizzato da una disposizione del diritto dell’Unione o di uno Stato Membro o si basi sul consenso dell’interessato.
Insomma, controllo orwelliano ammissibile, a condizione che lo Stato Membro abbia, prima, definito uno strumento giuridico sulla base del quale operare.
Per il marketing aggressivo, tutto è possibile con il consenso dell’interessato.
Unica limitazione al profiling sistematico, da parte di aziende e Istituzioni – rispetto alle quali, ovviamente, il potere contrattuale del cittadino è pressoché nullo – il divieto di utilizzo dei dati particolari di cui al capitolo 9, il quale, tuttavia, non esclude la possibilità che ad aggregazioni di dati comunque fortemente pregiudizievoli per l’interessato si pervenga attraverso l’incrocio di più archivi di dati comuni.

Fonte: Sicurezza magazine

Focus sul nuovo Regolamento Europeo GDPR 679/2016

Dopo un ventennio sostanzialmente fallimentare della disciplina sulla riservatezza dei dati personali di cui alla Direttiva 95/46/CE, recepita dagli Stati Membri senza troppa convinzione, spesso in ritardo e, soprattutto, senza mai adottare le misure necessarie a darle concreta attuazione, l’Unione Europea ha deciso di prendere le redini della situazione e di adottare un Regolamento in materia di protezione dei dati personali.
La Commissione, come si evince dalla relazione introduttiva, ha preso atto che l’Unione Europea ha bisogno di una politica più completa e coerente rispetto al diritto fondamentale alla protezione dei dati personali.
Per tale ragione lo strumento giuridico prescelto, apparentemente di mero aggiornamento, ha, in realtà, la finalità di favorire e accelerare il processo di armonizzazione delle norme esistenti, poiché il Regolamento è immediatamente applicabile ed esecutivo rispetto alle Direttive, che richiedono, invece, una legge di recepimento per essere vincolanti e che, spesso, proprio a causa del filtro normativo, non ottengono piena attuazione delle prescrizioni dell’Unione.
Si legge, infatti, nell’art. 3 della Relazione, che “… l’applicabilità diretta di un regolamento ai sensi dell’art. 288 TFUE ridurrà la frammentazione giuridica ed offrirà maggiore certezza giuridica, grazie all’introduzione di una serie di norme di base armonizzate, migliorando la tutela dei diritti fondamentali delle persone fisiche e contribuendo al corretto funzionamento del mercato interno”.
A ulteriore conferma della gestione fallimentare degli Stati Membri, il riferimento alla sussidiarietà – di cui all’art. 5, par. 3, TUE – che stabilisce l’intervento diretto dell’Unione nel momento in cui gli obiettivi di una determinata azione, concordata a livello comunitario, non riescono a essere perseguiti con efficacia dagli Stati Membri.
In sostanza, una discreta “tirata d’orecchi” agli Stati Europei, ritenuti tutti – senza particolari differenze – responsabili del mancato raggiungimento degli obiettivi programmati.
La Commissione lamenta l’instaurazione di diversi livelli di protezione da parte degli Stati Membri, che creano difficoltà pratiche nella tutela dei dati e nel trasferimento degli stessi, anche all’interno dell’Unione; peraltro, il trasferimento transfrontaliero – anche tra sedi della stessa azienda che operano all’interno e all’esterno dell’Unione – è attualmente basato sulla capacità dei singoli di redigere la contrattualistica e le regole interne (c.d. Corporate Rules) necessarie ad assicurare il medesimo grado di tutela garantito nel territorio dell’Unione da parte dello Stato ricevente.
Il 25 gennaio 2013 la Commissione Europea, con un comunicato stampa, ha presentato ufficialmente la bozza del nuovo quadro giuridico che vincolerà gli Stati Membri, indicando, in sintesi, le maggiori novità rispetto al passato.

Dati genetici e biometrici
Nel comunicato viene rimarcata la natura dei diritti fondamentali che sono alla base della protezione dei dati personali, considerati alla luce della loro funzione sociale e al rispetto della vita privata e familiare.
Alle definizioni fondamentali sono aggiunte quelle relative ai dati genetici e biometrici, finora individuati solo dalla dottrina.
Viene formalizzato il principio – già delineato in passato dal complesso di norme vigenti – dell’applicazione del diritto dell’Unione Europea anche ai trattamenti svolti all’esterno dell’Unione, ove riferiti all’offerta di beni o servizi a cittadini dell’Unione o, comunque, tali da consentire il monitoraggio o la profilazione dei comportamenti di cittadini dell’Unione.
Si stabilisce il diritto degli interessati alla c.d. “portabilità del dato”, qualora l’utente intenda trasferire i propri dati personali da un servizio all’altro (come avviene, ad esempio, tra operatori di telefonia fissa e mobile), così come il c.d. “diritto all’oblio”, per consentire un’effettiva selezione delle informazioni che possono circolare rispetto a quelle che, soprattutto sulle reti telematiche, il cittadino ha interesse a rimuovere (ad esempio, attraverso l’anonimizzazione delle sentenze di condanna e fallimento, che restano fruibili per la consultazione ma, a distanza di anni, non è opportuno che abbiano ancora un effetto infamante nei confronti del soggetto che ha ormai scontato il suo debito con la società), con gli ovvi limiti derivanti dal rispetto di norme speciali e dalla necessità di garantire l’esercizio della libertà di espressione, del diritto di cronaca, della ricerca storica e culturale, ecc.

La protezione dei dati in azienda: la figura del Data Protection Officer
L’obbligo di notificare l’esistenza di determinati trattamenti alle autorità nazionali viene sostituito dalla nomina del Data Protection Officer per tutti i soggetti pubblici e per quelli privati con un determinato numero di dipendenti, mentre viene introdotto il Documento di valutazione dell’impatto della privacy, che dovrà essere modellato sulla realtà aziendale e istituzionale realizzando misure di sicurezza fisiche, logiche e organizzative adeguate e programmandone l’evoluzione futura, secondo un concetto di “privacy by design” che modifica l’attuale approccio conservativo per spingere il titolare del trattamento a modificare la propria struttura in funzione dei diritti da garantire, costituendo una vera e propria task force di soggetti, coordinati dal Data Protection Officer, che dovranno assicurare il rispetto delle norme e l’effettiva tutela dei dati.
Non a caso il nuovo Regolamento prevede, infatti, per il titolare del trattamento, l’onere di notificare all’Autorità competente le violazioni di dati personali accertate, sia per adottare eventuali misure di contrasto alla diffusione e al trattamento illecito dei dati – che potrebbero non essere alla portata del singolo titolare, già danneggiato dall’evento – che per verificare l’effettivo rispetto delle misure di sicurezza da parte di quest’ultimo.
L’analisi dettagliata delle novità introdotte dal Regolamento consente di fare numerose riflessioni.
Innanzitutto l’attenzione, in termini di responsabilità, viene spostata terminologicamente dal titolare al responsabile del trattamento, la cui figura viene notevolmente accentuata e richiamata dalle numerose prescrizioni.
Ciò non significa che la responsabilità del titolare viene attenuata, ma che la figura del responsabile del trattamento, prima sussidiaria e soggetta al rispetto delle prescrizioni imposte dal Titolare, viene elevata al rango di consulente esperto, che affianca il titolare nelle decisioni e ne condivide la responsabilità dell’eventuale evento lesivo.
Tra le definizioni vengono meno quelle di dato sensibile e giudiziario, che per molto tempo hanno distinto i dati che meritavano particolare attenzione rispetto ad altri.
Il legislatore comunitario preferisce chiarire il concetto di dato “generico”, “genetico”, “biometrico” e “relativo alla salute”, rinviando poi agli articoli 8 e 9 l’individuazione dei trattamenti che riguardano particolari categorie di dati personali che meritano maggiore attenzione.

Minori più protetti
L’art. 8 sembra plasmato per il controllo dei dati dei minori in relazione all’uso disinvolto nei social network e in ogni altro servizio della società “liquida” di Internet, che aumenta esponenzialmente il rischio di trattamento illecito e diminuisce le possibilità di controllo e recupero delle informazioni.
In particolare, viene uniformato il concetto di minore degli anni 18 – che, in precedenza, avrebbe potuto risentire del limite legale eventualmente abbassato o innalzato dalle singole legislazioni nazionali – mentre il trattamento dei minori di anni tredici viene subordinato necessariamente al consenso del genitore o del tutore, con onere a carico del responsabile del trattamento di individuare le modalità di acquisizione di un consenso verificabile e giuridicamente rilevante.
Per il Legislatore Europeo, in sostanza, il minore di anni 18 che abbia, tuttavia, compiuto il tredicesimo anno di età è riconosciuto capace di cedere i propri dati ma non di contrarre (come specificato dal paragrafo 2 del medesimo art. 8), in assenza del consenso del genitore.
Circostanza che, in ogni caso, determina un’emancipazione parziale di rango comunitario che contrasta con quella prevista dagli Ordinamenti dei singoli Stati.
Sebbene, finora, l’attività di cessione dei dati in rete, da parte del minore, sia stata tollerata per ragioni di opportunità, l’onere di preservare il minore da qualsiasi trattamento illecito dei dati gravava integralmente sul soggetto che erogava il relativo servizio (basato, peraltro, su un contratto solitamente nullo, perché sottoscritto online dal minore stesso).
L’inserimento di una tale norma nel Regolamento Comunitario potrebbe permettere alle aziende più smaliziate di acquisire i dati personali dei minori in assoluta tranquillità, con evidente rischio di sottovalutazione delle conseguenze da parte dell’interessato.
Al contrario, in assenza del Regolamento, qualsiasi cessione di dati realizzata dal minore è radicalmente nulla, per la mancanza di capacità di agire in capo all’interessato – con onere, quindi, a carico del titolare, di acquisire il consenso del genitore.

I trattamenti particolari
L’art. 9 definisce i trattamenti particolari, ai quali occorre prestare la massima attenzione: vengono individuati i dati personali relativi alla razza, all’origine etnica, alle opinioni politiche e religiose, all’appartenenza sindacale.
Qualche perplessità desta il concetto di “convinzione personale”, che appare troppo generico per poter essere tutelato in modo efficace e che apre la strada a un probabile contenzioso, in relazione al rapporto di lavoro e al diritto di informazione e di critica.
Tra i dati particolari vengono inseriti anche quelli già definiti – relativi allo stato di salute, al patrimonio genetico, alle caratteristiche biometriche – e individuati quelli relativi alla vita sessuale, alle condanne penali, all’applicazione di misure di sicurezza.
Per l’impatto che potrebbero avere sulla vita di relazione dell’individuo, alla luce dei principi espressi dal Regolamento, sarebbe opportuno considerare dati particolari anche quelli relativi alla situazione finanziaria e patrimoniale della persona fisica, con particolare riferimento alle situazioni di indebitamento ed esposizione finanziaria, così come quelli relativi a eventuali misure di cautelari e di prevenzione applicate dall’Autorità Giudiziaria, che sembrano stranamente esclusi dal Regolamento.

Fonte: Sicurezza magazine