Dal 25 Maggio 2018 entra in vigore il Regolamento Europeo 2016/679 che disciplina la sicurezza e la tutela dei dati personali trattati da privati e pubbliche amministrazioni. Il nuovo Regolamento, identificato con l’acronimo GDPR (General Data Protection Regulation), introduce nuovi obblighi e adempimenti per professionisti e aziende, ponendosi come un ampio e severo quadro giuridico dell’Unione Europea in materia di riservatezza dei dati personali.
Non una DIRETTIVA EUROPEA, ma bensì un REGOLAMENTO pertanto come tale VA APPLICATO. I regolamenti europei, a differenza delle direttive, non richiedono una espressa norma nazionale di recepimento ed implementazione da parte degli Stati membri. Tuttavia, tali regolamenti possono indicare aree in cui il legislatore nazionale può o deve esercitare i suoi poteri legislativi per meglio precisare aspetti che richiedono attenzione peculiare alle esigenze e alle altre norme nazionali vigenti. Per questa ragione, molti Paesi europei hanno iniziato a lavorare, in questo biennio, a leggi di armonizzazione nazionale del GDPR e anche l’Italia, con legge delega comunitaria 2017, ha chiesto al Governo di procedere a tale operazione di armonizzazione. Purtroppo la delega rilasciata dal Parlamento al Governo inizialmente prevedeva l’adozione di uno o più decreti legislativi entro il 21 maggio 2018, data oramai passata. Le vicende politico istituzionali di questi mesi hanno contribuito, a far slittare tale data al 21 agosto 2018, termine ultimo per il Governo per esercitare la delega ed armonizzare il GDPR nel sistema italiano.
Chi deve adeguarsi?
Il GDPR coinvolge tutte le aziende europee che gestiscono in vari modi i dati personali. In particolare si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione. Non rientrano, quindi, nel tema, tutte le attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale.
Quali sono i nuovi obblighi?
l GDPR introduce nuovi obblighi procedurali e organizzativi per i “data processors“, categoria nella quale rientrano sia le aziende che gli enti pubblici, e conferisce maggiori diritti ai “data subjects“, ossia i singoli utenti.
Le organizzazioni pubbliche e private tendono ad accumulare dati ancor prima di sapere come li utilizzeranno. Il GDPR va contro questa abitudine, specificando che i data processor non dovrebbero raccogliere dati se non quelli strettamente necessari alla loro interazione immediata con i consumatori. In effetti, la raccolta dei dati dovrebbe essere “adeguata, pertinente e limitata al minimo necessario in relazione agli scopi per i quali sono trattati” (art. 39 del GDPR).
Il GDPR specifica anche le linee guida organizzative che i data processor dovranno adottare da ora in poi. Ad esempio, la loro architettura tecnologica dovrà cancellare i dati dei consumatori dopo averli utilizzati (“privacy by design“).
Un altro elemento innovativo del GDPR è di sicuro l’obbligo di nomina della nuova figura del Responsabile della Protezione dei Dati (RPD con acronimo inglese “DPO”) che si occuperà di garantire la conformità con il GDPR. Il RPD avrà l’obbligo legale di allertare l’autorità di vigilanza ogni qualvolta si presenta un rischio per la privacy dei data subject (art. 33)
Quando subentra l’obbligo di nomina del DPO?
Ai sensi del Regolamento (art. 37), la nomina del DPO è obbligatoria
a) se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali;
b) se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
c) se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.
Si tenga presente che la designazione obbligatoria di un DPO può essere prevista anche in casi ulteriori in base alla legge nazionale o al diritto comunitario. Inoltre, anche ove il regolamento non imponga in modo specifico la designazione di un DPO, può risultare utile procedere a tale designazione su base volontaria. Il Gruppo di lavoro “Articolo 29”, così come il Garante italiano, incoraggiano un tale approccio “cautelativo”.
Alcune definizioni utili per la nomina del DPO
- AUTORITA’ PUBBLICHE E ORGANISMI PUBBLICI
Partendo dall’ipotesi sub a), nel regolamento non si rinviene alcuna definizione di “autorità pubblica” o “organismo pubblico”. Il Working Party ritiene che tale definizione debba essere interpretata conformemente a (ciascun) diritto nazionale.
E tuttavia, è bene evidenziare che nelle Linee guida del 13 dicembre 2016 viene “raccomandata” la nomina del DPO anche per quegli “organismi privati incaricati di funzioni pubbliche o che esercitano pubblici poteri”.
Inoltre il Working Party rammenta che, una volta nominato, il DPO dovrebbe svolgere la propria attività non solo con riguardo ai trattamenti strettamente connessi all’espletamento di funzioni pubbliche ma anche ad altre attività quali, per esempio, la gestione di un database del personale.
- TRATTAMENTI SU LARGA SCALA
Nelle ipotesi sub lettere b) e c) dell’art. 37, paragrafo 1 del Regolamento, al fine di valutare se sussista o meno l’obbligo di nomina di un DPO, è che il trattamento avvenga su “larga scala”.
Il Regolamento non fornisce una definizione di “trattamento su larga scala”, anche se il considerando 91 fornisce indicazioni in proposito, ricomprendendovi, in particolare, “trattamenti… che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato“.
D’altro canto, lo stesso considerando prevede in modo specifico che “Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato“.
Le linee guida evidenziano come fra tali estremi si colloca un’ampia zona grigia e che in realtà risulta impossibile precisare la quantità di dati oggetto di trattamento o il numero di interessati in modo da coprire tutte le eventualità.
Ad ogni modo, il Working Party raccomanda di tenere conto, in particolare, dei seguenti fattori:
– il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
– il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
– la durata, ovvero la persistenza, dell’attività di trattamento;
– la portata geografica dell’attività di trattamento.
- MONITORAGGIO REGOLARE E SISTEMATICO
Anche il concetto di “monitoraggio regolare e sistematico degli interessati” non trova definizione nel Regolamento.
Le linee guida evidenziano tuttavia che la nozione di monitoraggio non trova applicazione solo con riguardo all’ambiente online.
L’aggettivo “regolare” ha almeno uno dei seguenti significati a giudizio del Working Party:
– che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito;
– ricorrente o ripetuto a intervalli costanti;
– che avviene in modo costante o a intervalli periodici
L’aggettivo “sistematico” ha almeno uno dei seguenti significati a giudizio del Working Party:
– che avviene per sistema;
– predeterminato, organizzato o metodico;
– che ha luogo nell’ambito di un progetto complessivo di raccolta di dati;
– svolto nell’ambito di una strategia.
Le linee guida forniscono anche alcune utili esemplificazioni di attività di monitoraggio sistematico e regolare, tra le quali: il curare il funzionamento di una rete di telecomunicazioni; la prestazione di servizi di telecomunicazioni; il tracciamento dell’ubicazione, per esempio da parte di app su dispositivi mobili; i programmi di fidelizzazione; l’utilizzo di telecamere a circuito chiuso; i dispositivi connessi quali contatori intelligenti, automobili intelligenti, dispositivi per la domotica.
In conclusione, le Linee Guida forniscono utili chiarimenti, ma non sono sufficienti a dissipare tutti i quesiti interpretativi specie sulla nozione di trattamento “su larga scala”.
È evidente che, finché tali standard non verranno individuati, l’atteggiamento più prudente sarà quello di nominare un DPO nei casi “dubbi”.
A cura di ITLAV