Novità apportate dal Regolamento UE n.
679/2016 relativo alla protezione delle persone fisiche con riguardo
al trattamento dei dati personali, nonché alla libera circolazione
di tali dati ed adeguamento delle aziende
PARTE I
ILLUSTRAZIONE SINTETICA DELLE PRINCIPALI
NOVITA' NORMATIVE
Il Regolamento UE n. 679/2016 e rapporti con il
Codice Privacy
Profili di
novità del
Regolamento
Le
principali novità nel testo
normativo
Sanzioni
PARTE II – ILLUSTRAZIONE DEL MODELLO
ORGANIZZATIVO INTERNO SUL TRATTAMENTO DEI DATI PER L'ADEGUAMENTO ALLE
NUOVE NORME
Il modello organizzativo aziendale sul
trattamento dei
dati
(Segue): il Responsabile per la protezione dei
dati
L'assistenza dello Studio nell'adeguamento alle
disposizioni introdotte dal
Regolamento
PARTE I
Il Regolamento UE n. 679/2016 e rapporti con
il Codice Privacy.
In data 27
aprile 2016 è stato approvato il Regolamento UE n. 679/2016 relativo
alla protezione delle persone fisiche con riguardo al trattamento dei
dati personali (il “Regolamento”).
Il
Regolamento è stato pubblicato sulla Gazzetta Ufficiale dell'Unione
Europea in data 4 maggio 2016.
Ai sensi
dell'art. 99, comma 2, “Esso si applica a decorrere dal 25 maggio
2018”, data dalla quale sarà direttamente efficace negli Stati
membri, senza necessità dell'emanazione di ulteriore normativa di
recepimento interna.
Il
Regolamento non abroga il Codice Privacy e, dunque, sintanto che esso
non sarà abrogato o modificato potrà verificarsi un periodo di
applicazione di entrambe le normative.
Profili
di novità del Regolamento.
Nelle
originarie intenzioni del legislatore Europeo, il nuovo Regolamento
avrebbe dovuto consentire di aggiornare ed armonizzare la disciplina
sulla protezione dei dati personali per tenere conto dei seguenti
fattori:
Non tutti
gli obiettivi di cui sopra sono stati raggiunti, con particolare
all'inesistenza di norme apposite per i social network. Tuttavia,
ulteriori novità sono l'introduzione di un sistema normativo che
impone alle imprese di rivedere la propria organizzazione interna
valorizzando principi organizzativi come quello di accountability
(c.d. “Responsabilizzazione”), che dovrebbe essere declinato a
sua volta con l'applicazione concreta nell'organizzazione aziendale
dei principi della “Privacy by design” e “Privacy by default”,
oltreché all’obbligatorietà in determinati casi di una preventiva
valutazione d’impatto sulla protezione dei dati personali (Privacy
Impact Assessment - PIA) e della notificazione dei casi di violazione
dei dati personali all’Autorità di controllo. Per gestire tutti i
nuovi adempimenti, poi, è stata introdotta anche la nuova figura del
Responsabile della protezione dei dati personali (c.d. Data
Protection Officer).
Le principali novità nel testo normativo.
Tra
le principali novità introdotte dal Regolamento rispetto all'attuale
normativa interna vanno menzionate le seguenti:
gli
artt. 12, 13 e 14 (che disciplinano le informazioni sul trattamento
dei dati da fornire all'interessato, distinguendo i casi in cui i
dati siano stati o meno raccolti presso l'interessato o acquisite da
terzi);
l'art.
17 (Diritto all'oblio, cioé il diritto – a determinate condizioni
- alla cancellazione dei dati personali oggetto di trattamento);
l'art.
18 (Diritto di limitazione del trattamento, che consente
all'interessato – in alternativa alla cancellazione - di far
effettuare trattamenti relativi ai propri dati personali soltanto
con il proprio consenso);
l'art.
20 (Portabilità dei dati);
l'art.
22 (Processo decisionale automatizzato, compresa la profilazione);
l'art.
25 (Protezione dei dati fin dalla progettazione e protezione per
impostazione predefinita);
l'art.
26 (Contitolari del trattamento);
l'art.
30 (Registri delle attività di trattamento, che devono essere
tenuti dal Titolare a determinate condizioni);
l'art.
33 (Notifica di una violazione dei dati personali all'autorità di
controllo);
l'art.
34 (Comunicazione di una violazione dei dati personali
all'interessato);
l'art.
35 (Valutazione d'impatto sulla protezione dei dati);
l'art.
36 (Consultazione preventiva);
-
l'art. 37 (Designazione del Responsabile della protezione dei dati)
- c.d. Data Protection Officer;
l'art.
40 (Codici di Condotta);
l'art.
42 (Certificazione), che prevede l'introduzione di un sistema di
certificazione della protezione dei dati e la conformità al
Regolamento;
gli
artt. 44, 45, 46 e 47, che modificano la disciplina del
trasferimento dei dati verso un Paese terzo (non appartenente
all'Unione Europea) e le norme vincolanti d'impresa rispetto al
trattamento dei dati personali.
Sanzioni.
L'impianto normativo del Regolamento è
assistito dalla possibilità di prescrivere misure ed irrogare
sanzioni pecuniarie (anche in aggiunta alle misure), anche per
importi estremamente elevati.
Per quanto attiene alle
misure, l'art. 58, comma 2, prevede che “Ogni
autorità di controllo ha tutti i poteri correttivi seguenti:
a) rivolgere avvertimenti al titolare del
trattamento o al responsabile del trattamento sul fatto che i
trattamenti previsti possono verosimilmente violare le disposizioni
del presente regolamento;
b) rivolgere ammonimenti al titolare e del
trattamento o al responsabile del trattamento ove i trattamenti
abbiano violato le disposizioni del presente regolamento;
c) ingiungere al titolare del trattamento o
al responsabile del trattamento di soddisfare le richieste
dell'interessato di esercitare i diritti loro derivanti dal presente
regolamento;
d) ingiungere al titolare del trattamento o
al responsabile del trattamento di conformare i trattamenti alle
disposizioni del presente regolamento, se del caso, in una
determinata maniera ed entro un determinato termine;
e) ingiungere al titolare del trattamento
di comunicare all'interessato una violazione dei dati personali;
f) imporre una limitazione provvisoria o
definitiva al trattamento, incluso il divieto di trattamento;
g) ordinare la rettifica, la cancellazione
di dati personali o la limitazione del trattamento a norma degli
articoli 16, 17 e 18 e la notificazione di tali misure ai destinatari
cui sono stati comunicati i dati personali ai sensi dell'articolo 17,
paragrafo 2, e dell'articolo 19;
h) revocare la certificazione o ingiungere
all'organismo di certificazione di ritirare la certificazione
rilasciata a norma degli articoli 42 e 43, oppure ingiungere
all'organismo di certificazione di non rilasciare la certificazione
se i requisiti per la certificazione non sono o non sono più
soddisfatti;
j) ordinare la
sospensione dei flussi di dati verso un destinatario in un paese
terzo o un'organizzazione internazionale”.
Le sanzioni amministrative
pecuniarie, invece, sono disciplinate dall'art. 83, che prevede che:
“Ogni autorità di controllo provvede affinché le sanzioni
amministrative pecuniarie inflitte ai sensi del presente articolo in
relazione alle violazioni del presente regolamento di cui ai
paragrafi 4, 5 e 6 siano in ogni singolo caso effettive,
proporzionate
e dissuasive”.
L'entità delle sanzioni varia in ragione della
tipologia del comportamento illecito e degli altri fattori elencati
nell'art. 83.
Nel
merito, i commi 4, 5 e 6 dell'art. 83 prevedono che “In
conformità del paragrafo 2, la violazione delle disposizioni
seguenti è soggetta a sanzioni amministrative pecuniarie fino
a 10.000.000 EUR,
o per le imprese, fino
al 2 % del fatturato mondiale totale annuo dell'esercizio
precedente, se superiore:
a) gli obblighi del titolare del
trattamento e del responsabile del trattamento a norma degli articoli
8, 11, da 25 a 39, 42 e 43;
b) gli obblighi dell'organismo di
certificazione a norma degli articoli 42 e 43;
c) gli obblighi dell'organismo di controllo
a norma dell'articolo 41, paragrafo 4;
5. In
conformità del paragrafo 2, la violazione delle disposizioni
seguenti è soggetta a sanzioni amministrative pecuniarie fino
a 20.000.000 EUR, o
per le imprese, fino al
4 % del fatturato mondiale totale annuo dell'esercizio
precedente, se superiore:
a) i principi di base del trattamento,
comprese le condizioni relative al consenso, a norma degli articoli
5, 6, 7 e 9;
b) i diritti degli interessati a norma
degli articoli da 12 a 22;
c) i trasferimenti di dati personali a un
destinatario in un paese terzo o un'organizzazione internazionale a
norma degli articoli da 44 a 49;
d) qualsiasi obbligo ai sensi delle
legislazioni degli Stati membri adottate a norma del capo IX;
e) l'inosservanza di un ordine, di una
limitazione provvisoria o definitiva di trattamento o di un ordine di
sospensione dei flussi di dati dell'autorità di controllo ai sensi
dell'articolo 58, paragrafo 2, o il negato accesso in violazione
dell'articolo 58, paragrafo 1.
6. In
conformità del paragrafo 2 del presente articolo, l'inosservanza di
un ordine da parte dell'autorità di controllo di cui all'articolo
58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie
fino a 20.000.000 EUR,
o per le imprese, fino
al 4 % del fatturato mondiale totale annuo dell'esercizio
precedente, se superiore”.
PARTE II – ILLUSTRAZIONE DEL MODELLO
ORGANIZZATIVO INTERNO SUL TRATTAMENTO DEI DATI PER L'ADEGUAMENTO ALLE
NUOVE NORME.
Il modello organizzativo aziendale sul
trattamento dei dati.
Uno dei pilastri del Regolamento è la
valorizzazione del principio della responsabilizzazione del Titolare
del trattamento all'adozione spontanea di una forma di organizzazione
aziendale in grado di assicurare il rispetto dei principi sanciti dal
Regolamento per il lecito trattamento dei dati e prevenire le
violazioni sul trattamento dei dati.
Si tratta del cosiddetto principio di
“accountability”, che è già stato adottato dal legislatore
interno ad esempio in relazione alla responsabilità amministrativa
degli enti ai sensi del D.Lgs. n. 231/2001.
Corollario di tale principio, infatti, così
come per il D.Lgs. n. 231/2001 è l'obbligo per il titolare del
trattamento di essere in grado in qualsiasi momento di rendicontare
con precisione le misure adottate nel trattamento dei dati personali
per garantire il rispetto del Regolamento.
A questo proposito, il Regolamento prevede che
per attestare la conformità della propria azienda al Regolamento il
titolare possa conformarsi a particolari Codici di Condotta (cfr.
art. 40), oppure affidarsi alla certificazione da parte di organismi
indipendenti accreditati a tal fine (cfr. art. 42).
In ogni caso, ciò che più conta è che il
titolare deve assicurare che l'intero sistema aziendale relativo al
trattamento dei dati sia progettato sin dall'inizio tenendo conto
dell'esigenza di proteggere i dati personali, che deve diventare una
delle priorità secondo le quali impostare le procedure operative
aziendali.
A questo riguardo, infatti, l'art. 25 del
Regolamento prevede che:
“1. Tenendo
conto dello stato dell'arte e dei costi di attuazione, nonché della
natura, dell'ambito di applicazione, del contesto e delle finalità
del trattamento, come anche dei rischi aventi probabilità e gravità
diverse per i diritti e le libertà delle persone fisiche costituiti
dal trattamento, sia al
momento di determinare i mezzi del trattamento sia all'atto del
trattamento stesso il titolare del trattamento mette in atto misure
tecniche e organizzative adeguate, quali la pseudonimizzazione, volte
ad attuare in modo efficace i principi di protezione dei dati, quali
la minimizzazione, e a integrare nel trattamento le necessarie
garanzie al fine di soddisfare i requisiti del presente regolamento e
tutelare i diritti degli interessati.
2. Il titolare del trattamento mette in atto
misure tecniche e organizzative adeguate per garantire che siano
trattati, per impostazione
predefinita, solo i dati personali necessari per ogni specifica
finalità del trattamento.
Tale obbligo vale per la quantità dei dati personali raccolti, la
portata del trattamento, il periodo di conservazione e
l'accessibilità. In particolare, dette misure garantiscono che, per
impostazione predefinita, non siano resi accessibili dati personali a
un numero indefinito di persone fisiche senza l'intervento della
persona fisica.”
Per adeguarsi al Regolamento, dunque, l'azienda
deve, quindi, riesaminare tutto il flusso dei dati personali e di
gestione dei relativi archivi, cartacei ed informatici, verificando
per ogni singolo trattamento il rispetto dei requisiti previsti dal
Regolamento.
Si tratta di un'attività che comporta la
revisione delle procedure esistenti e l'eventuale implementazione di
nuove procedure e regole all'interno dell'azienda in grado di
garantire il rispetto dei requisiti previsti dal Regolamento.
In particolare, sarà necessario effettuare:
l'analisi di tutti i dati oggetto di
trattamento;
la verifica del trattamento di dati cosiddetti
sensibili (cfr. artt. 9 e 10 del Regolamento) per la previsione di
particolari precauzioni;
l'analisi di tutte le finalità del
trattamento;
l'analisi delle varie fasi di ciascun
trattamento in relazione alle finalità individuate;
l'analisi delle persone coinvolte nelle varie
fasi dei trattamenti;
l'analisi dei rischi che incombono sui dati,
in relazione anche alle strutture cartacee ed informatiche con le
quali vengono trattati;
nel caso in cui si utilizzino nuove tecniche
di trattamento, nuove tecnologie o vi siano rischi particolari,
l'effettuazione di una valutazione d'impatto dei trattamenti
previsti sulla protezione dei dati personali;
la costruzione di un modello organizzativo
interno che risponda ai requisiti richiesti dal Regolamento ed in
particolare dall'art. 25;
l'eventuale necessità e/o opportunità della
nomina di un Responsabile del trattamento dei dati (cfr. art. 28 del
regolamento);
l'eventuale necessità e/o opportunità della
nomina di un Responsabile della protezione dei dati.
(Segue): il Responsabile per la protezione
dei dati.
In particolare, per quanto attiene alla
necessità o all'opportunità di nominare un Responsabile per la
protezione dei dati, sarà necessario considerare che questa figura
può garantire un alto livello di compliance dell'organizzazione
aziendale al Regolamento, essendo in possesso di un elevato livello
di professionalità.
Infatti, secondo l'art. 37, co. 5 del
Regolamento “ Il responsabile della
protezione dei dati è designato in
funzione delle qualità professionali,
in particolare della conoscenza specialistica della normativa
e delle prassi in
materia di protezione dei dati,
e della capacità di assolvere i compiti di cui all'articolo 39”.
Il Responsabile per la protezione dei dati può
essere individuato in una figura interna o esterna all'azienda.
Nel primo caso, tale funzione potrà essere
ricoperta da un dipendente.
Nel secondo caso, invece, essa potrà essere
svolta da un terzo sulla base di un contratto di servizi.
I compiti minimi del Responsabile della
protezione dei dati sono stabiliti dall'art. 39 del Regolamento e
sono i seguenti:
“a)
informare e fornire consulenza al titolare del trattamento o al
responsabile del trattamento nonché ai dipendenti che eseguono il
trattamento in merito agli obblighi derivanti dal presente
regolamento nonché da altre disposizioni dell'Unione o degli Stati
membri relative alla protezione dei dati;
b) sorvegliare l'osservanza del presente
regolamento, di altre disposizioni dell'Unione o degli Stati membri
relative alla protezione dei dati nonché delle politiche del
titolare del trattamento o del responsabile del trattamento in
materia di protezione dei dati personali, compresi l'attribuzione
delle responsabilità, la sensibilizzazione e la formazione del
personale che partecipa ai trattamenti e alle connesse attività di
controllo;
c) fornire, se richiesto, un parere in
merito alla valutazione d'impatto sulla protezione dei dati e
sorvegliarne lo svolgimento ai sensi dell'articolo 35;
d) cooperare con l'autorità di controllo; e
e) fungere da punto di contatto per
l'autorità di controllo per questioni connesse al trattamento, tra
cui la consultazione preventiva di cui all'articolo 36, ed
effettuare, se del caso, consultazioni relativamente a qualunque
altra questione.
2. Nell'eseguire i propri compiti il
responsabile della protezione dei dati considera debitamente i rischi
inerenti al trattamento, tenuto conto della natura, dell'ambito di
applicazione, del contesto e delle finalità del medesimo”.
L'assistenza dello Studio nell'adeguamento
alle disposizioni introdotte dal Regolamento
In virtù dell'esperienza maturata, lo Studio è
in grado di assistere l'azienda nelle attività propedeutiche
all'adeguamento del modello di organizzazione interno alle
prescrizioni ed ai principi stabiliti dal Regolamento.
In particolare, l'attività dello Studio viene
svolta attraverso:
una prima fase di osservazione sul campo e
raccolta delle informazioni relativamente al sistema già in essere
relativo al trattamento dei dati personali;
in tale fase, viene esaminata anche tutta la
documentazione già prodotta dall'azienda relativamente al
trattamento dei dati, ivi comprese l'informativa da rilasciare alle
varie categorie di interessati, la modulistica contrattuale, i
contratti con il personale, ecc.
generalmente, la prima fase viene portata a
termine entro 30 giorni dal conferimento dell'incarico.
nella fase successiva, lo Studio si occupa di
predisporre una proposta di modello organizzativo per l'azienda che
rispecchi i principi ed i criteri direttivi previsti dal
Regolamento, anche attraverso la predisposizione della rilevante
documentazione interna, quale: procedure, regolamenti, lettere per
il personale, modulistica contrattuale, nomina del Responsabile del
trattamento e/o del Responsabile della protezione dei dati.
Generalmente tale seconda fase viene portata a
termine entro 60 giorni dalla conclusione della prima.
Nella terza fase vengono discussi i risultati
raggiunti con i responsabili interni dell'azienda ed apportati gli
eventuali correttivi alle bozze elaborate.
Tale fase viene completata generalmente nei 10
giorni successivi al ricevimento del feedback da parte dell'azienda
sul lavoro svolto.
Infine, lo Studio predispone le bozze degli
atti organizzativi interni utili all'implementazione del nuovo
modello all'interno dell'azienda (es. delibere del CDA). Tale fase
richiede un preavviso di pochi giorni.
Lo Studio, all'occorrenza, può fornire anche
consulenza per l'individuazione della figura del Responsabile della
protezione dei dati