Buongiorno Prof. Chiarelli, esperti Omniavis e colleghi di studio, vi sottopongo la mia sintesi sul Gdpr per preziosi riscontri grazie
Il GDPR (General Data Protection Regulation) di cui al Regolamento UE 679/2016, essendo un regolamento e non una direttiva non ha bisogno di una normativa di recepimento ma è direttamente applicabile in tutti gli stati membri.
Il preesistente codice privacy (dlgs. 196/2003) non è stato abrogato, ma il dlgs. 101/2018 lo ha adeguato al Gdpr.
L’oggetto è il trattamento dei dati delle persone fisiche, non tanto per limitarlo quanto per consentirlo tenendo in conto, prevenendo e riducendo al minimo i rischi per i diritti e le libertà individuali.
Quindi centrale è la valutazione del rischio, inteso come combinazione di probabilità e conseguenze (dannose), da affrontare con un approccio “privacy by design and by default”. By default sono misure generali sempre valide (minimizzazione, limitazione delle finalità…); By design significa calibrato sul rischio, viene lasciato al titolare la decisione sul tipo di misure proporzionate al caso (accountability).
I soggetti coinvolti sono: soggetto interessato (cui i dati si riferiscono), titolare ed eventuale contitolare (l’ente che richiede i dati e che decide fini e mezzi), responsabile del trattamento (persona fisica o giuridica che tratta i dati su incarico del titolare, come una società informatica, ed è importante che nel contratto siano specificati modi limiti e clausole come la cancellazione una volta concluso il rapporto ). Vi sono poi i dipendenti autorizzati (non ne parla il Gdpr, ma la legge nazionale) che devono esserlo formalmente.
Il Responsabile della Protezione dei Dati (Dpo) è una figura innovativa che deve essere presente sia presso il titolare che presso il responsabile del trattamento. Ha conoscenze sia tecniche che giuridiche adatte ad un ruolo consulenziale verso l’ente per supportare l’applicazione del Gdpr, e d’altra parte è il referente per l’autorità di controllo (Garante).
È obbligatorio per tutte le PA (che sia interno o esterno), mentre per i privati secondo condizioni (+250 dipendenti, trattamento massivo di dati, trattamento di dati c.d. “particolari”, quelli precedentemente definiti “sensibili”).
La norma definisce anche gli strumenti da utilizzare in particolare il Registro dei trattamenti che censisce la tipologia dei dati trattati, gli interessati, la finalità, il livello di rischio, le misure preventive previste, a chi vengono trasmessi i dati e se vengono trasmessi all’estero, il presupposto giuridico del trattamento. Quest’ultimo può essere per legge, per contratto o consenso.
L’informativa deve esserci sempre e con requisiti di accessibilità semplicità e comprensibilità. Il consenso è poco usato dalla PA, deve essere espresso dall’interessato con un’azione esplicita (un comportamento). Informativa e (dove serva) consenso sono non generali ma specifici per trattamento.
Dove si verifichi una violazione (data breach) che comporti rischio per l’interessato il titolare deve comunicarlo al Garante entro 72 ore. Se il rischio è elevato deve comunicarlo anche all’interessato senza ritardo. La mancata comunicazione è sanzionata dal Garante in modo proporzionale all’impatto e alla mancanza di adeguate misure preventive e successive adottate dal titolare.
Altri diritti dell’interessato: accesso, rettifica, oblio, portabilità…
Il Garante è una autorità indipendente, di regolazione e controllo, preesistente al Gdpr, composta di 4 membri nominati dalle Camere del Parlamento di cui un presidente e vicepresidente, dura in carica 7 anni, oltre a controlli e sanzioni esplica diverse attività (es. linee guida, pareri…) a supporto della corretta e uniforme applicazione della normativa. Per i dati ad alto rischio, se non si riesce a ridurlo con misure tecniche, è richiesto il suo parere preventivo.
La giurisprudenza si è spesa sul contemperamento tra privacy e accesso, con una consistente tendenza a favore della privacy salvo che l’accesso non sia necessario a tutelare un bene della vita almeno di pari rilevanza.