Il GDPR (art. 4, paragrafo 1, n. 7) delinea la figura del “Titolare Del Trattamento”, definendolo come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” e decide quali categorie di dati personali devono essere registrate.
Il titolare del trattamento gode pertanto di un potere decisionale in ordine al trattamento dei dati personali: non si limita solo a gestire i dati, ma decide il motivo e le modalità del trattamento, ed è responsabile giuridicamente dell’ottemperanza degli obblighi previsti dalla normativa, nazionale e internazionale, in materia di protezione dei dati personali.
Con il nuovo Regolamento Europeo in materia di protezione dei dati personali (Regolamento UE 2016/679), che troverà applicazione in tutti gli Stati membri a partire dal 25 maggio 2018, sono stati delineati una serie di adempimenti e obblighi a carico del Titolare del Trattamento.
USA IL GESTIONALE LEGALDESK PER L’AVVOCATO E PROTEGGI I TUOI DATI SENSIBILI
GDPR: attività necessarie a carico del Titolare
Il Titolare è competente per il rispetto dei principi applicabili al trattamento dei dati personali: i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato.
Le finalità devono essere determinate, esplicite e legittime; i dati, adeguati, pertinenti, esatti ed aggiornati, oltre che limitati a quanto necessario rispetto alle finalità, e comunque da trattare in modo da garantirne un’adeguata sicurezza (Capo II, art.5).
Ciascun titolare deve distinguere i casi in cui è richiesto il (previo) consenso dell’interessato per eseguire un trattamento, da quelli in cui non è necessario.
La richiesta del consenso deve essere presentata in modo distinto da altre richieste, e seppur non è necessaria la forma scritta, la richiesta deve avvenire in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.
Quando per un trattamento è necessario il consenso, il titolare deve essere in grado di dimostrare che il consenso è stato effettivamente prestato (Capo II, artt.6-7).
Il titolare deve adottare tutte le misure per fornire all’interessato le informazioni relative ai trattamenti gestiti dalla propria organizzazione, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.
Il titolare è tenuto ad agevolare l’esercizio dei diritti da parte dell’interessato e, in particolare, a fornire un riscontro alla richiesta del medesimo senza ingiustificato ritardo e comunque entro un mese dal ricevimento della medesima (Capo III, art.12).
Il Titolare deve fornire una completa Informativa all’interessato, avendo il Regolamento ampliato le informazioni da inserire: tra le altre, il titolare deve esplicitarvi il periodo di conservazione dei dati personali, ovvero i criteri utilizzati per determinare tale periodo; il linguaggio dell’informativa deve essere semplice e chiaro (Capo III, artt.13 – 14).
Il Regolamento ha anche ampliato il catalogo di diritti che spettano all’interessato – diritto di accesso, del diritto di rettifica, del diritto alla cancellazione (cd. diritto all’oblio), diritto di limitazione del trattamento, diritto alla portabilità dei dati, diritto di opposizione al trattamento – con correlativi nuovi obblighi di notifica e comunicazione gravanti sul titolare.
Il titolare del trattamento, considerando la natura, l’ambito di applicazione, il contesto e le finalità del trattamento, nonché gli eventuali rischi. deve adoperarsi per predisporre misure tecniche e organizzative adeguate al fine di garantire, ed essere in grado di dimostrare, la conformità del trattamento al Regolamento, tenendo conto. Tali misure dovranno poi essere periodicamente riesaminate e aggiornate (Capo IV, artt. 24 – 32).
Altri due adempimenti sono fondamentali:
- la Privacy by design (fin dalla progettazione)
- la Privacy by default (per impostazione predefinita).
Nel primo caso, il titolare, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento.
Mette in atto misure tecniche e organizzative adeguate (ad esempio la pseudonimizzazione), volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati (Capo IV, art. 25.1).
Inoltre, mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.
Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità (Capo IV, art. 25.2).
Il titolare del trattamento ha l’obbligo di istruire tutti coloro che siano autorizzati ad accedere ai dati personali, compreso il responsabile del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri (Capo IV, art.29).
LEGGI ANCHE: GDPR: i poteri dell’Autorità Garante
GDPR: attività particolari per categorie di dati e specifiche circostanze
Particolare attenzione deve essere prestata qualora il trattamento riguardi dati relativi ai minori: il trattamento di dati relativo all’offerta diretta di servizi della società dell’informazione ai minori è lecito se il minore che ha prestato il consenso ha compiuto 16 anni.
Nel caso di minori di 16 anni, deve essere acquisito il consenso di colui/coloro che ha/hanno la responsabilità genitoriale del minore e il titolare deve adoperarsi in ogni modo ragionevole, in considerazione delle tecnologie disponibili, per verificare la detta circostanza (Capo II, art. 8).
Il trattamento di dati relativi a condanne penali e reati (cd. Giudiziari) deve avvenire, alternativamente, sotto il controllo della autorità pubblica ovvero previa autorizzazione proveniente da norme dell’Unione e del singolo Stato membro che prevedano garanzie appropriate per i diritti e le libertà degli interessati (Capo II, art. 10).
Particolare attenzione è stata data ai processi decisionali automatizzati: viene riconosciuto all’interessato il diritto a non essere sottoposto ad una decisione basata unicamente su un trattamento automatizzato dei dati che produca effetti giuridici che lo riguardano o che comunque incida significativamente sulla sua persona (tra queste viene indicata la tecnica della profilazione).
Il divieto non opera qualora vi sia consenso esplicito dell’interessato, la decisione sia necessaria per l’esecuzione di un contratto con l’interessato, o sia autorizzata dal diritto dell’Unione o del singolo Stato membro (Capo III, art. 22).
È possibile anche che ci sia una contitolarità del trattamento, qualora due o più titolari determinino congiuntamente le finalità e mezzi del trattamento. In questo caso, i contitolari concordano in modo trasparente, mediante un contratto, la ripartizione delle responsabilità del trattamento, con particolare riguardo all’esercizio dei diritti degli interessati e ai conseguenti obblighi informativi da dare allo stesso.
Tale accordo, poi, dovrà essere messo a disposizione degli interessati (Capo IV, art. 26).
Qualora trovi applicazione l’art. 3.2 – relativo al trattamento di dati personali di interessati che si trovano nell’Unione da parte di titolare/responsabile non stabilito nell’UE), il titolare o il responsabile nominato, designa per iscritto un proprio rappresentante nell’Unione.
Questo rappresentante dovrà fungere da interlocutore (in aggiunta o in sostituzione del titolare del trattamento o del responsabile del trattamento) in particolare delle autorità di controllo e degli interessati, per tutte le questioni riguardanti il trattamento (Capo IV, art. 27).
Il titolare ha la facoltà di nominare un responsabile che effettui il trattamento per suo conto, scegliendolo tra soggetti che prestino le garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del regolamento e garantisca la tutela dei diritti dell’interessato (Capo IV, art. 28).
Il titolare del trattamento deve previamente istruire il responsabile del trattamento, o chiunque agisca sotto la sua autorità, e che sia autorizzato ad accedere ai dati personali (Capo IV, art. 29).
Ogni titolare del trattamento, e in caso applicabile, il suo rappresentante (che gestisca un trattamento con almeno 250 dipendenti o che, anche al di sotto di tale soglia dimensionale, effettui un trattamento che possa presentare un rischio per i diritti e le libertà degli interessati che non sia occasionale o che includa dati sensibili, genetici, biometrici, giudiziari) è obbligato a tenere un registro delle attività di trattamento svolte sotto la propria responsabilità (Capo IV, art. 30).
Nel caso in cui un tipo di trattamento, soprattutto qualora preveda l’uso di nuove tecnologie, in relazione alla natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali.
Quando dalla valutazione di impatto si evince che il trattamento possa presentare un rischio elevato, prima di procedere al trattamento il titolare è tenuto a consultare l’autorità di controllo (Capo IV, art. 35-36).
Il titolare del trattamento è obbligato a designare un responsabile della protezione dei dati (Data Protection Officer – DPO) quando:
- il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali.
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati sensibili, genetici, biometrici, giudiziari.
In questi casi il DPO svolgrà compiti di informazione, formazione, consulenza e sorveglianza dell’adempimento della disciplina privacy (Capo IV, art. 37-39).
USA IL GESTIONALE LEGALDESK, GARANZIA DI EFFICACIA ED EFFICIENZA
GDPR: attività gravanti sul titolare in presenza di violazioni di dati o a fronte di richieste dell’autorità di controllo
Il titolare del trattamento e il responsabile del trattamento, sono tenuti a cooperare con l’autorità di controllo, su richiesta della stessa, nello svolgimento dei loro compiti (Capo IV, art. 31).
In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente, senza ingiustificato ritardo e, se possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche (Capo IV, art. 33).
Quando la violazione della sicurezza dei dati presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare deve darne notizia all’interessato senza ingiustificato ritardo.
Tuttavia, tale comunicazione non è richiesta quando il titolare ha adottato misure tali da scongiurare il rischio o quando la comunicazione richiederebbe sforzi sproporzionati (Capo IV, art. 34).
Chiunque subisca un danno materiale o immateriale causato da una violazione delle norme del regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento (Capo VIII, art. 82).
LEGGI ANCHE: Principio di accountability: pilastro del nuovo GDPR
GDPR: decisioni volontarie del titolare
Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano: l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del regolamento (codici di condotta), e l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento (sistemi di certificazione).
Si tratta, tuttavia, di adempimenti volontari del titolare mediante i quali dimostrare la conformità delle attività di trattamento ai requisiti stabiliti dal Regolamento (Capo IV, art. 40-42).