I diritti dell’interessato
Presupposto fondamentale di un trattamento lecito è che venga fornita all’interessato una adeguata informativa sul trattamento dei suoi dati prima che egli presti il consenso o comunque nel momento in cui sono raccolti se il consenso non è previsto come necessario.
L’informativa deve contenere le seguenti indicazioni:
• identità dell’interessato;
• finalità del trattamento;
• base giuridica del trattamento;
• eventuali obblighi di legge o di contratto e conseguenze del rifiuto;
• ambito di circolazione dei dati per destinatari;
• durata del trattamento;
• eventuale processo decisionale bastato unicamente su un trattamento automatizzato;
• i diritti dell’interessato.
L’informativa non deve essere necessariamente scritta anche se è opportuno che lo sia perché deve essere fornita la prova del suo contenuto e del fatto di averla data.
È consigliabile che l’informativa venga resa in due parti: una sintetica che indica il contenuto minimo della stessa ed una più estesa, a cui la prima rimanda, che sia invece più ampia.
L’informativa deve essere chiara. Meglio usare espressioni colloquiali semplici che un linguaggio tecnico-giuridico troppo articolato.
I diritti dell’interessato sono:
• diritto di accesso ai dati che lo riguardano;
• diritto di rettifica e integrazione dei dati;
• diritto di limitazione del trattamento alla sola conservazione;
• diritto di revoca del consenso;
• diritto di cancellazione dei dati e diritto di oblio (right to be forgotten);
• diritto di opposizione al trattamento, ma solo nei casi previsti;
• diritto alla portabilità dei dati (data portability) trattati in modo strutturato.
Il consenso deve essere informato, libero, specifico, inequivocabile e espresso.
Non importa che sia scritto ma deve risultare in modo chiaro la volontà dell’interessato di acconsentire al trattamento. Il consenso deve essere prestato per ogni tipo di trattamento per cui il consenso ottenuto per l’archiviazione dei dati fiscali non è idoneo a consentire di utilizzare quegli stessi dati per finalità di marketing.
Il consenso deve poi essere “esplicito” nel caso di trattamento di dati sensibili, per attività decisionali basate su trattamenti automatizzati e nel caso di trasferimento di dati verso un paese terzo o un’organizzazione internazionale non adeguati.
La “base legale” del trattamento e il consenso dei dati personali
Il Regolamento muove dal presupposto che il trattamento dei dati è illecito se non vi è una base legale che lo consente.
Il consenso non è più l’unica base legale ma ve ne sono altre poste tutte sullo stesso piano del consenso. La base legale è diversa a seconda che si trattino dati comuni o dati sensibili.
La base legale per i dati comuni può essere rappresentata da uno dei seguenti elementi (art. 6.1):
• consenso dell’interessato;
• trattamento necessario per l’esecuzione di un contratto o di misure precontrattuali (ad es. invio preventivi);
• trattamento necessario per adempiere ad un obbligo legale;
• trattamento necessario per la salvaguardia degli interessi vitali dell’interessato o di altra persona fisica;
• trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri;
• trattamento necessario per un legittimo interesse del titolare se non prevalgono gli interessi e i diritti dell’interessato.
Tra i trattamenti che possono ritenersi leciti per esercizio di un legittimo interesse viene incluso anche il marketing diretto se effettuato a favore di clienti che possano attendersi un tale tipo di comunicazione in ragione del rapporto intercorso tra le parti. In ogni caso l’interessato deve essere sempre informato del suo diritto di opporsi a questo trattamento esercitando l’opt-out.
La base legale per i dati sensibili può essere rappresentata da uno dei seguenti elementi (art. 9.2):
• consenso esplicito dell’interessato;
• trattamento necessario per adempiere obblighi o esercitare diritti in materia di diritto del lavoro e della sicurezza sociale nella misura in cui è autorizzato dal diritto dell’Unione;
• trattamento necessario per tutelare interessi vitali dell’interessato o di altra persona fisica;
• trattamento effettuato nelle sue legittime attività e con adeguate garanzie da una fondazione, associazione o ente senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali se riguarda membri, ex membri o persone che hanno contatto con l’ente stesso.
Nel caso in cui l’art. 6.1 preveda garanzie maggiori rispetto all’art. 9.2, si applicheranno al trattamento dei dati sensibili anche le previsioni del primo articolo che si cumulano alle seconde.
La responsabilità del titolare dei dati personali
Il Regolamento si base sul principio di responsabilizzazione del titolare del trattamento.
Il principio di Accountability prevede che il titolare debba adottare le misure che garantiscano un trattamento conforme al Regolamento e che debba dimostrarne la concreta attuazione e l’oggettiva efficacia.
Il criterio di funzionamento era già noto all’interno dell’Ordinamento giuridico italiano per ciò che concerne la normativa sulla Responsabilità delle Persone Giuridiche e delle Società, contenuta nel D.Lgs. 8 giugno 2001 n.31.
Per fare questo non sono previste delle misure specifiche da adottare, per cui spetta al titolare fare una valutazione per capire quale siano le più idonee apparendo, comunque, imprescindibile l’impostazione, in Azienda, di un vero e proprio “Modello” volto ad assicurare l’adeguamento e la conformità dei trattamenti effettuati alla normativa vigente.
Quindi il titolare dovrà prima di tutto effettuare una analisi preventiva delle misure da adottare per rendere i nuovi servizi ed i nuovi prodotti conformi al Regolamento (c.d. Privacy by design). In questo contesto potrebbe essere utile ricorrere a specialisti che potrebbero assumere il ruolo di Data Protection Designer.
Inoltre dovrà fare in modo che il rispetto delle previsioni del Regolamento avvenga il più possibile in modo automatico ed entri a fare parte del flusso informativo per evitare che non sia rispettato (c.d. Privacy by default).
La Privacy by design e la Privacy by default servono per attuare e per dimostrare l’attuazione del Regolamento ma anche per delimitare il perimetro della responsabilità del titolare.
Tra le misure che il titolare deve necessariamente attuare rientrano la DPIA, la nomina del DPO se ricorrono le condizioni di cui all’art. 37.1, l’adozione delle BCR per il trasferimento di dati extra-UE tra società infragruppo e, non ultimo, il Registro dei trattamenti (art. 30) in cui il titolare deve indicare tutti i trattamenti.
Il Registro dei trattamenti, la DPIA, gli archivi di nomine e incarichi sono poi strumenti essenziali per fornire la prova dell’attuazione delle misure previste.
Possono essere adottate anche misure volontarie, quali i meccanismi di gestione dei reclami e dei data breach, gli audit interni o esterni.
In caso di data breach il titolare è tenuto entro 72 ore ad avvisare l’Autorità di controllo ed anche l’interessato in caso di violazioni che possono comportare danni nella sua sfera personale.
Data protection e sicurezza informatica
L’adozione di misure efficaci di protezione dei dati personali ha un effetto importante anche per la tutela di tutto il patrimonio informativo di un’impresa che rappresenta un valore inestimabile.
Impostare un sistema di sicurezza informatica è quindi necessario non solo per adempiere ad un obbligo di legge ma per difendersi da possibili fughe o furto di informazioni.
La data protection è un’esigenza sempre più forte in funzione dello sviluppo tecnologico.
L’ Internet of Things, IoT, immette sul mercato prodotti e servizi che acquisiscono informazioni senza che la persona spesso se ne renda conto. I robot a loro volta acquisiscono informazioni sulla vita delle persone che assistono.
Non a caso il 9 Maggio 2018 entra in vigore la Direttiva 2016/1148/UE NIS, Network and Information systems security, sulla cybersecurity che ha molti punti di contatto con il Regolamento privacy.
Il Regolamento deve poi coordinarsi con altre normative tra cui la Dir. 2000/31/CE sul commercio elettronico, la Convenzione CoE 108/1981 sul trattamento automatizzato di dati a carattere personale, l’art. 7 e 8 della Carta dell’Unione Europea che tutelano la vita privata e familiare ed il rispetto dei dati di carattere personale.
Protezione dei dati e privacy sono sempre più due facce della stessa medaglia tanto che è stato coniato il nuovo termine di “data protecy” per indicare la protezione dei dati anche dal punto di vista privacy.
È necessario che un’impresa adotti tutte le misure necessarie per tutelare se stessa ed i dati che tratta.
Per tutte le persone giuridiche operanti od intenzionate ad operare sul territorio italiano, siano esse appartenenti a paesi UE che exta-UE, è consigliabile valutare l’adeguamento, tramite l’adozione di un apposito Modello organizzativo, alla normativa contenuta nel D.Lgs.231/2001 al fine di contrastare il rischio di incorrere nelle pesantissime sanzioni dalla stessa previste.
Tale normativa emanata in attuazione della Convenzione OCSE sulla corruzione di pubblici ufficiali stranieri nelle operazioni commerciali internazionali firmata a Parigi il 17 dicembre 1997, recepisce la dottrina del “respondeat superior” già vigente negli USA per effetto della disciplina del Foreign Corrupt Practise Act successivamente ampliata e precisata dalle Federal Sentencing Guidelines statunitensi del 1991 e dalle Ad hoc Advisory Group in the Organizational Sentencing che fanno riferimento, là a soli fini attenuanti della responsabilità, ai concetti di efficacia del modello organizzativo e di culpability of the organization attenuata da “existence of an effective compliance and ethics program; self-reporting, cooperation, or accemptance of responsibility.”
Normative similari si ritrovano, a livello mondiale, in Canada (sez.22.1 e 732.1 -3.1- Codice Penale canadese) nel Regno Unito ( Mousell Bros v London and North Western Rly Co [1917] 2 KB 836; Griffiths v Studebakers Ltd [1924] 1 KB 102; Ltd v Woodward[1972] AC 824; Supermarkets v Nattrass [1972] AC 153), in Giappone, in Germania (Ordnungswidrigkeiten del 24 maggio 1968 solo per i profili amministrativi), in Russia ( art.2.10 del codice degli illeciti amministrativi del 20.12.2001) ed in Francia (art.121-2 Codice Penale francese del 1994).
Tale normativa, che in Italia riguarda una vasta serie di gravi illeciti (tra i quali i reati ambientali, i reati societari in materia di bilancio, di comunicazioni sociali e di utilizzo di informazioni sociali privilegiate, i reati contro la Pubblica Amministrazione…. etc.), include anche i reati strettamente correlati al settore della sicurezza e dell’attività informatica aziendale ed al trattamento, latu sensu, di dati, informazioni e beni immateriali in ambito aziendale.
Proprio con riguardo a tale specifico settore il corretto adeguamento alla normativa privacy con l’efficace attuazione delle prescrizioni normative previste, costituisce il minimo ed imprescindibile presidio e punto di partenza nell’adozione di un Modello 231 a contrasto del rischio di incorrere nella responsabilità 231 per i reati informatici e per la violazione del diritto d’Autore.
Violazione della Privacy: quali sono le sanzioni?
Il Regolamento prevede le violazioni che devono essere sanzionate e gli importi massimi applicabili in caso di mancato rispetto della normativa sulla privacy.
Per valutare gli importi adeguati si dovrà tenere conto di diversi parametri ma hanno grande importanza le misure adottate dal titolare.
Nel comminare la sanzione amministrativa si tiene conto tra l’altro proprio delle misure tecniche e organizzative adottate dal titolare, del rispetto della privacy by-design e by-default, dell’entità del pregiudizio arrecato, dell’eventuale colpa o dolo del titolare.
È quindi evidente che una buona organizzazione della privacy è indispensabile anche per ridurre il rischio di vedersi comminare sanzioni ed anche per ridurre la loro quantificazione.
La misura massima applicabile è infatti altissima:
a) massimo di 10.000.000 Euro o, per le imprese, fino al 2% del fatturato mondiale annuo se superiore (art. 83.4) in caso ad esempio di violazione dei seguenti obblighi:
• misure di protezione by-design, by-defualt;
• nomina del rappresentante del titolare o dei responsabili non stabiliti nell’UE;
• accordo tra contitolari per le responsabilità;
• consenso dei minori in merito a servizi della società dell’informazione;
• tenuta del Registro dei trattamenti;
• adozione di misure di sicurezza adeguate;
• comunicazione di data breach;
• DPIA;
• designazione del DPO.
b) massimo di 20.000.000 Euro o, per le imprese, fino al 4% del fatturato mondiale annuo se superiore (art. 83.6, 83.6 ) in caso ad esempio delle seguenti violazioni:
• principi generali del trattamento dei dati;
• violazione condizioni di liceità, per il consenso o per la revoca;
• violazioni norme per il trattamento di dati particolari, sensibili o giudiziari;
• mancato rispetto diritti dell’interessato;
• mancato rispetto principi per il trasferimento di dati extra-UE;
• violazione di norme nazionali in materia di rapporti di lavoro, archivi storici, ricerca scientifica.
Le sanzioni amministrative irrogate dall’Autorità di Controllo sono sottoposte al ricorso giurisdizionale ed al giusto processo (art. 78).
Le sanzioni saranno applicate al titolare, ma potrebbero riguardare anche il responsabile, il DPO o altri soggetti coinvolti nel trattamento.