Print bookPrint book

PRIVACY E TRASPARENZA

Raccolta ragionata di testi normativi, delibere e circolari

A cura di: Giorgio Valandro, Elisa Visentin, Luciano Iacicco

Ultimo aggiornamento: 1 marzo 2019

Link: https://elearning.unipd.it/infodiritto/mod/book/view.php?id=728


INFODIRITTO opera per la correttezza dei dati giuridici messi a disposizione e corregge tempestivamente gli errori segnalati a infodiritto@unipd.it. La corretta applicazione della normativa resta nella responsabilità degli uffici competenti

Per ulteriori approfondimenti scrivere a infodiritto@unipd.it

Site: INFODIRITTO - In-formazione giuridica per l'amministrazione
Course: STUDI E DOSSIER
Book: PRIVACY E TRASPARENZA
Printed by: Guest user
Date: Thursday, 23 September 2021, 10:20 PM

INTRODUZIONE

Stampa Dossier

PRIVACY

In materia di trattamento di dati personali si incrociano almeno tre diversi ambiti normativi:

  • Trasparenza: d.lgs. 33/2013 e ss.mm.
  • Protezione dati personali: d.lgs. 196/2003 e ss. mm. [aggiornato con le modifiche introdotte dal REGOLAMENTO UE 2016/679]
  • Pubblicità legale e accesso agli atti: legge 241/1990 e art. 32 della Legge 18 giugno 2009, n.69

Dal 25 maggio 2018 è entrato in vigore il nuovo Regolamento UE 2016/679 (c.d. GDPR):

Nell'ambito della protezione dei dati personali il Gruppo di lavoro CODAU ha redatto le Linee guida in materia di privacy e protezione dei dati personali in ambito universitario che rappresentano un importante approfondimento e punto di avvio per la gestione della protezione dei dati personali all'interno dell'università.

Per ulteriori approfondimenti:

→Garante per la protezione dei dati personali

→EDPB, Linee guida per i titolari e i responsabili del trattamento


TRASPARENZA

Inoltre, è necessario considerare le recenti modifiche legislative in materia di pubblicità e trasparenza dell'attività della pubblica amministrazione (d.lgs. 33/2013 come modificato dal d.lgs. 97/2016), le quali impongono di riconsiderare la portata della disciplina in materia di protezione dei dati personali, con particolare riferimento all'adempimento degli obblighi di pubblicazione sul web previsti dalle disposizioni di riferimento.

Gli obblighi di "pubblicazione" dei dati sul sito web istituzionale delle PPAA, infatti, oltre ad avere una consistenza giuridica diversa della disciplina in materia di pubblicità legale, non fanno venir meno la disciplina sulla protezione dei dati personali dettata dal c.d. Codice Privacy (d.lgs. 196/2003). Da qui l'esigenza di coordinare in un quadro unitario le rispettive discipline, esigenza che ha dato origine alle più recenti Linee guida del Garante per la protezione dei dati personali:


DOCUMENTAZIONE

Per ulteriori approfondimenti:

→http://www.garanteprivacy.it/regolamentoue

→ANAC - Linee guida in materia di trasparenza

→protezionedatipersonali.it/ [autore: avv. Bruno Saetta]

Manuale sul diritto europeo in materia di protezione dei dati, edizione 2018

→Guida all'applicazione del Regolamento Europeo in materia di protezione dei dati personali, Garante per la protezione dei dati personali, edizione aggiornata febbraio 2018

Definizioni fondamentali

DATI PERSONALI

Qualsiasi informazione può essere ritenuta un dato personale, a condizione che si riferisca a una persona identificata o identificabile, l’interessato.  I dati personali riguardano le informazioni sulla vita privata di una persona, comprese le attività professionali, nonché le informazioni sulla sua vita pubblica.

CATEGORIE PARTICOLARI DI DATI PERSONALI

Si tratta dei dati personali che, per loro natura, possono presentare in fase di trattamento un rischio per gli interessati e che, pertanto, abbisognano di maggiore protezione (ad esempio, i dati che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzione religiose o l'appartenenza sindacale; i dati genetici e biometrici; i dati relativi alla salute e alla vita sessuale). 

TRATTAMENTO DI DATI PERSONALI

Si tratta di qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.


EVOLUZIONE DELLA PROTEZIONE DEI DATI PERSONALI

  • Ai sensi dell’art. 8 della CEDU, il diritto alla protezione per quanto riguarda il trattamento dei dati personali è parte del diritto al rispetto della vita privata e familiare, del domicilio e della corrispondenza.
  • La Convenzione n. 108 del CdE è il primo, e ad oggi l’unico, strumento internazionale giuridicamente vincolante che tratta della protezione dei dati. La Convenzione è stata oggetto di un processo di modernizzazione, completato con l'adozione del Protocollo di modifica il 18 aprile 2018.
  • Il diritto dell’UE ha riconosciuto la protezione dei dati come un diritto fondamentale distinto. Ciò è sancito dall’art. 16 del trattato sul funzionamento dell’UE nonché dall’art. 8 della Carta dei diritti fondamentali dell’UE.
  • Il diritto dell’UE ha disciplinato per la prima volta la protezione dei dati attraverso la direttiva sulla tutela dei dati nel 1995 (Direttiva 95/46/Ce, sulla base della quale era stato adottato il Codice Privacy (d.Lgs. n. 196/2003).
  • Alla luce dei rapidi sviluppi tecnologici, nel 2016 l’UE ha adottato una nuova legislazione per adeguare le norme in materia di protezione dei dati all’era digitale. Il regolamento generale sulla protezione dei dati (anche solo GDPR) è diventato applicabile nel maggio 2018, abrogando la direttiva sulla tutela dei dati. Il legislatore europeo ha scelto questo strumento perché la Direttiva del 1995 era stata recepita dagli Stati in modo disomogeneo. Il regolamento invece, avendo un'applicazione diretta, dovrebbe garantire una maggiore armonizzazione.

Oggetto del regolamento è la “tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati” ed ha come obiettivo la creazione di un unico mercato digitale tra i vari Stati dell’Unione.

Titolare del trattamento

Artt. 4 e 24 reg. UE 2016/679

DEFINIZIONE

Il Titolare del trattamento è colui che ha il potere di determinare le finalità ed i metodi di trattamento dei dati personali ed è, pertanto, giuridicamente responsabile dell'ottemperanza degli obblighi previsti dalla normativa, sia nazionale che comunitaria, in materia di protezione dei dati personali.

Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi, mediante accordo interno, determinano le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal GDPR.

Nel settore privato il Titolare può essere una persona fisica o una persona giuridica. Nel settore pubblico, invece, è sempre una persona giuridica.

OBBLIGHI DEL TITOLARE

  • dovere di accountability, ossia deve prendere tutte le decisioni e approntare tutte le misure necessarie per l'efficace protezione dei dati di cui è in possesso;
  • nomina del Responsabile della protezione dati (DPO/RPD);
  • predispone le misure e gli accorgimenti di privacy by design e privacy by default;
  • deve tenere il registro delle attività di trattamento;
  • deve svolgere la valutazione d'impatto;
  • deve segnalare le violazioni di dati all'autorità di controllo;
  • deve adoperarsi affinché sia data risposta alle richieste degli interessati.

Responsabile del trattamento

Artt. 4 e 28 reg. UE 2016/679

DEFINIZIONE

È la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che tratta dati personali per conto del titolare del trattamento. Pertanto quest'ultimo deve poter esercitare un adeguato controllo sull'operato del responsabile.

Dal GDPR si evince che il responsabile del trattamento è un soggetto esterno.

Un esempio di responsabile del trattamento può essere una società specializzata nel trattamento di dati per la gestione delle risorse umane per altre aziende.

NOMINA DEL RESPONSABILE

I trattamenti realizzati da parte di un Responsabile sono disciplinati da un contratto o da un atto giuridico a norma del diritto dell'Unione o degli Stati membri, ex art. 28 del GDPR.

OBBLIGHI DEL RESPONSABILE

Tra gli obblighi primari si ricordano:

  • tenuta dei registri delle attività di trattamento;
  • eventuale nomina di un sub-responsabile;
  • nomina del Responsabile della protezione dati;
  • informazione continua e tempestiva con il Titolare del trattamento (ad esempio, per data breach);
  • organizzazione del trattamento in forza dei principi di privacy by design e privacy by default;
  • riscontro alle richieste degli interessati. 

DPO: Responsabile protezione dati (RPD)

Art. 37, 38 e 39 Regolamento UE 2016/679

Il GDPR prevede la nuova figura del “Data Protection Officier” (abbreviato DPO), in italiano "Responsabile della Protezione dei Dati personali" (RPD). Nonostante il Garante per la protezione dei dati prediliga il termine italiano (RPD), nel linguaggio comune e nella documentazione in lingua italiana è molto diffuso anche l'acronimo inglese DPO.

Tale figura, che deriva dalla legislazione tedesca sulla protezione dei dati, assolve a funzioni di supporto e controllo, consultive, formative e informative relativamente all'applicazione della normativa in materia di privacy.

TUTTO SUL RESPONSABILE DELLA PROTEZIONE DEI DATI (RPD): 

DOCUMENTAZIONE

Indicazioni tratte dalla seguente documentazione:

→GARANTE PRIVACY, Responsabile protezione dati [http://www.garanteprivacy.it]

→WP29, Linee-guida sui responsabili della protezione dei dati (RPD), 5 aprile 2017

→CODAU, Linee guida in materia di privacy e protezione dei dati personali in ambito universitario, Versione 1.1 – novembre 2017, pp. 21-22

→CODAU, L'incarico di Responsabile della protezione dati personali GDPR (Reg. UE 2016/679)

→SAETTA B., Protezionedatipersonali.it/data-protection-officer

→MANUALE RPD, Linee guida destinate ai Responsabili della protezione dei dati nei settori pubblici e parapubblici per il rispetto del Regolamento generale sulla protezione dei dati dell'Unione Europea

→MESSINA A.C., Responsabile della protezione dei dati, Dir. e Pratica Lav., 2017, 42, 2545

→GARANTE PRIVACY, Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico [www.garanteprivacy.it]

Obbligo di designazione e comunicazioni

DESIGNAZIONE

L'Università di Padova, come tutte le PA, in qualità di Titolare del trattamento ha l’obbligo di nominare un RPD/DPO, ai sensi della lettera a), art. 37, par. 1, del Regolamento UE 2016/679.

L'Università può designare un proprio dipendente oppure un soggetto esterno, il quale opera sulla base di un contratto di servizi, avendo cura di verificare che non vi siano conflitti di interesse (art. 37, par. 6, Regolamento UE 2016/679).

E' necessario un atto formale di designazione, il quale è parte costitutiva dell'adempimento, anche quando la designazione avviene nei confronti di un soggetto interno all'ente (sul sito del Garante per la protezione dei dati è disponibile uno Schema di atto di designazione del Responsabile della Protezione dei Dati).

COMUNICAZIONI

Immediatamente dopo la nomina, il nominativo del RPD/DPO e i relativi dati di contatto devono essere comunicati al Garante per la protezione dei dati (art. 37, par. 7, Regolamento UE).  

Sul sito del Garante sono disponibili le istruzioni per la comunicazione del nominativo e dei dati di contatto:

Il Titolare del trattamento deve comunicare la designazione del RPD/DPO ufficialmente al personale dell'ente.

PUBBLICITA'

La nomina del responsabile della protezione e i dati di contatto (recapito postale, numero telefonico, indirizzo di posta elettronica) devono essere indicati nell’informativa privacy, pubblicati sul sito web dell’ente e inseriti nel registro dei trattamenti.

Oltre ai dati di contatto, è consigliato pubblicare anche il nominativo, ma non è obbligatorio.

Autonomia e risorse

AUTONOMIA, CONFLITTI DI INTERESSI E INCOMPATIBILITA'

Il RPD/DPO svolge le proprie funzioni in autonomia e in modo del tutto indipendente. Non riceve alcuna istruzione per quanto riguarda l'esercizio dei propri compiti.

Il Regolamento UE consente l'attribuzione al RPD di ulteriori compiti e funzioni, a condizione che non diano adito a conflitto di interessi e purché il RPD abbia tempo sufficiente per l'espletamento degli stessi (art. 38, par. 6, reg. GDPR).

È importante verificare che non vi siano conflitti d’interesse, ossia che il RPD nominato non debba controllare attività nelle quali è direttamente coinvolto.

Un RPD non può rivestire, all’interno dell’organizzazione, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Possono sussistere situazioni di conflitto all’interno dell’organizzazione del titolare riguardo a ruoli manageriali di vertice (Direttore generale, dirigente area finanza, dirigente area comunicazione e marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se comportano la determinazione di finalità o mezzi del trattamento.

È opportuno inoltre valutare se il complesso dei compiti assegnati al RPD siano o meno compatibili con le mansioni ordinariamente affidate ai dipendenti con qualifica non dirigenziale (si rinvia alla Faq n. 2 del documento del Garante per la protezione dei dati "Nuove Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico").

RISORSE NECESSARIE

Il RPD/DPO deve essere dotato delle risorse necessarie per adempiere adeguatamente ai propri obblighi (art. 38, par. 2, Regolamento UE: Il titolare e del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell'esecuzione dei compiti di cui all'articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica»).

Per “risorse” si intendono tanto le dotazioni di tempo quanto quelle materiali: il RPD deve avere il tempo necessario e sufficiente per curare i propri adempimenti e deve poter contare su apporti finanziari, infrastrutturali e umani.

Il Titolare del trattamento deve quindi garantire al RPD/DPO supporto, risorse umane e tempi di lavoro adeguati allo svolgimento della sua funzione.

Nel caso di personale interno deve inoltre essere garantita una formazione permanente per permettergli di rimanere aggiornato sugli sviluppi nel settore della protezione dei dati.

Al RPD deve essere dato ampio accesso alle informazioni e deve essere interpellato per ogni problematica inerente la protezione dei dati e per ogni attività che implica un trattamento dati, fin dalla sua progettazione.

Il RPD/DPO di un mega Ateneo pubblico deve poter contare sulle seguenti risorse:

  • supporto attivo della funzione dei RPD da parte della Governance;
  • tempo sufficiente per espletare i compiti;
  • risorse finanziarie, infrastrutturali (sede, attrezzature, strumentazione);
  • personale qualificato;
  • accesso ai servizi della struttura per ricevere servizi, supporto e informazioni;
  • una formazione permanente.

Requisiti del DPO/RPD

REQUISITI PROFESSIONALI

Se viene nominato un RPD/DPO interno, deve essere designato un dipendente con qualifica dirigenziale ovvero un funzionario di alta professionalità che goda di una posizione organizzativa idonea a svolgere l'incarico con autonomia ed efficacia (Garante per la protezione dei dati, "Nuove Faq sul Responsabile della protezione dei dati (RPD) in ambito pubblico" e CODAU, "L'incarico di Responsabile della protezione dati personali GDPR"). Nei casi in cui la complessità e la mole di dati trattati sono rilevanti, l’incarico può essere dato anche ad un team di persone. In questo caso è necessario individuare una persona specifica quale punto di riferimento.

In base all’art. 37, par. 5, Regolamento UE, il RPD deve essere «designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39». Nel considerando 97 del reg. GDPR si prevede che il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento.

- Conoscenza specialistica → deve essere proporzionata alla sensibilità, complessità e quantità dei dati trattati (ad esempio, se il volume di dati è consistente o se vi è il trasferimento sistematico di dati al di fuori dell’Unione Europea allora al DPO saranno richieste conoscenze più elevate e specifiche).

- Qualità professionali → è richiesta la conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione dei dati, oltre ad un’approfondita conoscenza del reg. GDPR. Inoltre è utile una buona conoscenza del settore di attività e della struttura organizzativa nella quale opera. Se – come nel caso dell’Università – il RPD opera nell’ambito di un’autorità pubblica o di un organismo pubblico, questi deve conoscere le norme e le procedure amministrative applicabili.

- Capacità di assolvere i propri compiti → è necessario che il RPD sia in possesso di qualità personali quali l’integrità e i valori deontologici; deve anteporre sempre l’osservanza delle disposizioni del reg. GDPR. Deve, inoltre, promuovere la cultura della protezione dei dati e l’applicazione dei principi fondamentali.

IL PROBLEMA DELLA CERTIFICAZIONE

La figura del RPD è annoverata tra le professioni non regolamentate.

Alcuni enti certificatori hanno diffuso degli schemi che racchiudono le competenze professionali ritenute necessarie al fine della individuazione della miglior figura (a titolo di esempio, Schema requisiti Profili professionali relativi al trattamento e alla protezione dei dati personali UNI 11697:2017). Il Garante per la protezione dei dati, però, ha ritenuto tali strumenti esclusivamente utili per la verifica del possesso di un livello minimo di conoscenza della disciplina: essi non valgono quale abilitazione allo svolgimento del ruolo di RPD nè possono sostituire il giudizio discrezionale delle PA relativo al possesso delle capacità e conoscenze in materia di protezione dei dati.

Di particolare rilievo è la sentenza del TAR Friuli Venezia Giulia del 13/09/2018 n. 287 la quale ha stabilito che il possesso della certificazione di Auditor/Lead Auditor ISO/IEC/27001 non può essere posto quale requisito di ammissione alla selezione indetta da una P.A. per l’affidamento dell’incarico di RPD.

l 30 novembre 2017 l’Ente Italiano di Normazione (“UNI”) ha reso disponibile sul proprio sito web (raggiungibile all’URL http://store.uni.com/catalogo/index.php/uni-11697-2017.html) la norma UNI 11697:2017 “Attività professionali non regolamentate - Profili professionali relativi al trattamento e alla protezione dei dati personali - Requisiti di conoscenza, abilità e competenza”, con la quale ha definito i requisiti relativi all’attività professionale dei soggetti operanti nell’ambito del trattamento e della protezione dei dati personali, da questi esercitata a diversi livelli organizzativi (pubblico o privato).

Le figure professionali delineate dalla norma UNI sono le seguenti:

  • Data Protection Officer (DPO), figura di supporto al titolare o responsabile del trattamento nell’applicazione e per l’osservanza del Regolamento (UE) 2016/679 (“Regolamento”), in conformità agli articoli 37, 38 e 39 del medesimo;
  • Manager Privacy, figura che assiste il titolare nelle attività di coordinamento di tutti i soggetti che – nell’organizzazione – sono coinvolti nel trattamento di dati personali, garantendo il rispetto delle norme in materia di privacy e il mantenimento di un adeguato livello di protezione dei dati personali;
  • Specialista Privacy, figura che collabora con il Manager Privacy e cura la corretta attuazione del trattamento dei dati personali all’interno dell’organizzazione, svolgendo le attività operative che, di volta in volta, si rendono necessarie durante tutto il ciclo di vita di un trattamento di dati personali;
  • Valutatore Privacy, figura indipendente dal Manager e dallo Specialista Privacy che esamina periodicamente il trattamento dei dati personali, valutando il rispetto alle normative – nazionali, dell’Unione Europea e internazionali – applicabili e approva le misure necessarie per l’eliminazione di eventuali non conformità alla disciplina prescritta.

La norma individua analiticamente gli elementi e i criteri rilevanti ai fini della valutazione del possesso delle competenze per ciascuna figura, elencando qualifiche e requisiti di studio e professionali che i suddetti profili devono possedere.

Compiti e responsabilità del RPD/DPO

COMPITI DEL RPD/DPO

Il RPD svolge le proprie funzioni in autonomia e in modo del tutto indipendente. Non riceve alcuna istruzione per quanto riguarda l'esercizio dei propri compiti.

Il RDP dovrà essere sempre “coinvolto in tutte le questioni riguardanti la protezione dei dati personali”. Il RPD deve vigilare sulla corretta applicazione del regolamento europeo e della normativa nazionale.

I compiti principali e caratterizzanti il suo ruolo sono i seguenti:

  • Deve sorvegliare e promuovere l’osservanza del GDPR (art. 39, par. 1, lett. 6, reg. GDPR), pertanto:

- raccoglie le informazioni per individuare i trattamenti svolti;

- verifica la conformità dei trattamenti;

- rende attività di informazione, di consulenza e di indirizzo nei confronti del Titolare e del Responsabile.

  • Assiste il Titolare del trattamento nella valutazione di impatto sulla protezione dei dati (DPIA) ai sensi dell’art. 39, par. 1, lett. c), reg. GDPR.
  • Deve cooperare con l’autorità di controllo e fare da punto di contatto con tale autorità sulle questioni relative alla protezione dei dati: in questo modo da una parte si facilita l’accesso da parte dell’autorità ai documenti e alle informazioni e, dall’altra, si permette al RPD di contattare agevolmente l’autorità e chiedere delucidazioni.
  • Deve garantire la confidenzialità e il segreto delle comunicazioni che a lui vengono fatte (art. 38, par. 5, reg GDPR).
  • Spesso, nella prassi, realizza l’inventario dei trattamenti e tiene il registro dei trattamenti, diversamente da quanto stabilito dalla lettera dell’art. 30, par. 1 e 2, reg. GDPR.

Il GDPR consente l'attribuzione al RPD di ulteriori compiti e funzioni, a condizione che non diano adito a conflitto di interessi e purché il RPD abbia tempo sufficiente per l'espletamento degli stessi (art. 38, par. 6, reg. GDPR).

RESPONSABILITÀ DEL DPO

Il DPO non risponde personalmente in caso di inosservanza del Regolamento UE da parte del Titolare del trattamento. Il regolamento chiarisce che spetta al Titolare o al Responsabile del trattamento garantire ed essere in grado di dimostrare che le operazioni di trattamento sono conformi alle disposizioni regolamentari (artt. 24, 25 e 28 del GDPR). Quindi l’onere di assicurare il rispetto della normativa in materia di protezione dei dati ricade sul Titolare o sul Responsabile del trattamento.

Nell’assolvimento dei suoi compiti il RPD non può essere penalizzato o rimosso. Le eventuali osservazioni del RPD sull’applicazione del GDPR possono essere non accolte dal Titolare/Responsabile, specificandone i motivi. La responsabilità di eventuali mancanze è comunque a carico del solo Titolare/Responsabile.

Obblighi del Titolare verso il RPD/DPO

Gli obblighi del Titolare del trattamento non si esauriscono con la designazione del RPD/DPO.

In particolare, Il Titolare del trattamento deve coinvolgere tempestivamente e adeguatamente il RPD/DPO in tutte le questioni riguardanti la protezione dei dati (art. 38, par. 1, reg. GDPR) fin dalle fasi iniziali, a partire dalla progettazione di tutte le attività di trattamento dei dati (c.d. privacy by design).

Il Titolare del trattamento deve inoltre:

Il RPD/DPO di un mega Ateneo pubblico deve poter contare sul supporto attivo della Governance. In concreto, devono essere messe a disposizione del RPD interno le risorse umane, finanziarie e infrastrutturali necessarie, oltre all'accesso ai servizi interni e a una formazione permanente.

Data breach notification

Art. 33 e 34 reg. UE 2016/679

Il GDPR prevede che tutti i Titolari dovranno notificare all'Autorità di controllo e, eventualmente, agli interessati la violazione di dati personali (conosciuta anche come data breach). Il GDPR, quindi, introduce il diritto degli interessati ad essere informati delle violazioni relative ai propri dati personali.

Tutti i Titolari del trattamento (pubblici e privati) in caso di irregolarità nell’utilizzo dei dati personali che detengono, senza ingiustificato ritardo e, ove possibile, entro e non oltre 72 ore dopo esserne venuti a conoscenza, hanno l’obbligo di notificare al Garante e agli interessati la violazione. Se è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche, la notifica all'autorità di controllo non è richiesta. Mentre l'art. 34 GDPR precisa che l'obbligo di notifica agli interessati grava sul Titolare solo se la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Indipendentemente dagli obblighi di notifica suddetti, il Titolare del trattamento deve comunque conservare la documentazione delle violazioni (art. 33, paragrafo 5 GDPR). Il compito di tenere tali registri potrebbe essere affidato al RPD, come suggerito dal Gruppo di lavoro art. 29.

Gli articoli 33 e 34 del GDPR  disciplinano rispettivamente l’obbligo in capo al titolare del trattamento di portare a conoscenza il Garante del verificarsi di una violazione di sicurezza, la tipologia della stessa, le misure adottate e le prevedibili conseguenze e (l’art 34) l’obbligo di comunicazione all’interessato del verificarsi di una violazione di sicurezza. Da una lettura coordinata degli articoli 33 e 34 del GDPR è possibile comprendere come la procedura da seguire in caso di violazione si comporrà di due momenti: in primo luogo, subito dopo la venuta a conoscenza della violazione, il titolare adotterà le contromisure e ne darà comunicazione al Garante entro 72 ore. La seconda fase è caratterizzata dalla comunicazione all’interessato dell’avvenuta violazione.

Per approfondimenti si rinvia alle Linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679, adottate il 3 ottobre 2017, versione emendata e adottata in data 6 febbraio 2018.

Privacy by design e privacy by default

Art. 25 reg. UE 2016/679

PRIVACY BY DESIGN

IL PRINCIPIO

Il GDPR ha inteso inserire l'incombente della protezione dei dati tra gli adempimenti normali e ordinari di ogni operazione che comporti il trattamento dei dati personali, elaborando il principio della privacy by design: la tutela della privacy non deve costituire un mero incombente da trattare in coda, ma piuttosto una modalità operativa che permea fin dall'inizio ogni processo che comporti il trattamento di dati personali. 

Quindi, in funzione del principio della privacy by design, il Titolare del trattamento deve adottare delle misure protettive dei dati personali fin dalla progettazione dello strumento, del prodotto o del sistema. 

LE MISURE

Il GDPR raccomanda l'utilizzo di misure tecniche quali la pseudonimizzazione (sostituzione delle informazioni personali con un codice) e la cifratura (codifica dei messaggi i quali sono leggibili soltanto ai possessori della chiave). 

PRIVACY BY DEFAULT

IL PRINCIPIO

Il co. 2 dell'art. 25 GDPR introduce il principio della protezione dei dati per impostazione predefinita. Quindi, per impostazione predefinita, i Titolari devono trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. 

Nel trattamento dei dati il Titolare deve tenere in debita considerazione: la quantità dei dati raccolti, la portata ed ampiezza del trattamento, il periodo di conservazione e l'accessibilità dei dati. Ne deriva che ogni operazione che comporti il trattamento di dati personali deve essere (prima impostata e poi) eseguita di default nel modo meno invasivo possibile per la privacy degli interessati. 

I MECCANISMI DI CERTIFICAZIONE

Il 3 co., art. 25, GDPR dà al Titolare del trattamento la possibilità di dimostrare la conformità del trattamento ai principi della privacy by design e privacy by default attraverso un meccanismo di certificazione ex art. 42, GDPR.

L'adesione ad un meccanismo di certificazione non è, tuttavia, sufficiente a dimostrare la conformità del trattamento: oltre alla certificazione dovrà essere contemplata una serie di altri indici, tra cui l'adeguatezza delle procedure e la presenza di documentazione attestante le decisioni prese. 

Valutazione d'impatto (privacy impact assessment)

Art. 35 reg. UE 2016/679

Prima di procedere al trattamento, le PA hanno l’obbligo di valutare l’impatto del trattamento sulla tutela dei dati personali.

DEFINIZIONE

Un processo volto a descrivere il trattamento, valutarne la necessità e la proporzionalità, nonché a contribuire a gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali, valutando detti rischi e determinando le misure per affrontarli.

FINALITÀ

La valutazione d’impatto è strumento di responsabilizzazione (accountability) del Titolare del trattamento poiché garantisce il rispetto dei principi del GDPR e dimostra la conformità dei trattamenti al regolamento medesimo.

OBBLIGO DELLA VALUTAZIONE

L’art. 35 del GDPR fa riferimento al possibile rischio elevato per i diritti e le libertà delle persone fisiche. Pertanto, quando dalla valutazione sommaria dei rischi, emerge un elevato - potenziale - pregiudizio per i diritti e le libertà delle persone fisiche il Titolare deve curare la valutazione d'impatto.

CHI 

L'obbligo della valutazione grava sul Titolare del trattamento, il quale procede alla valutazione con la collaborazione del Responsabile del trattamento. Il Titolare chiede il parere del DPO.

Il par. 9, art. 35, GDPR, prevede che il Titolare del trattamento senta gli interessati o i loro rappresentanti.

QUANDO

La valutazione deve essere condotta prima di procedere al trattamento (art. 35, par. 1 e 10, GDPR). Essa deve essere rinnovata periodicamente e aggiornata, in particolare se sono intervenute delle modifiche nel trattamento dei dati. 

 

Ulteriori caratteri della valutazione d'impatto

GLI INDICI TESTUALI DELLA VALUTAZIONE

  • RISCHIO - uno scenario che descrive un evento e le sue conseguenze, stimato in termini di gravità e probabilità;
  • DIRITTI E LIBERTÀ DELLE PERSONE FISICHE - l'espressione si riferisce principalmente ai diritti alla protezione dei dati e alla vita privata, ma include anche altri diritti fondamentali quali la libertà di parola, la libertà di pensiero, la libertà di circolazione, il divieto di discriminazione, il diritto alla libertà di coscienza e di religione;
  • RISCHI ELEVATI - il GDPR riporta, all'art. 35, par. 3, alcuni esempi di casi nei quali un trattamento può presentare un rischio elevato e, pertanto, richiedere la valutazione d'impatto. L'elenco costituisce una mera esemplificazione e la necessità di una siffatta valutazione deve essere ponderata caso per caso. 

La valutazione d’impatto è richiesta in particolare nei seguenti casi:

 • valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, sulla quale si fondano decisioni che hanno effetti giuridici o incidono su dette persone fisiche;

 • trattamento su larga scala di dati sensibili e giudiziari;

 • sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

I RISCHI ELEVATI SECONDO IL WP29

Il WP29 ha elaborato Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato", nelle quali sono indicati nove criteri che il Titolare del trattamento può considerare per decidere se effettuare la valutazione d'impatto. Se il trattamento soddisfa due criteri, allora il Titolare deve considerare di fare una valutazione d’impatto. 

Il principio è che più criteri sono soddisfatti, maggiore è – astrattamente – il rischio per i diritti e le libertà dell’interessato. Nulla toglie che il Titolare ritenga di procedere alla valutazione anche in presenza di un solo criterio.

Nella stessa guida il WP29 introduce una serie di casi in presenza dei quali la valutazione d'impatto deve essere fatta e una serie di casi nei quali invece la valutazione è esclusa. Si sottolinea che si tratta di indicazioni di massima, dalle quali il Titolare può sempre discostarsi.

CONTENUTO DELLA VALUTAZIONE 

Il GDPR fissa all’art. 35, par. 7 il contenuto minimo della valutazione d’impatto. 

La valutazione d’impatto deve contenere:

  1. la descrizione dei trattamenti previsti e delle finalità del trattamento;
  2. una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  3. una valutazione dei rischi per i diritti e le libertà degli interessati;
  4. le misure previste per affrontare i rischi.

PUBBLICAZIONE DELLA VALUTAZIONE

Il GDPR non stabilisce un obbligo di pubblicazione della valutazione d’impatto; si tratta di una decisione discrezionale del Titolare del trattamento. Il WP29 raccomanda comunque la pubblicazione almeno di alcune parti, ad esempio di una sintesi o della conclusione della valutazione, al fine di stimolare la fiducia nei confronti dei trattamenti effettuati dal Titolare.

CONSULTAZIONE DELL'AUTORITÀ DI CONTROLLO

Effettuata la valutazione d’impatto e predisposte le adeguate misure di sicurezza, se i rischi si considerano sufficientemente attenuati allora il trattamento può procedere senza la consultazione dell’autorità di controllo.

Se, viceversa, il Titolare non sia in grado di trovare misure sufficienti per ridurre i rischi a un livello accettabile (ossia i rischi restano comunque elevati) è necessario provocare l’intervento dell’autorità di controllo.

Oltre al caso appena descritto, è necessario invocare l’autorità di controllo ogniqualvolta ciò sia prescritto dal diritto dello Stato membro o sia richiesta una autorizzazione preliminare al trattamento (art. 36, GDPR).

SANZIONI

La mancata esecuzione della valutazione d’impatto quando essa è obbligatoria (art. 35, par. 1, 3 e 4), la sua esecuzione in maniera errata (art. 35, par. 2, da 7 a 9) o la mancata consultazione dell’autorità di controllo (art. 36, par. 3, lett. e) espongono alla sanzione amministrativa pecuniaria di importo massimo di Euro 10 milioni oppure pari al massimo al 2% del fatturato complessivo dell’anno precedente.

SOFTWARE PER LA REDAZIONE DELLA VALUTAZIONE

Si segnala che il Garante per la protezione dei dati personali ha collaborato all'adattamento italiano del software elaborato dall'Autorità francese. È possibile scaricare il software a questo indirizzo, avendo cura di lanciare l'installazione in lingua italiana. 

Diritti dell'interessato

Artt. 11 e ss. reg. UE 2016/679

REGOLE COMUNI PER L'ESERCIZIO DEI DIRITTI

  1. il Titolare del trattamento deve agevolare l’esercizio dei diritti da parte dell’interessato, adottando ogni misura (tecnica e organizzativa) a ciò idonea;
  2. il Responsabile del trattamento è tenuto a collaborare con il Titolare ai fini dell'effettivo esercizio dei diritti;
  3. l’esercizio dei diritti è, in linea di principio, gratuito per l’interessato, ma possono esservi eccezioni;
  4. sono ammesse deroghe ai diritti riconosciuti dal regolamento, ma solo sul fondamento di disposizioni normative nazionali, ai sensi dell’articolo 23 nonché di altri articoli relativi ad ambiti specifici; 
  5. il termine per la risposta all’interessato è, per tutti i diritti (compreso il diritto di accesso), 1 mese, estendibile fino a 3 mesi in casi di particolare complessità; 
  6. il riscontro all’interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità; può essere dato oralmente solo se così richiede l’interessato stesso;
  7. la risposta all'interessato deve essere concisa, trasparente e accessibile, fornita con linguaggio semplice e chiaro.

DIRITTO DI ACCESSO (ART. 15)

Il diritto di accesso prevede in ogni caso il diritto di ricevere una copia dei dati personali oggetto di trattamento. Fra le informazioni che il titolare deve fornire non rientrano le “modalità” del trattamento, mentre occorre indicare il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi.

DIRITTO DI CANCELLAZIONE o DIRITTO ALL'OBLIO (ART. 17)

Il diritto cosiddetto “all’oblio” si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata. Si prevede, infatti, l’obbligo per i Titolari (se hanno “reso pubblici” i dati personali dell’interessato: ad esempio, pubblicandoli su un sito web) di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi “qualsiasi link, copia o riproduzione” (art. 17, par. 2, GDPR). 

Ha un campo di applicazione più esteso di quello di cui all’art. 7, comma 3, lettera b), del Codice, poiché l’interessato ha il diritto di chiedere la cancellazione dei propri dati, per esempio, anche dopo revoca del consenso al trattamento (art. 17, par. 1, GDPR).

DIRITTO DI LIMITAZIONE DEL TRATTAMENTO (ART. 18)

Si tratta di un diritto diverso e più esteso rispetto al “blocco” del trattamento di cui all’art. 7, comma 3, lettera a), del Codice: in particolare, è esercitabile non solo in caso di violazione dei presupposti di liceità del trattamento (quale alternativa alla cancellazione dei dati stessi), bensì anche se l’interessato chiede la rettifica dei dati (in attesa di tale rettifica da parte del titolare) o si oppone al loro trattamento ai sensi dell’art. 21 GDPR (in attesa della valutazione da parte del Titolare).

Esclusa la conservazione, ogni altro trattamento del dato di cui si chiede la limitazione è vietato a meno che ricorrano determinate circostanze (consenso dell’interessato, accertamento diritti in sede giudiziaria, tutela diritti di altra persona fisica o giuridica, interesse pubblico rilevante).

DIRITTO ALLA PORTABILITÀ DEI DATI (ART. 20)

Si tratta di uno dei nuovi diritti previsti dal regolamento, anche se non è del tutto sconosciuto ai consumatori (si pensi alla portabilità del numero telefonico).

Non si applica ai trattamenti non automatizzati (quindi non si applica agli archivi o registri cartacei) e sono previste specifiche condizioni per il suo esercizio; in particolare, sono portabili solo i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato (quindi non si applica ai dati il cui trattamento si fonda sull’interesse pubblico o sull’interesse legittimo del Titolare, per esempio), e solo i dati che siano stati “forniti” dall’interessato al Titolare.

Inoltre, il Titolare deve essere in grado di trasferire direttamente i dati portabili a un altro Titolare indicato dall’interessato, se tecnicamente possibile

Per approfondimenti si rinvia al sito del Garante per la protezione dei dati

Principio di accountability (responsabilizzazione e obbligo di rendicontazione)

Art. 24 reg. UE 2016/679

Con il GDPR viene introdotto nel nostro ordinamento il cosiddetto principio di accountability (in italiano, principio di responsabilizzazione). Tale principio - che rappresenta un'importante novità - lascia ampie facoltà di decisione al Titolare del trattamento, il quale decide autonomamente le modalità, i limiti del trattamento e le misure protettive da adottare, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel GDPR.

  • Il primo criterio è quello della protezione dei dati by design e by default (ex art. 25 GDPR). 
  • Il secondo criterio è, invece, quello del rischio inerente al trattamento. Si tratta del rischio di impatti negativi sulle libertà e sui diritti degli interessati, il quale deve essere valutato prima di procedere all'effettivo trattamento (e, se del caso, alla valutazione del rischio seguirà la valutazione d'impatto). Una volta valutato il rischio, il Titolare decide se iniziare il trattamento o se consultare l'autorità di controllo.

Quindi, in forza dell'accountability, il Titolare del trattamento deve documentare ogni processo, comportamento, azione e decisione in materia di protezione dei dati personali, così da poter dimostrare in ogni momento la conformità dei trattamenti al GDPR. 

Per approfondimenti di rinvia alla guida del Garante per la protezione dei dati Approccio basato sul rischio e misure di accountability

Registro dei trattamenti

Art. 30 reg. UE 2016/679

Per essere in grado di dimostrare la conformità ed essere ritenute responsabili, i soggetti - tanto pubblici quanto privati - hanno spesso l’obbligo giuridico di documentare e registrare le loro attività. Così accade anche in tema di protezione dei dati personali rispetto a tutte le operazioni di trattamento che sono svolte.

DEFINIZIONE

E’ un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del GDPR) relative alle operazioni di trattamento svolte dal Titolare e, se nominato, dal Responsabile del trattamento.

CHI È OBBLIGATO

Sono obbligati alla redazione del registro sia i Titolari del trattamento sia i Responsabili del trattamento. 

In ambito privato, i soggetti obbligati sono i seguenti:

  • imprese o organizzazioni con almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell'interessato;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’art. 9, par. 1, GDPR, o di dati personali relativi a condanne penali e a reati di cui all’art. 10, GDPR.

La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, sono invitati tutti i Titolari di trattamento e i Responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche.

CONTENUTO DEL REGISTRO DEI TRATTAMENTI

Le informazioni da documentare comprendono:

  • nome e dati di contatto del titolare del trattamento e del contitolare del trattamento, del rappresentante del titolare del trattamento e del RPD, ove applicabile;
  • finalità del trattamento;
  • descrizione delle categorie di interessati e delle categorie di dati personali connessi al trattamento;
  • informazioni sulle categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
  • informazioni che indichino se sono stati effettuati, o saranno effettuati, trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali; o
  • ove possibile, i termini previsti per la cancellazione delle diverse categorie di dati personali, nonché una descrizione generale delle misure tecniche adottate per garantire la sicurezza del trattamento.

Il GDPR non individua un termine standard per la conservazione dei dati. L'art. 5, par. 1 lett. e) indica che devono essere conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; e che possono essere conservati per periodi più lunghi esclusivamente per finalità di pubblico interesse, di ricerca scientifica o storica o a fini statistici. In sede di predisposizione dell'informativa, inoltre, ai sensi dell'art. 13, par. 2, lett. a) il Titolare comunica all'interessato il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo.

Oltre a quanto stabilito dall'art. 30 GDPR, il Titolare o il Responsabile può introdurre ogni altra informazione che ritenga utile riportare nel registro.

FORMA DEL REGISTRO

Esso deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta formulata dal Garante per la protezione dei dati personali. 

Per approfondimenti si rinvia, tra gli altri, anche alle Faq sul registro delle attività di trattamento del Garante per la protezione dei dati. Il Garante ha anche fornito due modelli di registro semplificato, rispettivamente per il Titolare e per il Responsabile del trattamento.

Obblighi di trasparenza

Art. 50 e 12 reg. UE 2016/679

La trasparenza è un aspetto che da tempo si è consolidato nel diritto dell'UE. Esso mira a infondere fiducia nei processi che riguardano i cittadini, permettendo loro di comprenderli e, se necessario, di opporvisi. Inoltre, è espressione del principio di correttezza del trattamento dei dati personali ex art. 8 della Carta dei diritti fondamentali dell'Unione Europea. Non meno importante è che la trasparenza è contemplata tra i requisiti del trattamento ai sensi dell'art. 5 GDPR, insieme alla liceità e alla correttezza. 

DEFINIZIONE

È il "considerando 39" del GDPR che fornisce una definizione del concetto di trasparenza: Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li riguardano nonché la misura in cui i dati personali sono o saranno trattati. Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro. Tale principio riguarda, in particolare, l’informazione degli interessati sull’identità del titolare del trattamento e sulle finalità del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano...

LA TRASPARENZA DECLINATA

Ai sensi dell'art. 12 GDPR le informazioni e le comunicazioni debbono rispettare i seguenti criteri:

  • devono essere concise, trasparenti, intellegibili e facilmente accessibili; 
  • devono essere formulate con linguaggio semplice e chiaro, soprattutto quando gli interessati sono minori;
  • devono essere fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici.

Le informazioni da fornire all'interessato sono quelle indicate agli artt. 13 e 14 del GDPR. Il Titolare del trattamento deve scegliere le misure più appropriate, circa il formato e le modalità, con le quali rendere le informazioni prescritte. 

Inoltre, ai fini di una maggiore trasparenza ed immediatezza, le informazioni riguardanti il trattamento possono essere date anche mediante il ricorso a strumenti di visualizzazione (con particolare riferimento a icone, meccanismi di certificazione, sigilli, marchi ecc.).

La trasparenza è, poi, fondamentale in tema di esercizio dei diritti degli interessati.

Per approfondimenti si rinvia alle Linee guida sulla trasparenza ai sensi del regolamento 2016/679 del WP29. 

Adesione ai codici di condotta o a meccanismi di certificazione

Art. 40 e 42 reg. UE 2016/679

I responsabili o titolari del trattamento ( “o gli altri organismi rappresentanti le categorie di titolari del trattamento”) possono elaborare codici di condotta al fine di precisare l’applicazione del GDPR. Gli stessi possono dimostrare la conformità al regolamento mediante l’adesione a un meccanismo di certificazione della protezione dei dati nonché di sigilli e marchi.

I CODICI DI CONDOTTA

ADESIONE

L'adesione a un codice di condotta è su base facoltativa ma tale adesione offre vantaggi significativi sia agli interessati sia ai Titolari e ai Responsabili del trattamento.

FINALITÀ

I codici di condotta sono destinati ad essere utilizzati in diversi settori al fine di delineare e precisare l'applicazione del GDPR e proprio in ragione di tale finalità il GDPR incoraggia l'adozione di codici di condotta differenziati e peculiari a seconda dell'ambito. 

Tali codici forniscono orientamenti dettagliati che adattano i requisiti di legge a settori specifici e promuovono la trasparenza delle attività di trattamento. 

I Titolari del trattamento e i Responsabili del trattamento possono inoltre utilizzare l’adesione ai codici come prova a dimostrazione della loro conformità con il diritto dell’UE e come mezzo per rafforzare la loro immagine pubblica in quanto organizzazioni che attribuiscono la priorità alla protezione dei dati e si impegnano in tal senso nello svolgimento delle loro attività.

LA CERTIFICAZIONE

ADESIONE

Analogamente all'adesione ai codice di condotta, anche la certificazione ai sensi dell'art. 42 GDPR è volontaria.

FINALITÀ

Oltre ai codici di condotta, i meccanismi di certificazione e i sigilli e i marchi di protezione dei dati costituiscono un altro mezzo attraverso il quale i Titolari del trattamento e i Responsabili del trattamento possono dimostrare la conformità al GDPR.

CARATTERI DELLA CERTIFICAZIONE

La procedura di certificazione è trasparente e gestita da appositi organismi di certificazione o dall'autorità di controllo. La durata delle certificazioni è pari a tre anni (rinnovabili).

I Titolari del trattamento e i Responsabili del trattamento che scelgono di aderire a un meccanismo di certificazione possono ottenere maggiore visibilità e credibilità, dal momento che le certificazioni, i sigilli e i marchi consentono agli interessati di valutare rapidamente il livello di protezione dei dati di un’organizzazione ai fini del trattamento dei dati. 

Si consideri, però, che il possesso della certificazione non riduce (e tanto meno elide) la responsabilità del Titolare e del Responsabile del trattamento quanto alla conformità del trattamento agli obblighi del GDPR. 

Misure tecniche e organizzative

Art. 32 reg. UE 2016/679

La sicurezza è un obiettivo primario del GDPR. Quindi, esso individua la necessità della costruzione di un sistema di sicurezza, formato da misure sia tecniche sia organizzative, che sia in grado di ridurre i rischi presentati dal trattamento. 

DEFINIZIONI

Per misure tecniche si devono intendere tutte quelle metodologie - soprattutto di tipo informatico - che consentono, mediante l'utilizzo di accorgimenti tecnici, di controllare e limitare l'accesso ai dati personali nonché di impedire la identificazione del soggetto interessato. 

Per misure organizzative si intendono, invece, tutte le azioni e le iniziative che predispongono il Titolare del trattamento e il Responsabile del trattamento al rispetto dei principi posti dal GDPR. 

SOGGETTI OBBLIGATI

Sono obbligati il Titolare del trattamento e il Responsabile del trattamento. È lo stesso art. 32 GDPR che pone l'obbligo di mettere in atto le misure tecniche e organizzative adeguate in capo ad entrambe le figure. 

LE MISURE

L'art. 32 riporta un elenco non esaustivo di misure di sicurezza. Tra le misure raccomandate vi sono:

  • la pseudonimizzazione e cifratura dei dati;
  • la capacità di assicurare permanentemente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi;
  • la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati in casi di incidente;
  • una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure.

A differenza di quanto era previsto nell'allegato B al Codice Privacy, oggi non c'è più un elenco di misure di sicurezza da adottare al fine di garantire la protezione dei dati. Il GDPR ha, invece, sposato il c.d. principio della responsabilizzazione (accountability): viene lasciata rilevante discrezionalità al Titolare e al Responsabile del trattamento quanto alla valutazione dei rischi, prima, e alla adozione delle misure, poi. 

ESEMPI DI MISURE ADOTTABILI

Di tipo tecnico:

  • autenticazione degli utenti;
  • gestione delle autorizzazioni;
  • tracciamento degli accessi;
  • sicurezza delle postazioni fisiche di lavoro;
  • cifratura e pseudonimizzazione;
  • protezione dei locali fisici.

Di tipo organizzativo:

  • sensibilizzazione e formazione del personale;
  • istruzioni chiare e precise;
  • adozione di procedure standard; 
  • pianificazione di controlli interni periodici;
  • adesione a codice di condotta o meccanismi di certificazione.

→ Misure minime di sicurezza ICT per le pubbliche amministrazioni (Circolare AGID n.2/2017)

→ Criteri per la qualificazione di servizi SaaS per il Cloud della PA (Circolare n. 3 del 9 aprile 2018)

→ Linee guida su acquisizione e riuso di software per le P.A. (13/05/2019)

→ Tutte le linee guida AGID

Sanzioni

Art. 83 reg. UE 2016/679

IL DOPPIO BINARIO

In tema di sanzioni esiste il c.d. doppio binario: da un lato vi sono le sanzioni amministrative pecuniarie previste all'art. 83 GDPR, dall'altro le altre sanzioni - diverse dalle prime - la cui definizione è demandata ai singoli Stati membri (art. 84 GDPR). 

Le sanzioni amministrative pecuniarie sono inflitte in aggiunta ovvero in luogo di quelle misure c.d. correttive adottabili dall’Autorità di controllo ai sensi dell’art. 58, par. 2, GDPR (a titolo di esempio, avvertimenti, ammonimenti, ingiunzioni finalizzate ad ottenere il rispetto delle richieste dell’interessato, limitazioni al trattamento dei dati, ecc.).

LA MISURA (massima)

Sono fissati due valori massimi, 10 e 20 milioni di Euro. Qualora il fatturato delle imprese sia superiore, la sanzione è commisurata calcolando il 2% o il 4% sul fatturato delle imprese, a seconda del tipo di violazione commessa.

A CHI VIENE INFLITTA LA SANZIONE

Le sanzioni amministrative pecuniarie possono essere inflitte non solo ai Titolari del trattamento, ma anche ai Responsabili del trattamento nella misura in cui questi ultimi non abbiano adempiuto agli obblighi che il GDPR pone a loro carico.

Non figura, invece, tra i soggetti passivi il Responsabile della protezione dei dati (DPO).

Altre sanzioni

Si aggiungono poi:

a)       Risarcimento del danno in favore dell’interessato che abbia subito un danno materiale o immateriale (art. 82);

b)      Sanzioni penali – esse sono stabilite da ciascun stato membro (art. 84). Nel caso dell’Italia, a seguito dell’emanazione del decreto di adeguamento al GDPR, queste sono le fattispecie penali previste:

    • Trattamento illecito di dati (art. 167 Cod. Privacy, totalmente riscritto);
    • Comunicazione e diffusione illecita di dati personali (art. 167-bis Cod. Privacy, reato nuovo);
    • Acquisizione fraudolenta di dati personali (art. 167-ter Cod. Privacy);
    • False attestazioni al Garante (art. 168 Cod. Privacy);
    • Interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante (art. 168, co. 2, Cod. Privacy, nuovo reato);
    • Inosservanza dei provvedimenti del Garante (art. 170 Cod. Privacy);
    • Violazione in materia di controlli a distanza dei lavoratori (artt. 4 e 8, Statuto dei lavoratori).

TRASPARENZA

Le recenti modifiche legislative in materia di pubblicità e trasparenza dell'attività della pubblica amministrazione (d.lgs. 33/2013 come modificato dal d.lgs. 97/2016) richiedono di riconsiderare la portata della disciplina in materia di protezione dei dati personali, con particolare riferimento all'adempimento degli obblighi di pubblicazione sul web previsti dalle disposizioni di riferimento.

Gli obblighi di "pubblicazione" dei dati sul sito web istituzionale delle PPAA, infatti, oltre ad avere una consistenza giuridica diversa della disciplina in materia di pubblicità legale, non fanno venir meno la disciplina sulla protezione dei dati personali dettata dal c.d. Codice Privacy (d.lgs. 196/2003). Da qui l'esigenza di coordinare in un quadro unitario le rispettive discipline, esigenza che ha dato origine alle più recenti Linee guida del Garante per la protezione dei dati personali:

Un ruolo centrale nell'implentazione della disciplina in materia di anticorruzione e trasparenza è svolto dall'Agenzia nazionale per l'anticorruzione:

→Obblighi di pubblicazione

[scarica PDF]

Due sono le modifiche di maggior rilievo: l'introduzione di nuove sanzioni pecuniarie per i soggetti inadempienti (d'ora in poi irrogate direttamente dall'Anac); l'unificazione fra il Piano triennale di prevenzione della corruzione e quello della trasparenza.

→Accesso generalizzato

Con il decreto 25 maggio 2016, n.97 modificativo del decreto legislativo 14 marzo 2013, n.33 viene introdotta una nuova forma di accesso civico ai dati e documenti pubblici.

Secondo quanto previsto dall’art.5-bis d.lgs 33/2013 “chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela d’interessi giuridicamente rilevanti”.

 E’ opportuno ricordare che rimane in vigore l’originaria forma di “accesso“ agli atti disciplinata dalla legge 241/90.

Si segnala che sono state pubblicate dall'ANAC le linee guida per l'attuazione dell'accesso civico generalizzato (FOIA).

LINEE GUIDA FOIA

[scarica PDF]

CIRCOLARE ATTUAZIONE FOIA

Il Dipartimento della funzione pubblica, in raccordo con l’ANAC ha adottato la circolare n.2/2017 avente oggetto “Attuazione delle norme sull’accesso civico generalizzato (c.d. FOIA)”

La circolare fa luce sui punti relativi alla competenza, alle modalità di richiesta di accesso, ai tempi di decisione, ai dinieghi non consentiti e infine alla creazione di un registro degli accessi. Il fine della direttiva è quello di aiutare le pubbliche amministrazioni ad attuare in modo uniforme e coerente la nuova disciplina.

→Incarichi politici o amministrativi

L’art. 14 d.lgs. 33/2013 disciplina gli obblighi di pubblicazione riguardanti i titolari di incarichi politici, di amministrazione, di direzione o di governo e i titolari di incarichi dirigenziali nelle amministrazioni pubbliche (comprese le università).

Sul punto è intervenuto l’art. 13 del d.lgs. 97/2016 (c.d. FOIA). Il d.lgs. 97/2016 non ha modificato l'elenco delle informazioni e dichiarazioni oggetto di pubblicazione, di cui alle lettere da a) ad f) dell’art. 14, comma 1. Ha invece introdotto alcune limitazioni e precisazioni per l'individuazione dei soggetti per i quali vige l'obbligo di pubblicazione.

Sul punto, l'ANAC ha pubblicato delle nuove Linee guida:

SOGGETTI ESCLUSI DALLA PUBBLICAZIONE

  • Titolari di incarichi o cariche di amministrazione, di direzione o di governo attribuiti a titolo gratuito, ovvero senza la corresponsione di alcuna forma di remunerazione, indennità o gettone di presenza (il quale, ove costituisca mero rimborso delle spese connesse all'espletamento dell’incarico, non fa venir meno la gratuità dell’incarico). La gratuità deve essere prevista da disposizioni normative e statutarie, che regolano l’organizzazione e l’attività delle amministrazioni e degli enti, o da deliberazione con carattere generale. Pertanto, non rileva un’eventuale rinuncia al compenso da parte del soggetto che riceve l’incarico o la carica. Si tratta di una importante novità introdotta dal d.lgs. 97/2016 che non si applica alle altre categorie di incarichi;
  • Titolari di posizione organizzativa di livello non dirigenziale: soltanto obbligo di pubblicare il curriculum vitae (ex art. 14, co. 1-quinquies).
  • Titolari di incarichi in comuni con popolazione inferiore ai 15.000 abitanti: sono tenuti alla comunicazione dei dati di cui all’art. 14, co. 1, lett. da a) ad e), ma non a quelli previsti alla lett. f (attestazioni patrimoniali e le dichiarazione dei redditi).

DIRIGENTI

Sono tenuti a comunicare all'amministrazione presso cui prestano servizio l’importo complessivo degli emolumenti percepiti a carico della finanza pubblica.

A tale obbligo corrisponde quello dell’amministrazione di pubblicare questi dati sul proprio sito istituzionale detto dato (art. 14, co. 1-ter), per il controllo del rispetto della normativa vigente concernente il limite massimo delle retribuzioni fissato per i dipendenti pubblici.

Tuttavia l'ANAC ha sospeso l’efficacia di queste Linee guida limitatamente a compensi, spese per viaggi di servizio, situazione patrimoniale e reddituale per tutti i dirigenti pubblici, compresi quelli del SSN (art. 14 co. 1, lett. c) ed f) del d. lgs. n. 33/2013):

SOGGETTI CESSATI DALL'INCARICO

  • Entro tre mesi dalla cessazione dell’incarico, tutti i soggetti destinatari dell’art. 14 sono tenuti a depositare una dichiarazione concernente le variazioni della situazione patrimoniale intervenute dopo l’ultima attestazione;
  • Per i tre anni successivi alla cessazione dell’incarico, devono essere pubblicati i dati di cui all’art. 14, co. 1 del d.lgs. n. 33/2013, unitamente alla dichiarazione della variazione patrimoniale e alla dichiarazione dei redditi rese successivamente alla cessazione (decorsi i tre anni saranno accessibili mediante istanza di accesso civico generalizzato).
  • Dichiarazioni rese dal coniuge non separato e dai parenti entro il secondo grado, ove gli stessi abbiano acconsentito alla pubblicazione, rimangono pubblicate solo fino alla cessazione dell’incarico e possono essere oggetto di istanza di accesso civico generalizzato.

SANZIONI

Sanzione amministrativa pecuniaria da 500 a 10.000 euro (il relativo provvedimento è pubblicato sul sito internet dell'amministrazione o organismo interessato) per mancata o incompleta comunicazione dei dati (art. 47, co. 1, d.lgs. n. 33/2013).

DECORRENZE

  • Entro il 30 aprile 2017: per dirigenti e titolari di posizioni organizzative con deleghe o funzioni dirigenziali (soggetti per i quali la norma si applica per la prima volta);
  • Entro tre mesi dalla elezione, dalla nomina o dal conferimento dell’incarico (art. 14, co. 2)
  • Entro un mese dalla scadenza annuale del termine utile per la presentazione della stessa dichiarazione, per i titolari di incarichi politici, di amministrazione, di direzione o di governo (soggetti già ricompresi nell’ambito di applicazione dell’art. 14 ai sensi del testo previgente e per i quali la pubblicazione sarà effettuata secondo le scadenze già previste in precedenza).

Dal 23 dicembre 2016: non è più richiesta la pubblicazione dei dati per i titolari di incarichi di amministrazione, di direzione o di governo che svolgono le funzioni a titolo gratuito

MODELLI DI DICHIARAZIONE

  • Per i soggetti titolari di incarico: situazione patrimoniale e variazione patrimoniale (Allegati n. 3 e n. 4)
  • Per i soggetti cessati dall'incarico: comunicazione e pubblicazione dei dati (Allegato n. 2).

→Attività di vigilanza Anac

1) ANAC, Regolamento sull'esercizio dell'attivita' di vigilanza in materia di inconferibilita' e incompatibilita' di incarichi nonche' sul rispetto delle regole di comportamento dei pubblici funzionari. (Delibera n. 328 del 29 marzo 2017).

2) ANAC, Regolamento sull'esercizio dell'attivita' di vigilanza sul rispetto degli obblighi di pubblicazione di cui al decreto legislativo 14 marzo 2013, n. 33.  (Delibera n. 329 del 29 marzo 2017).

3) ANAC, Regolamento sull'esercizio dell'attivita' di vigilanza in materia di prevenzione della corruzione (Delibera n. 330 del 29 marzo 2017).

I regolamenti sono entrati in vigore il 20 aprile 2017 (in Gazzetta Ufficiale n.91 del 19-4-2017)

Procedimento di vigilanza:

I. Attivazione d'ufficio o su segnalazione firmata e accompagnata da copia di un documento di identità (le segnalazioni anonime su fatti di particolare rilevanza o gravità saranno tenute in considerazione per integrare le informazioni in possesso dell'ufficio);

II. Comunicazione dell'avvio del procedimento da parte del responsabile del procedimento (dirigente dell'ufficio) entro 60 giorni dalla segnalazione;

III. Il dirigente dell'ufficio può richiedere informazioni, chiarimenti e documenti, ispezioni e convocare in audizione i soggetti ai quali è stato comunicato l'avvio del procedimento;

IV. Il procedimento si conclude entro 120 giorni dalla data di comunicazione dell'avvio del procedimento. 

Atti conclusivi del procedimento:

  • Registrazione dell'adozione di buone pratiche amministrative da parte della PA vigilata;

oppure

  •  Raccomandazione alla PA di (a seconda dell'attività vigilata):

1) prevedere particolari doveri o divieti di comportamento;

2) pubblicare dati, documenti e informazioni non oggetto di pubblicazione obbligatoria e/o l'adozione di misure richiamate in orientamenti, nel PNA e suoi aggiornamenti, nonché in Linee guida in materia di trasparenza dell'ANAC;

3) adottare misure di prevenzione della corruzione da inserire nei propri Piani di prevenzione della corruzione e di trasparenza (PTPCT);

oppure

  • Segnalazione alla PA di (a seconda dell'attività vigilata):

1) atti di conferimento di incarichi non ancora perfezionati;

2) mancato rispetto dell'obbligo di pubblicazione, quale illecito disciplinare, all'ufficio di cui all'art. 55-bis, comma 4, del d.lgs. 165/2001 ed altresì ai vertici politici, agli OIV dell'amministrazione interessata e, se del caso, alla Corte dei conti, ai fini dell'attivazione delle altre forme responsabilità di cui al comma 4 dell'art. 45 del d.lgs. 33/2013;

3) atti o fatti che possano dar luogo alle responsabilità di cui ai commi 12 e 14 dell'art. 1 della l.190/2012

oppure

  • Accertamento di  specifiche situazioni di inconferibilità e di incompatibilità, situazioni di conflitto di interesse, un illegittimo conferimento di incarico successivo alla cessazione del rapporto di lavoro];

oppure

  • Ordine di adozione di atti e/o provvedimenti (a seconda dell'attività vigilata):

1) conseguenti all'accertamento di situazioni di inconferibilità/incompatibilità;

2) richiesti dalla normativa vigente e di pubblicazione di documenti e informazioni, ai sensi dell'art. 45, comma 1, del d.lgs. 33/2013;

3) attuativi delle misure di prevenzione della corruzione inserite nel PTPCT (ovvero di rimuovere di atti e provvedimenti contrastanti con tali misure, ai sensi del comma 3 dell'art. 1 della l.190/2012 e di misure di prevenzione della corruzione previste dal PNA, dai suoi aggiornamenti, nonché da Linee guida avente il medesimo valore di atto di indirizzo, ai sensi del comma 2-bis dell'art. 1 della l.190/2012).

TRATTAMENTO DATI

In materia di trattamento di dati personali si incrociano almeno tre diversi ambiti normativi:

  • Trasparenza: d.lgs. 33/2013 e ss.mm.
  • Protezione dati personali: d.lgs. 196/2003
  • Pubblicità legale e accesso agli atti: legge 241/1990 e art. 32 della Legge 18 giugno 2009, n.69

Gli obblighi di "pubblicazione" dei dati sul sito web istituzionale delle PPAA, oltre ad avere una consistenza giuridica diversa della disciplina in materia di pubblicità legale, non fanno venir meno la disciplina sulla protezione dei dati personali dettata dal c.d. Codice Privacy (d.lgs. 196/2003). Da qui l'esigenza di coordinare in un quadro unitario le rispettive discipline, esigenza che ha dato origine alle più recenti Linee guida del Garante per la protezione dei dati personali:

B. Posta elettronica e internet

Più recente è la seguente decisione del Garante per la protezione dei dati personali 

Il Garante per la protezione dei dati personali ha dichiarato illecito il trattamento dei dati personali raccolti da una università attraverso un controllo indiscriminato sulla posta elettronica e sulla navigazione web del personale, in contrasto con il Codice della privacy e con lo Statuto dei lavoratori (anche nella nuova versione modificata dal cosiddetto "Jobs Act" – che in caso di controllo a distanza prevede l'adozione di specifiche garanzie per il lavoratore).