TRATTAMENTO E UTILIZZO DEI DATI PERSONALI
(Regolamento UE 2016/679 – General Data Protection Regulation)

Il 25 maggio 2018 è la data in cui il Regolamento UE 2016/679 – GDPR è divenuto efficace in tutti gli Stati membri UE. Tale regolamento nasce da precise esigenze – come indicato dalla stessa Commissione UE – di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo.

Il 25 maggio 2018 ha segnato, quindi, una data importante per la digitalizzazione dei luoghi di lavoro in Europa. Infatti, con l’entrata in vigore del RGPD un datore di lavoro che raccoglie e processa dati dei propri lavoratori o dei clienti deve applicare tale regolamento, orientato a un “mercato europeo dei dati” rispettoso dei diritti fondamentali delle persone fisiche.

Con tale regolamento si introduce:
– il concetto di responsabilizzazione o accountability del titolare;
– importi più elevati per le sanzioni amministrative pecuniarie che variano nel massimo a seconda delle disposizioni violate;
– concetti di “privacy by design”, nonché di approccio basato sul rischio e adeguatezza delle misure di sicurezza, di valutazione d’impatto e data breach;
– regole più rigorose per la selezione e la nomina di un responsabile del trattamento e di eventuali sub-responsabili;
– la previsione in alcuni casi tassativi di nomina obbligatoria di un Responsabile della Protezione dei Dati;
– regole più chiare su informativa e consenso;
– viene ampliata la categoria dei diritti che spettano all’interessato;
– criteri rigorosi per il trasferimento degli stessi al di fuori dell’UE.

Si evidenzia che detta disciplina si applica anche alle imprese che extraeuropee che offrono servizi e prodotti all’interno del mercato UE.

In Italia, detta disciplina è stata recepita il 10 agosto 2018 con il D.lgs. n. 101/2018 mediante l’introduzione di disposizioni per l’adeguamento della normativa nazionale italiana alle disposizione del regolamento 2016/679.

Detta disciplina ha introdotto delle importanti novità:

1) Registro dei trattamenti dei dati personali:

Si tratta di uno strumento finalizzato a predisporre all’interno dell’impresa una quadro aggiornato dei trattamenti dei dati personali, trattandosi di un documento – il quale deve avere forma scritta, anche elettronica – al cui interno vi sono contenute le principali informazioni di cui all’art. 30 GDPR.
Esse è obbligatorio per le imprese aventi un numero pari o superiore a 250 dipendenti. Per le imprese “sotto soglia” l’obbligatorietà può derivare in caso di trattamenti dalla cui esecuzione possa derivare il rischio per i diritti e le libertà dell’interessato o il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati o i dati personali relativi a condanne penali e a reati.

2) Sanzioni:
Accanto alle sanzioni amministrative (che possono essere molto severe – fino a 20 milioni di euro -), a livello nazionale sono state introdotte anche alcuni illeciti penali.
A titolo esemplificativo nel corso del 2022 il Garante privacy ha sanzionato nel mese di marzo, Uber con due sanzioni, ciascuna di 2 milioni e 120 mila euro.

3) Data Protection Officer (Responsabile della protezione dei dati):
Il DPO deve avere una specifica competenza “della normativa e delle prassi in materia di dati personali nonché delle norme e delle procedure amministrative che caratterizzano il settore”, in quanto trattasi del soggetto su cui ricade l’obbligo di sorvegliare sul rispetto delle disposizioni in materia di protezione dei dati. Esso a tal fine:
– riferisce direttamente al vertice,
– è indipendente, non riceve istruzioni per quanto riguarda l’esecuzione dei compiti;
– come già anticipato sopra, accanto alle sanzioni amministrative previste dal GDPR, a livello nazionale sono state introdotte sanzioni di carattere penale;
– gli vengono attribuzione risorse umane e finanziarie adeguate all’attività.

Vi sono diversi strumenti volti a facilitare l’implementazione dei principi di tutela della privacy, tra questi l’art. 40 GDPR consente alle associazioni di categoria e ad altri organismi rappresentativi di titolari e responsabili del trattamento di predisporre dei codici di condotta.

Si tratta di strumenti di auto-disciplina, adottati su base volontaria, attraverso i quali rappresentanti e associazioni di categoria possono prevedere regole interne di protezione dei dati personali, al fine di creare uniformità all’interno dello specifico settore e di assicurare il rispetto delle norme del GDPR da parte di titolari e responsabili.

Lo stesso Garante della privacy ha approvato, con provvedimento n. 98 del 10 giugno 2020, i requisiti di accreditamento degli organismi di monitoraggio dei codici di condotta. Tale accreditamento è condizione necessaria per l’approvazione di un codice di condotta da parte del Garante.

Di recente, con il provvedimento n. 127 del 12 giugno 2019, il Garante della privacy ha approvato il Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali proposto dall’Associazione Nazionale tra le Imprese di Informazioni Commerciali e di Gestione del Credito (Ancic) e che aggiorna il vecchio “Codice di deontologia e buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale”.

A questo non può non aggiungersi l’importante cambio di prospettiva nel GDPR anche per quanto riguarda il cittadino, identificato negli articoli del Regolamento con la locuzione (soggetto) “interessato”. Costui, infatti, da mero spettatore, che ha assistito, soprattutto in passato, all’uso ed anche a volte all’abuso più vario dei propri dati, perdendone il controllo una volta comunicati per il trattamento, assume sempre più il ruolo di parte attiva del rapporto, vedendosi riconoscere nuovi e più pregnanti diritti.

Tali diritti sono (Capo III – diritti dell’interessato):

1) rilascio del consenso:
(si tratta del diritto di sapere chi utilizzerà i nostri dati e per quali finalità);
2) manifestazione libera del consenso:
(si tratta del diritto a manifestare il proprio consenso in maniera libera, inequivocabile e specifica);
3) divieto di trattamento di alcuni dati personali:
(quelli inerenti l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, i dati genetici, biometrici, relativi alla salute o alla vita sessuale o all’orientamento sessuale);
4) diritto di accesso dell’interessato:
(si tratta del diritto di richiedere sempre al titolare del trattamento la conferma circa l’utilizzo dei propri dati);
5) diritto a ottenere le informazioni richieste:
(è la conseguenza del diritto di cui sopra);
6) diritto a proporre ricorso/reclamo:
(nel caso in cui non siano rilasciate le informazioni richieste);
7) diritto di rettifica:
(finalizzato a rettificare dati personali inesatti);
8) diritto di revoca del consenso;
9) diritto all’oblio;
(forse il diritto espresso con maggior forza del GDPR, trattandosi di un diritto alla rimozione dei dati trattati in violazione del consenso);
10) diritto di limitazione del trattamento:
(si tratta di un diritto di sospensione del trattamento imposto al titolare – anche motivata – in attesa che sia risolto un conflitto sorto sullo stesso);
11) diritto alla portabilità dei dati:
(il diritto di trasferire i propri dati personali da un titolare all’altro);
12) diritto di opporsi al trattamento dei dati personali:
(in caso di opposizione, i dati potranno essere trattati solo qualora si dimostri che l’interesse all’utilizzo è prevalente rispetto a quello dell’interessato).

(contributo a cura)
Dott. Salvatore Lacopo