“PRIVACY: COME ADEGUARSI AL NUOVO REGOLAMENTO

UE 679/16”
Sintesi del seminario tenutosi il 18.1.2018 a Padova presso la Sala Polivalente della
Mandria

Relatori: Avv. Lucia Casella e Avv. Giovanni Scudier – Studio legale Casella e Scudier;
ing. Guido Cassella – Esse Ti Esse sicurezza e Ing. Stefano Radolovich

IL NUOVO REGOLAMENTO UE n. 679/2016

Il regolamento UE n. 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016
avente ad oggetto la protezione delle persone fisiche ed il trattamento dei dati personali è
stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 4 maggio 2016.
Entrato in vigore il 24 maggio 2016, il regolamento si applicherà in Italia (e così pure negli
altri paesi membri dell’UE) a far data dal 25 maggio 2018, come previsto all’art. 99 del
regolamento stesso.
Nel frattempo, il Legislatore nazionale, in ottemperanza alla previsione di cui alla Legge n.
163/2017 (“Legge di delegazione europea 2016-2017”), dovrà adottare uno o più decreti
legislativi al fine di adeguare l’attuale “Codice Privacy” nazionale (il D.lgs. n. 196/2003)
alle novità portate dal regolamento UE.

LE NOVITA’ DEL REGOLAMENTO UE n. 679/2016

Il principio di “accountability” (responsabilità e dimostrazione)

Il regolamento UE n. 679/16 pone un forte accento sul concetto di “responsabilizzazione”
di titolari e responsabili del trattamento di dati personali, sui quali incombe l’onere di
dimostrare la concreta adozione all’interno del proprio sistema privacy di misure tecniche
ed organizzative finalizzate ad assicurare l’applicazione del regolamento.
Diversamente infatti dal vigente Codice Privacy (d.lgs. 196/2003), al titolare e al
responsabile del trattamento non viene indicato dal Regolamento “come” prevenire il
rischio privacy (come faceva l’Allegato B del Codice Privacy), ma saranno essi stessi a
dover individuare le misure “adeguate” per evitare violazioni dei dati.

La valutazione dei rischi privacy e l’individuazione di misure di sicurezza “adeguate”

La prima attività richiesta al titolare del trattamento in forza del principio di accountability
è la valutazione dei rischi inerenti i trattamenti effettuati (c.d. risk assessment).
Il Regolamento prevede inoltre l’obbligo di effettuare “valutazioni di impatto” (c.d.
“privacy impact assessment”) prima di procedere ad un trattamento di dati che “possa
presentare un rischio elevato per i diritti e le libertà”.
Dalla valutazione dei rischi legati ai trattamenti effettuati scaturisce la individuazione
delle misure di sicurezza “adeguate” e la loro adozione per prevenire eventuali violazioni
dei dati.

Il registro del trattamento dei dati

Valutati i rischi privacy e individuate le misure di sicurezza più adeguate a scongiurare
eventuali violazioni di dati, il Regolamento prevede un registro dei trattamenti (i cui
contenuti sono indicati all’art. 30 del regolamento UE).
Il registro “ricorda” il Documento Programmatico sulla Sicurezza (DPS) previsto e
disciplinato ai paragrafi 19 e ss. dell’Allegato B del Codice privacy e successivamente
abrogato dal D.L. n.5/2012 (art. 45).
Il registro deve avere forma scritta, anche elettronica.
Il comma 5 dell’art. 30 prevede che l’obbligo di tenuta del registro non si applica “alle
imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano
possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia
occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1,
o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.”.
In ogni caso, a prescindere dall’obbligo normativo, il registro dei trattamenti è strumento
fondamentale per disporre di un quadro aggiornato dei trattamenti in essere all'interno
dell'azienda.

Informativa privacy e consenso

Il regolamento UE modifica l’informativa privacy di cui all’art. 13 del vigente Codice
prevedendo che la stessa dovrà essere più completa e dettagliata (art. 13), ed introducendo
una seconda informativa qualora i dati non siano raccolti presso l'interessato, ma presso
un terzo diverso da quest’ultimo (art. 14).
Oltre ai contenuti già esistenti, il regolamento prevede anche ulteriori informazioni in
quanto "necessarie per garantire un trattamento corretto e trasparente": in particolare, il titolare
deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale
periodo di conservazione; il diritto di presentare un reclamo all'autorità di controllo; se il
trattamento comporta processi decisionali automatizzati (ad es. la profilazione), con la
logica di tali processi decisionali e le conseguenze previste per l'interessato.
Il titolare del trattamento deve inoltre specificare i dati di contatto del DPO, ove esistente;
la base giuridica del trattamento; qual è il suo interesse legittimo se quest'ultimo
costituisce la base giuridica del trattamento; se trasferisce i dati personali in Paesi terzi e,
in caso affermativo, attraverso quali strumenti.

Il consenso dell’interessato al trattamento dei dati personali deve essere, come oggi,
preventivo e inequivocabile, anche quando espresso attraverso mezzi elettronici (ad
esempio, selezionando un’apposita casella in un sito web). Per trattare i dati sensibili (ora
detti “particolari”), il Regolamento prevede che il consenso debba essere altresì «esplicito».
Viene dunque esclusa ogni forma di consenso tacito (il silenzio, cioè, non equivale al
consenso) oppure ottenuto proponendo ad un interessato una serie di opzioni già
selezionate.
La novità riguarda dunque il “modo” con cui il consenso viene espresso, in quanto
l’intenzione manifestata dall’interessato dovrà essere libera, specifica, informata e,
appunto, inequivocabile.
Il consenso deve riferirsi allo specifico trattamento per cui viene richiesto e per le finalità
indicate.

L’organigramma privacy e il Data Protection Officer

Cambiano determinati obblighi a carico dei titolari del trattamento di dati e così pure
vengono disciplinate nuove figure privacy.
La prima novità riguarda il responsabile del trattamento che tratti i dati “per conto” del
titolare del trattamento (si pensi al commercialista, al consulente del lavoro, al
responsabile informatico aziendale).
Il Regolamento fissa più dettagliatamente (art. 28) le caratteristiche dell'atto con cui il
titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve
trattarsi di un contratto e deve disciplinare, in particolare, la natura, la durata e le finalità
del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le
misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite
dal titolare e, in via generale, delle disposizioni contenute nel regolamento. La Legge
Europea 2017 (n. 167/2017), recante le “Disposizioni per l’adempimento degli obblighi
derivanti dall’appartenenza dell’Italia all’Unione Europea – Legge Europea 2017”,
nell'ottica di un immediato adeguamento ai dettami di cui al Regolamento UE, ha
novellato il testo dell'art. 29 del Codice privacy relativo al responsabile del trattamento e
ha già previsto che “i titolari stipulano con i predetti responsabili atti giuridici in forma scritta,
che specificano la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i
diritti del responsabile del trattamento e le modalità di trattamento; i predetti atti sono adottati in
conformità a schemi tipo predisposti dal Garante”.
*
Pur non prevedendo espressamente la figura dell’ “incaricato” del trattamento (ex art. 30
Codice privacy), il Regolamento UE fa riferimento alle “persone autorizzate al trattamento dei
dati personali sotto l’autorità diretta del titolare o del responsabile” (cfr. art. 4 n. 10 del
regolamento UE).
*
Il Regolamento introduce poi la figura del «Responsabile della Protezione dei Dati» ( c.d.
Data Protection Officer o DPO), incaricato di assicurare una gestione corretta dei dati
personali nelle imprese e negli enti (art. 37).
A seguito dell’applicazione del Regolamento UE, la figura del DPO sarà obbligatoria per i
Titolari del trattamento italiani che presentino i requisiti dettati dall'articolo 37
(trattamento effettuato da un’autorità pubblica o da un organismo pubblico; attività del
titolare consistenti in trattamenti che richiedono il “monitoraggio regolare e sistematico degli
interessati su larga scala”; attività principali del titolare consistenti in “trattamento su larga
scala” di dati c.d. "particolari" ex art. 9 del Regolamento).

Il data breach
A partire dal 25 maggio 2018, tutti i titolari dovranno notificare all'autorità di controllo la
violazione (“breach”) di dati personali di cui vengano a conoscenza, entro 72 ore e
comunque “senza ingiustificato ritardo”, a meno che ritengano che tale violazione non
presenti rischi per i diritti e le libertà degli interessati.
Il Garante ha già messo a disposizione sul proprio sito un modello per la notifica dei
trattamenti da parte dei fornitori di servizi di comunicazione elettronica accessibili al
pubblico (si veda http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-
display/docweb/1915835).