GDPR Privacy
Il regolamento, che abroga integralmente la direttiva 94/46/CE in materia di protezione dei dati (art. 88), è stato pubblicato sulla Gazzetta Ufficiale Europea, L 119, il 4 maggio 2016 (cfr. all. 1), ed è entrato in vigore il 24 maggio u.s. ma si applicherà a partire dal 25 maggio 2018.
Si evidenzia pertanto che fino a quella data resta in vigore il D.Lgs 196/2003 (cd Codice privacy) e che le violazioni agli obblighi sul trattamento dei dati ivi previsti continueranno ad essere sanzionati dal Garante secondo gli articoli del Codice privacy.
Poiché inoltre il provvedimento comunitario attribuisce alla Commissione europea il potere di adottare atti delegati e di esecuzione, al fine di rendere operativa la disciplina, ma lascia anche ai legislatori nazionali la facoltà di introdurre, a seconda delle circostanze, norme nazionali ad hoc, ad oggi nessuno conosce come saranno concretamente definiti i nuovi obblighi e, conseguentemente, nessun soggetto è in grado di fornire alle aziende indicazioni operative attendibili.
Gli Stati membri avranno circa due anni per adeguare le proprie normative interne, per coordinare il nuovo quadro normativo con l’esistente e per raggiungere posizioni comuni sui (numerosi) punti critici del provvedimento. Il regolamento prevede, infatti, un margine di manovra degli Stati membri per precisare le norme, per stabilire le condizioni per specifiche situazioni di trattamento, anche determinando con maggior precisione le condizioni da soddisfare per ritenere lecito il trattamento dei dati personali. (Considerando 10).
Consenso (art. 7 – Considerando 32-42)
Il regolamento definisce il consenso dell’interessato come qualsiasi manifestazione di volontà libera, specifica, informata ed inequivocabile, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano sono oggetto di trattamento (art. 4, par. 1, n. 11)).
Il provvedimento chiarisce che il consenso deve essere espresso mediante un atto positivo inequivocabile, con cui l’interessato accetta il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o in forma orale. Inoltre nel caso in cui il trattamento abbia più finalità, il consenso dove essere prestato (come del resto già oggi) per tutte le finalità. (considerando 32). Il provvedimento stabilisce, poi, che il titolare del trattamento deve dimostrare che l’interessato ha acconsentito al trattamento. (considerando 42)
Il regolamento individua (art. 6) una serie di condizioni di liceità del trattamento tra le quali figura il consenso “l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità” (art. 6, par. 1, lett. a)).
Il Codice vigente, al contrario, pone il consenso espresso dell’interessato quale condizione generale di ammissibilità per il trattamento dei dati personali (cfr. art. 23, comma 1, Codice) e solo come deroga individua (art. 24) una serie di casi nei quali il consenso non è richiesto.
Il regolamento inoltre non impone la forma scritta come condizione obbligatoria per il rilascio del consenso ma dispone che, (cfr art. 7, par. 1) “Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali”.
Potrebbe quindi risultare non agevole, per il titolare o per il responsabile del trattamento, fornire la prova di aver ricevuto dall’interessato il consenso al trattamento, nel caso in cui questo venga rilasciato in forma orale.
Sarà dunque importante che, anche solo a mero titolo esemplificativo, vengano chiarite le modalità con cui si potrà dimostrare di aver ricevuto il consenso, nel caso in cui questo venga rilasciato in forma orale anche se, sotto questo profilo, è verosimile che il Garante vorrà confermare le attuali procedure (es. annotazione da parte di un operatore, munito di codice identificativo, della data e dell’ora in cui viene rilasciato il consenso orale dall’interessato).
Liceità del Trattamento (art. 6)
Come abbiamo sopra evidenziato, il regolamento pone il consenso dell’interessato allo stesso livello delle altre cinque condizioni alternativamente necessarie per considerare lecito il trattamento dei dati (art.6, par. 1)
Il trattamento è quindi lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
l’interessato ha espresso il consenso al trattamento dei propri dati personali;
per l’esecuzione di un contratto di cui l’interessato è parte;
per adempiere ad un obbligo legale al quale è soggetto il titolare del trattamento;
per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato (lett. f), dell’art. 6)
Il regolamento prevede, poi, che gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente Regolamento con riguardo al trattamento necessario: per adempiere ad un obbligo legale o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri.
Inoltre, il par. 4 dell’art. 6 del Regolamento stabilisce che, nel caso in cui il trattamento non fosse compatibile con le finalità per le quali i dati personali erano stati raccolti, il titolare del trattamento è tenuto a verificare che la diversa finalità cui è soggetto il trattamento, sia comunque compatibile, con la finalità per la quale i dati personali sono stati inizialmente raccolti.
In particolare il titolare del trattamento deve poter accertare le seguenti condizioni:
il nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto;
il contesto in cui i dati personali sono stati raccolti;
la natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali oppure se siano trattati dati relativi a condanne penali;
le possibili conseguenze dell’ulteriore trattamento previsto per gli interessati;
l’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione.
Sul punto appare necessario che siano forniti chiarimenti posto che la disposizione, per come è stata formulata, potrebbe facilmente generare differenti interpretazioni.
In particolare, l’accertamento se le ulteriori finalità del trattamento siano compatibili con quelle per le quali i dati sono stati originariamente raccolti, viene rimessa ad una mera valutazione soggettiva del titolare o del responsabile del trattamento, che per decidere deve tenere in considerazione una serie di condizioni estremamente generiche.
Trattamento dei dati personali relativi a condanne penali e reati (art. 10)
Il regolamento, dopo aver più volte modificato la norma nel corso di questi quattro anni, ha riproposto la versione del testo presentata dalla Commissione, stabilendo che il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza deve avvenire soltanto sotto il controllo dell’autorità pubblica, unico soggetto legittimato a tenere un registro completo delle condanne penali.
Il titolare del trattamento deve fornire all’interessato tutte le informazioni (dati che siano stati raccolti presso di lui e dati che non sono stati ottenuti presso lui) e le comunicazioni relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.
Anche in questo caso, al fine di evitare interpretazioni difformi della norma, sarebbe opportuno che venissero fornite indicazioni pratiche sulle corrette modalità di informativa dell’interessato.
Informazioni da fornire qualora i dati personali siano o non siano raccolti presso l’interessato (art. 13-14)
Il regolamento prevede in dettaglio tutta una serie di informazioni che devono essere fornite all’interessato nel caso in cui i dati siano stati raccolti direttamente presso di lui.
In particolare, oltre alle informazioni, ad esempio, relative all’identità ed ai dati del titolare, ai dati di contatto del responsabile della protezione dei dati, la disposizione introduce altre informazioni quali: l’obbligo di indicare il periodo di conservazione dei dati, l’obbligo di rendere edotto l’interessato della possibilità di proporre reclamo dinanzi all’Autorità, l’obbligo di indicare se il trattamento è obbligatorio in virtù di una legge o di un contratto.(art.13)
Nel caso in cui, invece, i dati non siano stati raccolti presso l’interessato il provvedimento riprende l’articolo 13 precedentemente richiamato, ed in più, prevede che l’interessato debba essere informato in merito al periodo di conservazione dei dati, alla fonte dalla quale i dati provengono ed, eventualmente, se gli stessi provengono da fonti accessibili al pubblico. (art.14)
Diritto di accesso dell’interessato (art. 15)
L’art. 15 del Regolamento prevede, poi, che, in caso di esercizio del diritto di accesso, l’interessato debba essere informato in ordine ad una serie di informazioni, alcune delle quali non sono attualmente contemplate nel Codice della privacy (cfr. art. 7 Codice), quali ad esempio:
- il periodo di conservazione dei dati;
- la possibilità di proporre reclamo dinanzi all’Autorità di controllo;
- la fonte di provenienza dei dati personali qualora gli stessi non siano raccolti direttamente presso l’interessato;
- l’eventuale esistenza di un processo decisionale automatizzato, tra cui la profilazione.
Diritto alla cancellazione (art. 17 e ss. diritto all’oblio -Considerando 65-66-67)
L’art. 17 stabilisce espressamente una serie di ipotesi nelle quali l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali (diritto all’oblio) che lo riguardano.
Il regolamento “rafforza” il diritto dell’interessato di ottenere la cancellazione dei dati personali che lo riguardano poiché stabilisce espressamente che, nel caso in cui i dati personali non siano più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati, quando l’interessato ha ritirato il proprio consenso o si sia opposto al trattamento dei dati personali che lo riguardano o quando il trattamento dei suoi dati personali non è conforme al Regolamento e, infine, anche nel caso in cui i dati devono essere cancellati in conformità ad una legge UE o di uno Stato membro alla quale è soggetto il responsabile del trattamento, …il titolare del trattamento ha l’obbligo di cancellarli senza ingiustificato ritardo.
Questo obbligo sembra quindi prescindere da qualsiasi richiesta dell’interessato.
Il Considerando 66 del provvedimento prevede, poi, che per rafforzare il «diritto all’oblio» nell’ambiente online, è opportuno che il diritto di cancellazione sia esteso in modo tale da obbligare il titolare del trattamento che ha pubblicato i dati personali a informare ad esempio i titolari del trattamento che trattano tali dati di cancellare qualsiasi link verso quei dati o loro copie o riproduzioni.
Le modalità per limitare il trattamento potrebbero consistere, tra l’altro (cfr. considerando 67), nel trasferire temporaneamente i dati selezionati verso un altro sistema di trattamento, nel rendere questi dati selezionati inaccessibili agli utenti o nel rimuovere temporaneamente i dati pubblicati da un sito web. Negli archivi automatizzati, la limitazione del trattamento dei dati personali dovrebbe in linea di massima essere assicurata mediante dispositivi tecnici. Il sistema dovrebbe inoltre indicare chiaramente che il trattamento dei dati personali è stato limitato.
Diritto di opposizione ( art. 21)
Nel regolamento, a differenza del Codice della privacy, il diritto di opposizione al trattamento dei dati personali viene limitato ai trattamenti effettuati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri e per il perseguimento del legittimo interesse del responsabile del trattamento o di terzi a cui i dati vengono comunicati ma, nel contempo, viene esteso alle attività di profilazione basate sulle suddette disposizioni.
In caso di trattamento di dati per finalità di marketing diretto, il diritto di opposizione viene esteso alle attività di profilazione nella misura i cui queste siano connesse a dette finalità di marketing diretto.
Diritto alla portabilità dei dati (art. 20)
Il regolamento prevede espressamente, per la prima volta, il principio della portabilità dei dati.
Il provvedimento comunitario prevede, infatti, che l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti.
Ciò sempre a condizione che l’interessato abbia preventivamente fornito il proprio consenso al trattamento o se questo sia necessario per l’esecuzione di un contratto e che il trattamento sia effettuato con mezzi automatici.
Titolare e responsabile del trattamento (da art. 24-all’art. 31)
Il provvedimento prevede, per la prima volta, che il titolare del trattamento debba mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento venga effettuato conformemente al presente regolamento (art. 24, par. 1) (cd privacy by design).
Il titolare del trattamento deve tutelare i diritti degli interessati e garantire che siano trattati solo i dati personali necessari per ogni specifica finalità del trattamento.
Ad esempio il titolare del trattamento può ricorrere alla pseudonimizzazione del trattamento dei dati in modo tale che i dati personali non possano essere attribuiti ad un interessato specifico senza l’utilizzo di informazioni aggiuntive, sempre che tali informazioni siano conservate separatamente e che non siano attribuibili ad una persona fisica identificata ed identificabile.
Inoltre il titolare del trattamento può ricorrere a misure di protezione per impostazione predefinita (privacy by default) che garantiscono che i dati personali non siano accessibili ad un numero indefinito di persone senza l’intervento umano.
Il regolamento definisce poi il responsabile del trattamento, quale persona fisica o giuridica o altro organismo che tratta dati personali per conto del titolare del trattamento, solo se istruito da questo, a meno che il trattamento non venga previsto dall’Unione o dagli Stati membri.
Sulle nuove figure del “Titolare del trattamento” e del “Responsabile del trattamento”, il Garante, con comunicato del 13 aprile del 2016, aveva rassicurato circa il fatto che i termini titolare e responsabile, già presenti nel Codice privacy italiano, sarebbero comparsi anche nella traduzione italiana del Regolamento europeo con le medesime caratteristiche soggettive.
Ciò è effettivamente avvenuto ma va al tempo stesso segnalato che nel regolamento è più difficile trovare un sicuro riferimento alla nozione di incaricato presente nel Codice italiano vigente.
L’art. 30 del regolamento prevede che ogni titolare del trattamento deve tenere un registro delle attività svolte sotto la propria responsabilità.
L’obbligo di conservazione riguarda le seguenti informazioni:
- il nome e i dati di contatto del titolare del trattamento;
- le finalità del trattamento;
- una descrizione delle categorie di interessati e delle categorie di dati personali;
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
- i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale;
- i termini per la cancellazione delle diverse categorie di dati;
- la descrizione generale delle misure di sicurezza tecniche e organizzative.
Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività di trattamento svolte per conto di un titolare del trattamento, contenente ad esempio:
- il nome ed i dati di contatto del responsabile o dei responsabili del trattamento;
- le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
- ove applicabile, i trasferimenti di dati personali verso un paese terzo;
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.
La disposizione comunitaria stabilisce che la documentazione deve essere conservata sia in forma scritta che in formato elettronico. Non viene, pertanto, contemplata la possibilità di ricorrere, soprattutto quando tale adempimento ricade sulle piccole realtà, ad un’archiviazione ottica sostitutiva del cartaceo.
Il Regolamento, esclude dai suddetti adempimenti le piccole e medie imprese secondo la definizione comunitaria, quelle dunque con meno di 250 dipendenti, salvo i casi in cui il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, ovvero il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati (sensibili) o, ancora, i dati personali siano relativi a condanne penali.
La formulazione della disposizione che contiene questa importante esenzione (art. 30, par. 5) non è tuttavia tra le più riuscite del regolamento.
Che significato dovrà essere per esempio attribuito all’espressione “il trattamento non sia occasionale” ? Appare inoltre necessario esplicitare i casi in cui il trattamento dei dati possa presentare un rischio per i diritti e le libertà dell’interessato nozione a cui si ricollegano anche gli obblighi di notifica in caso di violazione dei dati (cd data breach).
Sicurezza dei dati personali (art. 33-34)
Il regolamento prevede che il titolare del trattamento debba notificare all’Autorità di controllo competente qualsiasi violazione dei dati personali (cd data breach) e comunicare la violazione all’interessato senza ingiustificato ritardo.
Relativamente alla sicurezza dei dati, senza che ciò comporti elusioni del dettato comunitario, dovrebbe, come sopra evidenziato, essere meglio specificato il concetto di violazione dei dati personali.
La definizione di cui all’art. 4, par. 1, n. 12), infatti, contiene un riferimento ad un concetto indeterminato, la “violazione di sicurezza”, che viene individuata nei suoi effetti ma non nelle sue concrete modalità e che non sembra sufficiente ad evitare che i titolari del trattamento siano soggetti ad adempimenti anche in presenza di situazioni che, di per sé, non configurano lesione dei diritti dell’interessato.
Valutazione d’impatto (art. 35)
Nel caso in cui il trattamento possa presentare rischi elevati per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve effettuare, prima del trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali.
La valutazione d’impatto sulla protezione dei dati, rappresenta una delle novità del regolamento ed è richiesta, in particolare ma quindi non esclusivamente, nei casi seguenti:
- una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
- il trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati;
- la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Qualora, all’esito della valutazione, il titolare ritenga che il trattamento presenta un rischio elevato per i diritti e le libertà delle persone fisiche coinvolte dovrà consultare l’Autorità di controllo.
Il regolamento prevede, in forma invero piuttosto criptica, che la valutazione d’impatto debba/possa essere disciplinata anche da ogni singolo Stato membro (cfr. art. 36, par. 4).
La norma, infatti, prevede che l’Autorità di controllo, per l’Italia il Garante della Privacy, debba redigere un elenco delle tipologie di trattamenti per cui è richiesta una valutazione d’impatto e possa anche redigere un elenco per le quali non è richiesta una valutazione d’impatto sulla protezione dei dati.
Nel caso in cui il trattamento presenti un rischio elevato, in assenza di misure adottate dal titolare del trattamento per attenuare il rischio, il titolare del trattamento deve consultare l’autorità di controllo che potrebbe fornire un parere scritto.
La disposizione comunitaria stabilisce, inoltre, che gli Stati membri debbano consultare l’Autorità di controllo durante l’elaborazione di una proposta di atto legislativo che deve essere adottato dai parlamenti nazionali. Lo Stato membro, può inoltre stabilire che i titolari del trattamento debbano consultare l’Autorità di controllo e che debbano da questa ottenere l’autorizzazione preliminare (nel caso ad esempio di un trattamento per l’esecuzione di un compito di interesse pubblico)
Posto che il dettato comunitario sul punto lascia un ampio potere anche alla disciplina nazionale sarebbe auspicabile che, sia nel redigere l’elenco delle tipologie di trattamenti per cui è necessaria la valutazione d’impatto che nell’elaborare la proposta legislativa, sia data larga possibilità ai destinatari della regolazione di produrre osservazioni e commenti.
Diversamente il documento contenete la valutazione d’impatto, così come il registro delle attività di trattamento, potrebbe rivelarsi un onere burocratico ben più pesante dell’abrogato DPS.
Responsabile della protezione dei dati (art. 37- 38- 39)
L’art. 37 par. 1 del regolamento, prevede che il titolare del trattamento ed il responsabile del trattamento sono obbligati a nominare un responsabile della protezione dei dati (Data Protection Officer-DPO), nei seguenti casi:
- se il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico fatta eccezione per le autorità giudiziarie;
- le attività principali del titolare o del responsabile consistono in trattamenti che, per la loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- le cui attività principali del titolare e del responsabile consistono nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici. (art. 9-10).
Anche in questo caso così delicato le definizioni non aiutano ad individuare con sicurezza i soggetti potenzialmente incisi dall’obbligo della nomina di una figura specifica (il DPO).
Anzitutto il concetto di larga scala che ricorre assai spesso nel regolamento dovrà essere dettagliato con equilibrio evitando indicazioni meramente quantitative (es. la ripresa di telecamere su piccole porzioni di strada ma ad alta densità di passeggio configura trattamento su larga scala? Un piccolo laboratorio di analisi è obbligato alla nomina del DPO? ).
La nomina del DPO, infatti, non sembra un onere di poco conto considerato che esso dovrà essere scelto in funzione delle sue qualità professionali; dovrà, infatti, possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali; potrà essere un dipendente del responsabile oppure potrà operare sulla base di un contratto di servizio.
Le società facenti parte di uno stesso gruppo, a livello nazionale o transfrontaliero, potranno nominare un unico DPO, a condizione che lo stesso sia facilmente raggiungibile da ciascuna società del gruppo stesso.
Il regolamento stabilisce, inoltre, che il titolare o il responsabile del trattamento devono mettere a disposizione del Responsabile della protezione dei dati personali le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti (par.2 dell’art. 38).
Il DPO deve svolgere le sue funzioni in piena indipendenza e non dovrà ricevere alcuna istruzione in merito all’esecuzione dei suoi compiti.
L’art. 39 esplicita, poi, i compiti del responsabile della protezione dei dati, tra cui troviamo:
- informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
- verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
- fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;
- fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti;
- fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa.
La nomina del DPO rappresenta dunque un onere ed un impegno economico gravoso per le imprese coinvolte. Si tratta, inoltre, di un onere potenzialmente rivolto a tutte le imprese senza alcun aggancio alle dimensione dell’impresa.
L’obbligo di nomina aumenta notevolmente anche i costi di gestione dell’attività d’impresa sotto vari profili; non soltanto in relazione alla nomina di un professionista (DPO) dotato di competenze giuridiche ed informatiche che deve vigilare sul rispetto delle norme di settore, ma anche in termini di impiego di risorse umane e finanziarie necessarie.
L’attuale formulazione del precetto lascia, dunque, a nostro avviso, una serie di dubbi interpretativi che dovranno essere colmati per garantire una corretta ed uniforme interpretazione della norma.
Non si comprende, inoltre, quali siano le condotte giuridicamente rilevanti ai fini dell’individuazione delle azioni che tali soggetti pongono in essere per essere considerati “interessati”.
Sarà dunque necessario un chiarimento del dettato normativo in modo da poter circostanziare i casi in cui sia necessario nominare il DPO.
Inoltre ci auguriamo che il trattamento degli interessati su larga scala venga legato al rischio effettivo a cui le imprese sono soggette nel trattare i dati.
Riteniamo, inoltre, che al fine di evitare equivoci nell’applicazione della noma, sarebbe opportuno che venisse esplicitata l’esclusione della nomina del DPO per le medie, piccole e micro imprese, per le quali il trattamento dei dati personali rappresenti un’attività accessoria.
Codici di Condotta ( art. 40)
Il regolamento prevede che i codici possano essere elaborati da associazioni o da organismi delle categorie di responsabili o degli incaricato del trattamento, con lo scopo di contribuire alla corretta applicazione del regolamento. I codici vengono sottoposti al parere dell’autorità di controllo che ne certifica la conformità con il regolamento. La Commissione europea può decidere che i Codici di condotta approvati possano avere validità generale all’interno dell’unione.
Autorità di controllo indipendenti
Il capo VI, del regolamento comunitario in esame stabilisce, infatti, che ogni Stato membro dispone di una o di più autorità di controllo incaricate di sorvegliare l’applicazione del presente regolamento.
Il regolamento rimanda alla legge statale la stesura delle norme sull’istituzione dell’autorità di controllo il cui scopo principale è quello di sorvegliare sulla corretta applicazione del Regolamento sul territorio di sua competenza.
Ogni autorità esercita i compiti e i poteri nel territorio dello stato membro in piena autonomia.
L’autorità ha una serie di poteri, quali ad esempio: trattare reclami, condurre indagini, notificare all’interessato le violazioni commesse, rivolvere ammonimenti e moniti al responsabile del trattamento.
Inoltre il regolamento prevede che, in circostanze eccezionali, un’autorità di controllo può adottare immediatamente misure provvisorie intese a produrre effetti giuridici nel proprio territorio, con un periodo di validità determinato che non deve superare tre mesi che devono essere comunicate senza ritardo, unitamente alle motivazioni della loro adozione, alle altre autorità di controllo interessate, al comitato e alla Commissione.
Mezzi di ricorso, responsabilità e sanzioni (art. 77, 78, 79)
Il provvedimento comunitario in esame prevede che l’interessato, nel caso in cui ritenga che il trattamento che lo riguarda violi il presente regolamento, ha il diritto di proporre reclamo o di presentare un ricorso giurisdizionale nei confronti di un’autorità di controllo o nei confronti del titolare del trattamento o del responsabile del trattamento.(art. 77, 78, 79)
Il regolamento chiarisce che chiunque subisca un danno materiale o immateriale causato da una violazione del regolamento ha il diritto di ottenere un risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. Il titolare del trattamento risponde per il danno cagionato nel caso in cui si accerti la violazione del regolamento, mentre il responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi specificatamente a lui diretti.
Entrambi, tuttavia, rispondono sempre a meno che non riescano a dimostrare che l’evento dannoso non sia a loro in alcun modo imputabile.
Relativamente alle sanzioni, l’art. 83 del regolamento prevede che ogni Autorità di controllo provveda affinché le sanzioni amministrative pecuniarie siano in ogni singolo caso effettive, proporzionate e dissuasive.
Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa è necessario prendere in considerazione una serie di fattori quali, ad esempio, la natura, la gravità e la durata della violazione, il carattere doloso o colposo della violazione, delle misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati etc.
La violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, per le violazioni delle:
- obbligazioni del titolare del trattamento e del responsabile del trattamento;
- obbligazioni dell’organismo di certificazione;
- obbligazioni dell’organismo che controlla la conformità del codice di condotta;
La violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, per le violazioni delle :
- regole generali relative al trattamento dei dati;
- diritti degli interessato;
- trasferimento di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale;
- qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate per disposizioni relative a specifiche situazioni di trattamento;
- l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo.
Il Regolamento lascia tuttavia libero ciascuno Stato membro di adottare norme relative ad altre sanzioni.
Il provvedimento comunitario prevede, infatti, che gli Stati membri debbano intervenire con disposizioni concernenti sanzioni amministrative pecuniarie per le infrazioni che non sono soggette a sanzioni amministrative.
Le disposizioni di legge adottate devono, infatti, essere notificate alla Commissione. Tuttavia il regolamento chiarisce che se l’ordinamento giuridico dello Stato membro non prevede sanzioni amministrative pecuniarie l’azione sanzionatoria sia comunque avviata dall’autorità di controllo competente e la sanzione pecuniaria sia irrogata dalle competenti autorità giurisdizionali nazionali.
1 Comment
Buon giorno , vorrei sapere a chi rivolgermi per sapere cosa fare , ho un negozio ma nessun dipendente….
Grazie
Cattaneo Flavio