Il nuovo Regolamento Privacy 679/2016 – GDPR (General Data Protection Regulation)
Il 24 maggio 2016 è entrato ufficialmente in vigore il Regolamento (UE) 679/2016 del Parlamento e del Consiglio Europeo, avente ad oggetto la tutela delle persone fisiche, relativamente al trattamento dei dati personali ed alla libera circolazione dei dati.
Il nuovo Regolamento generale sulla protezione dei dati è comunemente noto come GDPR, acronimo inglese di “General Data Protection Regulation”.
Il regolamento troverà applicazione diretta a partire dal prossimo 25 maggio 2018 in tutti i Paesi facenti parte dell’Unione Europea, alcuni dei quali risultano tuttora sprovvisti di un’apposita disciplina interna in materia di protezione dei dati personali.
Il nuovo GDPR sarà vincolante ed immediatamente operativo in tutti i paesi europei, senza necessità di alcun intervento normativo nazionale di accoglimento.
Il nostro Paese già nel lontano 1996, con la legge 675 del 31 dicembre 1996, ha iniziato a legiferare in materia di Privacy. A questa prima legge si sono susseguite diverse altre norme, l’ultima delle quali è stato il D.Lgs 30 giugno 2003 N. 196 (Codice in materia dei dati personali), entrato in vigore il 1° gennaio 2004, più volte aggiornato e modificato nel corso degli ultimi anni.
Nonostante l’immediata operatività del regolamento, nell’ottobre 2017 il nostro legislatore ha delegato il Governo ad adottare, entro il prossimo 21 maggio 2018, uno o più decreti legislativi al fine di adeguare il vecchio “Codice in materia dei dati personali” alle nuove disposizioni. Ad oggi purtroppo tali decreti non risultano essere stati adottati. A partire dal prossimo 25 maggio 2018 vigerà quindi il principio di prevalenza delle norme contenute all’interno del GDPR rispetto all’attuale normativa nazionale eventualmente non compatibile.
La nuova normativa europea richiede un ripensamento delle misure di sicurezza da adottare all’interno degli studi professionali. Tali misure devono essere adeguate al singolo contesto organizzativo ed elaborate caso per caso attraverso una preventiva e consapevole analisi dei rischi di trattamento dei dati gestiti.
Diversamente dalla precedente normativa italiana, il nuovo modello proposto del legislatore comunitario non è più basato su un disciplinare tecnico delle misure minime di sicurezza da adottare concretamente, ma si basa sul nuovo principio di “Accountability”. Tale principio prevede che venga lasciato a carico del professionista la definizione, sulla base dell’esito del processo di valutazione dei rischi, delle misure di sicurezza idonee a garantire la privacy dei dati personali trattati.
In ciò risiede la principale criticità del nuovo GDPR. L’attività di valutazione del rischio privacy, infatti, si concretizza in un’attività di “interpretazione” finalizzata a verificare che l’insieme di regole e documenti adottato dal professionista sia sufficiente ad adempiere agli obblighi del GDPR in tema di dati trattati, di diritti degli interessati, di modalità di trattamento, di finalità di trattamento, di tempi di conservazione e di cancellazione dei dati, di sistemi di sicurezza.
Poichè il regolamento europeo richiede misure sufficienti, ma non fornisce indicazioni specifiche, la valutazione è un’attività complessa che viene rimessa alla responsabilità del Titolare (professionista), il quale verosimilmente dovrà ricorrere all’ausilio di professionisti qualificati.
Il fine ultimo del regolamento GDPR è la tutela del trattamento dei soli dati personali, al fine di assicurare la protezione dei diritti e delle libertà delle persone fisiche. La definizione di dato personale assunta dal GDPR risulta tuttavia particolarmente ampia. Per dato personale si intende infatti “qualsiasi informazione riguardante una persona fisica identificata o identificabile” (il c.d. interessato).
Il regolamento conferma che ogni trattamento dei dati deve trovare fondamento, ai fini della sua liceità, in un consenso espresso dall’interessato. L’art. 4 del GDPR definisce il consenso dell’interessato come una “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.
In sostanza, il titolare del trattamento deve sempre essere in grado di dimostrare che l’interessato ha prestato “inequivocabilmente” il proprio consenso al trattamento dei suoi dati personali, con la conseguenza che è necessario porre particolare attenzione a tale onere probatorio nell’ipotesi in cui il consenso non venga acquisito per iscritto.
Il nuovo regolamento ribadisce inoltre i principi che dovranno trovare applicazione nel trattamento dei dati personali, parte dei quali risultano già ben noti e definiti in quanto previsti dall’attuale Codice privacy. In particolare, costituiscono principi generali del trattamento (art. 5 del GDPR):
1. La liceità, la correttezza e la trasparenza nei confronti dell’interessato;
2. La limitazione delle finalità: la raccolta dei dati deve avvenire per finalità esplicite e legittime ed il successivo trattamento non deve essere incompatibile con tali finalità;
3. La minimizzazione dei dati: i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
4. L’esattezza, con l’aggiornamento dei dati se necessario;
5. La limitazione della conservazione, che deve avvenire in una forma che consenta l’identificazione degli interessati:
a. Per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
b. Per periodi lunghi, purchè per trattamenti ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o ai fini statistici.
6. L’integrità e la riservatezza: il trattamento dei dati deve avvenire in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione mediante misure tecniche ed organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali;
7. La responsabilizzazione del titolare del trattamento, il quale è competente per il rispetto dei principi sopra esposti e sul quale grava l’onere della prova.
Il GDPR non si limita a disciplinare i doveri del titolare del trattamento, ma approfondisce anche i diritti “dell’interessato”, ovvero di colui i cui dati personali vengono trattati.
In particolare, i diritti dell’interessato possono essere così riassunti:
Diritto d’informativa;
Diritto di accesso;
Diritto di rettifica;
Diritto di cancellazione – diritto all’oblio;
Diritto alla limitazione del trattamento;
Diritto alla portabilità dei dati;
Diritto di opposizione;
Diritto di non essere sottoposto a processi decisionali automatizzati.
Come già visto in precedenza, fra i principi generali al trattamento dei dati personali, il regolamento prevede quello della trasparenza nei confronti dell’interessato. In forza di tale principio, viene posto in capo al titolare del trattamento uno specifico obbligo informativo e di comunicazione al fine di permettere l’esercizio dei diritti da parte dell’interessato. Rispetto all’attuale codice della privacy, si registra un ampliamento degli oneri informativi in capo al titolare del trattamento ed una disciplina più specifica per quanto riguarda le modalità stesse dell’informativa.
Il nuovo GDPR ha inoltre riconosciuto all’interessato il diritto alla portabilità dei dati personali. Si tratta in particolare del diritto per l’interessato di ricevere “in un formato strutturato, di uso comune e leggibile da dispositivo automatico” i suoi dati personali forniti ad un titolare del trattamento al fine di trasmetterli ad un altro titolare del trattamento.
I soggetti coinvolti nel trattamento dei dati personali sono l’interessato, ovvero colui i cui dati vengono trattati, il titolare del trattamento ed il responsabile del trattamento, entrambi già presenti nell’attuale codice della privacy. Il regolamento disciplina poi la nuova figura del responsabile per la protezione dei dati personali.
In generale, il titolare del trattamento determina le finalità ed i mezzi del trattamento dei dati personali, mette in atto le misure tecniche ed organizzate adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato in maniera conforme al regolamento.
Il titolare del trattamento coincide essenzialmente con il porofessionista che, attraverso la propria opera intellettuale, tratta, direttamente o indirettamente, i dati dei propri pazienti/clienti.
Tra le sue diverse competenze si segnalano:
1. La predisposizione di misure tecniche ed organizzare adeguate;
2. La compilazione dei registri delle attività di trattamento;
3. La valutazione di impatto privacy;
In particolare, il GDPR prevede che il titolare del trattamento, nell’elaborare l’insieme di misure tecniche ed organizzative atte alla tutela della privacy dell’interessato, deve basarsi su due principi generali:
1. Privacy by design;
2. Privacy by default.
Con il termine Privacy by design si intende il principio secondo il quale, prima ancora di iniziare il trattamento dei dati personali, è necessario progettare un sistema di trattamento basato sulla protezione dei dati stessi.
Il principio di privacy by default stabilisce, invece, che per impostazione predefinita i professionisti e le imprese debbano trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. Occorre quindi progettare un sistema di trattamento dei dati garantendo la non eccessività dei dati raccolti.
Il “Responsabile del trattamento” ha invece il compito di mettere in atto le misure tecniche ed organizzative elaborate dal titolare del trattamento in modo tale che il trattamento soddisfi i requisiti del regolamento e garantisca la tutela dei diritti dell’interessato. Il responsabile del trattamento tratta i dati per conto del titolare del trattamento.
Altra figura prevista dal GDPR è quella del “Responsabile per la protezione dei dati personali (Data Protection Officer – DPO)”. Naturalmente l’obbligo di nomina di tale figura è prevista solo per le realtà di grosse dimensioni o comunque per quei soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati personali.
L’Ordine degli Psicologi del Piemonte sta predisponendo in questi giorni ulteriori approfondimenti ed informative al fine di seguire gli iscritti nella corretta adozione della nuova normativa prevista dal GDPR.