1 – Cos’è il dato?

2 – Quali sono i dati sensibili?

3 – In cosa consiste il trattamento di un dato?

4 – Chi è il Titolare del trattamento?

5 -Chi è l’interessato?

6 – Chi è il Data Protection Officer? C’è differenza con il Responsabile della protezione dei dati?

7 – Perché si parla di responsabili “esterni” del trattamento?

8 – Come cambia la figura dell’ Incaricato nel nuovo regolamento UE?

9- Come cambia l’ “Informativa privacy” con il nuovo regolamento UE?

10 – Cosa si intende con il termine “profilazione”?

11 – Perché si devono valutare i rischi relativi ai trattamenti privacy?

12 – Cosa si intende per misure di sicurezza privacy?

13 – C’è differenza fra valutazione dei rischi e valutazione d’impatto?

14 – Che cos’è il Registro dei trattamenti e chi è obbligato a tenerlo?

15 – Registro dei trattamenti e Documento Programmatico sulla sicurezza sono la stessa cosa?

16 – Che cos’è il data breach?

17 – Quali sono le sanzioni previste dal nuovo Regolamento UE?

18 – In cosa consiste il diritto alla portabilità dei dati?


1 – Cos’è il dato?

Il “dato” è un’informazione.
La L. n. 675/1996 e il Codice Privacy prima e successivamente il Regolamento UE hanno disciplinato la protezione delle persone fisiche con riguardo al trattamento delle informazioni relative alle stesse, altresì dette “dati personali”.
Per dato personale si intende quindi qualunque informazione relativa alla persona fisica che sia in grado di identificarla, anche indirettamente.


2 – Quali sono i dati sensibili?

I dati sensibili, ai sensi dell’art. 4, lett. d) D.lgs. 196/2003, sono quei dati della persona relativi al suo stato di salute, al suo orientamento sessuale, quei dati in grado di rivelarne l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza ad un sindacato.
Il regolamento UE parla ora di dati “particolari” (cfr. art. 9, comma 1, Reg. UE 679/16) con ciò intendendo i dati sensibili sopra citati, cui vanno ad aggiungersi pure i dati biometrici e quelli genetici (impronta digitale, immagine del volto, impronta vocale…).


3 – In cosa consiste il trattamento di un dato?

Il trattamento di un dato corrisponde ad una serie di operazioni che vengono eseguite sul dato stesso: trattare può voler dire raccogliere, registrare, organizzare il dato o la serie di dati a disposizione; al tempo stesso trattamento è conservazione del dato, è la sua modifica, la sua consultazione e la sua comunicazione/trasmissione ad altri soggetti.
Trattamento è anche cancellazione e distruzione del dato.


4 – Chi è il Titolare del trattamento?

Il Codice privacy e il Regolamento UE definiscono il titolare del trattamento come la persona fisica o giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni circa le finalità e le modalità del trattamento di dati personali.
In una società, in un ente, in una Pubblica amministrazione, titolari del trattamento saranno la società, l’ente, la Pubblica amministrazione.


5 – Chi è l’interessato?

L’interessato è la persona fisica (ed esclusivamente la persona fisica) cui si riferiscono i dati personali oggetto di trattamento.
Il Codice privacy e il regolamento UE disciplinano rispettivamente agli articoli 7 e al Capo III i “Diritti dell’interessato”.


6 – Chi è il Data Protection Officer? C’è differenza con il Responsabile della protezione dei dati?

La figura del Data Protection Officer è una delle principali novità portate dal nuovo regolamento UE.
La sua designazione è obbligatoria in alcuni casi (si veda art. 37), e il regolamento tratteggia le caratteristiche soggettive e oggettive di questa figura (indipendenza, autorevolezza, competenze manageriali: si vedano artt. 38 e 39); per maggiori delucidazioni si rinvia alle Linee Guida disponibili alla pagina “I provvedimenti del Garante e linee guida” (si veda: http://privacyinrete.it/i-provvedimenti-del-garante/).
Data Protection Officer (DPO) è la definizione inglese per il Responsabile della Protezione dei Dati (RPD); si tratta pertanto della medesima persona.


7 – Perché si parla di responsabili “esterni” del trattamento?

I responsabili “esterni” del trattamento sono quei soggetti che trattano i dati “per conto” del titolare e che non rientrano nell’organigramma di quest’ultimo.
Si pensi ad esempio al consulente del lavoro che cura le buste paghe per conto dell’azienda: a questo soggetto il titolare (l’azienda) dovrà comunicare i dati dei lavoratori, l’appartenenza degli stessi ad un sindacato, i periodi di aspettativa, ma soprattutto dovrà giustificare i periodi di assenza (per ferie, permessi, malattie, maternità).
L’art. 29 del Codice privacy e l’art. 28 del regolamento UE regolano le modalità di designazione dei Responsabili “esterni”.


8 – Come cambia la figura dell’ Incaricato nel nuovo regolamento UE?

Ai sensi del combinato disposto degli artt. 4, lett. h) e 30 del Codice privacy l’incaricato è la persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal responsabile attenendosi alle istruzioni impartite da questi ultimi.
Il regolamento UE non prevede espressamente la figura dell’incaricato; pur tuttavia, non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” (cfr. art. 4 n. 10 del regolamento UE).


9 – Come cambia l’ “Informativa privacy” con il nuovo regolamento UE?

L’informativa è il documento mediante il quale il titolare o il responsabile che effettui il trattamento di dati informa l’interessato circa le finalità e le modalità del trattamento medesimo.
Il nuovo Regolamento UE a differenza del Codice privacy (art. 13) prevede due informative (artt. 13 e 14) a seconda che i dati siano o meno raccolti presso l’interessato.
L’informativa dovrà specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati-Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi; il titolare dovrà altresì specificare il periodo di conservazione e il diritto di presentare reclamo all’autorità di controllo; se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo.
Per il caso di cui all’art. 14 (dati raccolti presso terzi diversi dall’interessato) il titolare dovrà altresì specificare la fonte presso la quale i dati sono stati raccolti.


10 – Cosa si intende con il termine “profilazione”?

All’art. 4 n. 4 il regolamento UE definisce la “profilazione” come una forma di trattamento “automatizzato” di dati personali consistente nell’utilizzo di tali dati personali per valutare ed analizzare determinati aspetti personali relativi a una persona fisica, “in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.
Si fa profilazione dunque quando si raccolgono dati personali (ad esempio tramite questionari online) per poi elaborarli suddividendoli in gruppi omogenei in base a gusti, interessi e preferenze.


11 – Perché si devono valutare i rischi relativi ai trattamenti privacy?

Il regolamento UE pone con forza l’accento sulla  “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili, ossia sull’adozione di comportamenti tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.
Fra questi particolare rilievo riveste la valutazione dei rischi inerenti i trattamenti dei dati operati da titolari e responsabili, ossia l’individuazione di quali siano le diverse criticità legate ai vari trattamenti di dati effettuati.
Valutare i livelli di rischio quindi come punto di partenza per poi individuare le misure di sicurezza più adeguate a prevenire i rischi stessi.


12 – Cosa si intende per misure di sicurezza privacy?

Le misure di sicurezza sono quegli approntamenti tecnici ed organizzativi che il titolare deve adottare proprio al fine di scongiurare un’eventuale dispersione di dati e la conseguente violazione dei diritti degli interessati (con consegue sotto il profilo sanzionatorio).
L’art. 32 del Regolamento UE precisa che le misure di sicurezza devono “garantire un livello di sicurezza adeguato al rischio” del trattamento (art. 32, paragrafo 1).
Il legislatore europeo non menziona né indica dunque delle misure “minime” idonee a prevenire un’eventuale violazione dei diritti dell’interessato (come invece indicate all’Allegato B del Codice privacy), ma si limita unicamente a richiedere che tali misure siano “adeguate” allo scopo (evitare tale violazione).
Le misure di cui all’Allegato B del Codice privacy devono pertanto ritenersi abrogate.


13 – C’è differenza fra valutazione dei rischi e valutazione d’impatto?

La valutazione dei rischi è un’operazione da svolgersi necessariamente in una fase preliminare rispetto alla raccolta dei dati e ai successivi trattamenti che si intendono compiere.
I titolari e i responsabili del trattamento sono quindi chiamati a valutare i rischi inerenti i diversi trattamenti da effettuarsi, individuando quali siano le diverse criticità legate ai vari trattamenti.
Diversamente, la valutazione d’impatto ai sensi dell’art. 35 del nuovo Regolamento, è obbligatoria quando il titolare o il responsabile decidano di effettuare un nuovo trattamento e tale trattamento “possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.
Per maggiori delucidazioni si rinvia alle Linee Guida disponibili alla pagina “I provvedimenti del Garante e linee guida” (si veda: http://privacyinrete.it/i-provvedimenti-del-garante/).


14 – Che cos’è il Registro dei trattamenti e chi è obbligato a tenerlo?

Il registro dei trattamenti è un registro delle operazioni che titolari e responsabili compiono nell’elaborazione dei dati e i cui contenuti sono indicati all’art. 30 del regolamento UE.
Nell’ottica di valutare previamente i rischi che determinati trattamenti comportano, il registro dei trattamenti diviene strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno della società, indispensabile per ogni valutazione ed analisi del rischio.
Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
L’art. 30 del Regolamento al comma 5 prevede che l’obbligo di tenuta del registro non si applica “alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.”.


15 – Registro dei trattamenti e Documento Programmatico sulla sicurezza sono la stessa cosa?

L’adozione del DPS era un obbligo previsto dal Codice privacy a carico di imprese, lavoratori autonomi, enti o associazioni che trattassero i dati personali (anche sensibili, giudiziari o con strumenti elettronici); il documento andava predisposto ed aggiornato annualmente per attestare la corretta adozione delle procedure che riguardassero il trattamento dei dati personali.
Il DL 9 febbraio 2012 n. 5, convertito dalla legge n. 35 del 4 aprile 2012, ha modificato alcune disposizioni in materia di misure minime di sicurezza sopprimendo in particolare il DPS.
Il nuovo registro dei trattamenti come introdotto dall’art. 30 del regolamento UE di fatto reintroduce il vecchio Documento Programmatico sulla Sicurezza (DPS).
Scopo del registro è infatti quello di raccogliere tutte le procedure di trattamento compiute dai titolari e dai responsabili.


16 – Che cos’è il data breach?

A partire dal 25 maggio 2018, tutti i titolari dovranno notificare all’autorità di controllo la violazione (“breach”) di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, a meno che ritengano che tale violazione non presenti rischi per i diritti e le libertà degli interessati.
Pertanto, la notifica dell’avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta appunto al titolare.
Il Garante ha già messo a disposizione sul proprio sito un modello per la notifica dei trattamenti da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico (si veda http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1915835).
Per maggiori informazioni si rimanda inoltre alle linee-guida in materia di notifica delle violazioni di dati personali recentemente pubblicate dal Gruppo “Articolo 29” e attualmente in consultazione pubblica, disponibili qui http://ec.europa.eu/newsroom/document.cfm?doc_id=47741.


17 – Quali sono le sanzioni?

Parimenti al vigente Codice privacy (D.lgs. 196/2003), il nuovo regolamento UE prevede sanzioni di carattere civile e amministrativo, mentre per quelle di carattere penale spetterà ad ogni Stato membro l’individuazione (art. 84).
Sicuramente rilevanti sono i contenuti di cui all’art. 83 del regolamento UE, laddove in tema di sanzioni amministrative, si prevede che l’importo della sanzione possa arrivare “fino a 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente”.
A queste sanzioni si affiancano poi le richieste di risarcimento danni (patrimoniali e non patrimoniali) che l’interessato potrà ottenere avanti l’Autorità giudiziaria sentendo condannare il titolare o il responsabile del trattamento al ristoro di tali importi.


18 – In cosa consiste il diritto alla portabilità dei dati?

Il diritto alla portabilità dei dati è disciplinato all’art. 20 del regolamento UE.
Si tratta di un diritto innovativo in quanto consente all’interessato di ricevere i dati personali forniti ad un titolare, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e di trasmetterli a un altro titolare.
Naturalmente, l’esercizio del diritto alla portabilità dei dati non pregiudica nessuno degli altri diritti dell’interessato, che può, per esempio continuare a fruire del servizio offerto dal titolare anche dopo un’operazione di portabilità; esercitare il diritto di cancellazione (o «diritto all’oblio») ai sensi dell’art. 17 del regolamento.
Per maggiori informazioni si rimanda alle linee-guida recentemente pubblicate dal Gruppo “Articolo 29” e disponibili alla pagina “I provvedimenti del Garante e linee guida” (si veda: http://privacyinrete.it/i-provvedimenti-del-garante/).