I nuovi diritti dell’interessato e gli obblighi per i Titolari e i Responsabili del trattamento

Dopo aver introdotto l’espansione del campo di applicazione territoriale/materiale e le nuove modalità di protezione dei dati personali, finalizzati al potenziamento dei diritti della personalità, il Regolamento europeo nel Capo 3 (Diritti dell’interessato) dedica un’ampia sezione ai c.d. “nuovi diritti” dei titolari dei dati.

Il Reg. UE 2016/679 introduce in primis all’art.16, il “diritto di rettifica” ovvero il diritto ad ottenere dal titolare del trattamento la rettifica dei dati personali che lo riguardano “senza

ingiustificato ritardo” ed un eventuale integrazione dei dati personali incompleti.

Di pari importanza e derivante dalla recezione dell’elaborazione della Corte di Giustizia Europea198 _{è il diritto alla cancellazione o “diritto all’oblio”, disciplinato nell’art.17 del}

regolamento europeo, mediante il quale si riconosce la possibilità per l’interessato di imporre che i dati personali che lo riguardano siano cancellati e/o deindicizzati dopo un certo periodo di tempo e di conseguenza non siano più sottoposti ad ulteriore trattamento quando ricorra almeno una delle seguenti ipotesi: viene meno la necessità del trattamento rispetto alle finalità preposte; revoca del consenso; opposizione al trattamento; illiceità del trattamento (non conforme a quanto previsto dal Regolamento).

Tale diritto accentua l’attenzione di tutti i soggetti che effettuano un trattamento dei dati non solo in riferimento alle attività di trattamento dei dati personali dei dipendenti ma anche alla conservazione ed eventuale cancellazione dei dati rappresentanti il loro operato.

Ciò rende necessario l’attuazione di specifiche cautele durante l’eliminazione dagli archivi delle informazioni raccolte dalle apparecchiature date in dotazione ai dipendenti.

Accanto ad essi il regolamento prevede due ulteriori diritti per i titolari dei dati, rappresentati rispettivamente dal “diritto di limitazione del trattamento” (art.18) e dal “diritto alla portabilità dei dati” (art.20).

Mentre il primo delinea i principi e i limiti entro i quali deve essere esercitato il trattamento dei dati personali determinando la correttezza delle procedure di trattamento per finalità giudiziarie, il secondo attribuisce all’interessato il diritto a ricevere in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, i dati personali che lo riguardano e

198 _{Si veda la sentenza del 13 maggio 2014 della Corte di Giustizia riguardo al caso Gonzales e AEPD contro}

Google recuperabile su www.curia.europa.eu in cui si obbliga Google ad adottare le misure necessarie per rimuovere dai propri indici alcuni dati personali riguardanti l’interessato e di impedirne l’accesso in futuro.

74 che sono stati forniti al titolare del trattamento.

L’interessato, inoltre, ha il diritto di trasmettere tali dati ad un altro titolare di trattamento senza che il precedente titolare possa frapporre alcun impedimento.

È necessario dunque soffermarsi sul fatto che il diritto in questione è limitato ai soli dati chiaramente riferibili all’interessato (si escludono per empio i c.d. dati anonimi) qualora sia presente un consenso preventivo al trattamento o se sia necessario per l’esecuzione di un contratto, fermo restando l’obbligo, per il titolare che ha reso pubblici i dati personali, di cancellarli tenendo conto delle tecnologie disponibili e dei costi di attuazione.

Il legislatore europeo nel Capo 4 del regolamento pone l’accento sulle competenze del titolare e del responsabile del trattamento, che devono mirare all’attuazione di comportamenti proattivi a dimostrazione della concreta adozione del regolamento, ribaltando quanto previsto dalla disciplina della privacy di cui alla Direttiva 95/46/CE. Il legislatore europeo raggiunge l’obiettivo della tutela della riservatezza spostando il suo intervento dai diritti dei soggetti interessati, ai doveri di “protezione” dei Titolari e dei Responsabili del trattamento.199

In particolare si evidenzia la necessità di adottare misure a tutela e garanzia dei dati trattati attraverso un nuovo approccio che attribuisce agli stessi titolari il compito di decidere autonomamente le modalità e i limiti del trattamento, obbligandoli però ad un’analisi e valutazione dei rischi200 _{ed alla conseguente adozione di misure tecniche ed organizzative}

adeguate.201

L’approccio del GDPR, centrato sulla protezione dei dati più che sull’utente, passa attraverso la valutazione dei rischi (risk based) e la valutazione di impatto sulla protezione della riservatezza (c.d. Privacy impact assessment); è da tali valutazioni che si evince la misura del dovere di protezione del titolare o del responsabile tenendo conto anche della natura, portata, contesto e delle finalità del trattamento oltre che della probabilità e gravità dei rischi per i diritti e le libertà degli utenti, rendendola una procedura obbligatoria nei casi ritenuti, dallo stesso regolamento o dalle autorità garanti, come “pericolosi” per i dati personali. L’art.35 del Reg. UE, quindi, disciplina l’innovativo istituto della valutazione di impatto sulla protezione dei dati personali obbligando il titolare a compiere non solo una valutazione

199 _{Riferimento a quanto sostenuto da PIZZETTI F. in, Privacy e diritto europeo alla protezione dei dati}

personali. Dalla direttiva 95/46 al nuovo regolamento europeo, Giappichelli, Torino, 2016, 154

200 _{Si veda il considerando 60bis del Reg. UE sull’analisi dei rischi e il considerando 60ter e 66 per quanto}

riguarda la valutazione dei rischi.

75 preventiva dei rischi ma anche dell’impatto sulla privacy delle soluzioni tecnico- organizzative adottate dall’azienda.

In relazione alle misure di protezione, il regolamento con l’art.25 introduce il principio della “privacy by design e privacy by default” che rappresenta un approccio concettuale fortemente innovativo che impone alle aziende l’obbligo di concepire sin dalla nascita soluzioni organizzative-produttive che fin da subito adottino strumenti adeguati a tutela dei dati personali che dovranno essere rispettate nell’esecuzione dei vari tipi di trattamento dei dati personali sui soggetti interessati.

In particolare, con l’espressione “privacy by design”, il regolamento europeo sottolinea l’esigenza che la protezione dei dati personali venga garantita “fin dalla progettazione”202_.

A questo proposito l’art.25 paragrafo 1 del Reg. UE stabilisce che il titolare del trattamento dei dati personali deve adottare delle misure tecnico-organizzative idonee a dare concreta attuazione alle disposizioni ed ai principi in materia di protezione dei dati, garantendo in tale modo i diritti degli interessati, a partire dal momento della progettazione (scelta dei mezzi, delle modalità e dei fini a cui il trattamento è indirizzato) fino all’esecuzione del trattamento. Nell’attuare le disposizioni previste, il titolare del trattamento deve tenere conto dello stato dell’arte, dei costi di attuazione, della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei diversi rischi aventi probabilità e gravità variabili correlati e strettamente collegati ai dati che raccoglie ed al trattamento che effettua con il fine ultimo della più ampia tutela dei diritti e delle libertà delle persone fisiche. Ciò implica che il titolare non dovrà adottare misure standard, che per altro il regolamento non indica, ma dovrà una volta valutato in maniera specifica il trattamento da lui concretamente svolto adottare quelle misure di prevenzione e protezione necessarie e sufficienti a garantire la protezione dei dati da lui raccolti, pena la non conformità del suo “sistema” a quanto previsto dal regolamento.

Il secondo principio introdotto dal GDPR sempre all’interno dell’art.25 è quello della “privacy by default”.

Tale principio rappresenta una specificazione del principio di necessità di cui all’art.25 Reg. UE 2016/679, considerando 78, stabilendo che i dati debbano essere trattati solo e soltanto in funzione delle finalità previste e espressamente dichiarate dal titolare del trattamento solo

202 _{Si veda l’articolo “GDPR, quando si può parlare di Privacy by design e Privacy by default”, recuperabile}

76 e soltanto per il periodo strettamente necessario a tali fini.203

Ciò comporta che l’analisi che il titolare del trattamento deve effettuare in tema di protezione dei dati personali debba essere svolta sia a monte, ovvero prima di procedere al trattamento dei dati personali (tramite un’analisi preventiva della situazione di fatto) adottando un approccio diretto ad individuare una serie di prassi specifiche e concrete tese alla salvaguardia dei dati204_{, sia a valle prima nella fase di sviluppo e di progettazione e dopo}

nella fase della raccolta, selezione ed utilizzo dei dati personali che dovrà sempre avvenire sulla base dell’analisi dettagliata del contesto avvenuta nella fase precedente all’inizio del trattamento.

Tali attività possono consistere, a titolo esemplificativo, in una riduzione al minimo del trattamento dei dati personali, nella pseudonimizzazione dei dati personali, massima trasparenza sulle finalità e modalità del trattamento, o nel consentire all’interessato di controllare il trattamento dei propri dati rendendo effettivamente esercitabili quei diritti che il regolamento attribuisce al soggetto trattato quale ad esempio il diritto alla cancellazione. Nel caso di trattamenti ad elevato rischio le aziende sulla base dell’art. 37 del regolamento, dovranno nominare come responsabile un consulente specializzato, il c.d. Data Protection

Officer, comunicandolo direttamente all’Autorità Nazionale Garante per la protezione dei

dati personali.205

A supporto del processo di responsabilizzazione e proceduralizzazione occorrerà iniziare a considerare necessaria la presenza di precisi adempimenti documentali, sostitutivi dei meccanismi di autorizzazione preventiva alle Autorità Garanti.

A sostegno di ciò, l’art. 30 del Reg. UE obbliga sia il titolare, sia il responsabile a tenere registri per documentare gli adempimenti e le procedure relative ai vari tipi di trattamento effettuati, nonché obblighi di comunicazione, in tempi stretti (dalle 48 alle 72 ore), di eventuali violazioni e/o incidenti formali206 _{agli interessati ed alle Autorità Garanti.}

L’introduzione nel regolamento del c.d. principio di accountability implicala responsabilizzazione interna di figure a cui si affidano posizioni di garanzia a tutela della

203 _{Rif. all’articolo “La privacy europea, il regolamento UE 2016/679”, di Gabriele Scafati reperibile su}

www.diritto24.ilsole24ore.com

204 _{Cfr. con quanto sostenuto nell’approfondimento su “privacy by design e privacy by default” ad opera dello}

studio di consulenza legale Delli Ponti reperibile suhttps://www.avvocatodelliponti.it

205 _{Si veda pag.64}

206 _{OGRISEG C., Il Reg. UE 2016/679 e la protezione dei dati personali nelle dinamiche giuslavoristiche, in}

77 protezione dei dati personali.

Il titolare dovrà obbligatoriamente dimostrare la corretta adozione di politiche privacy e misure adeguate in conformità a quanto stabilito dal regolamento, per questo motivo l’art.40 incoraggia l’adozione di codici di condotta “destinati a contribuire alla corretta

applicazione del presente regolamento, in funzione della specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese” e l’art.42

auspica l’istituzione di meccanismi di certificazione della protezione dei dati al fine di verificare la coerenza dei trattamenti alla normativa vigente, pur sottolineando che la certificazione è volontaria e non comporta una riduzione delle responsabilità del titolare e del responsabile del trattamento in caso di eventuali violazioni.

L’organizzazione delle nuove norme a tutela della sicurezza dei dati personali, per quanto riguarda la conformità, si affida a due standard internazionali rappresentati dall’ISO 19600, in riferimento all’approccio sistemico alla conformità aziendale per tutte le obbligazioni, e dalla nuova ISO 9001, basata su un’analisi del contesto in vari settori, sul coinvolgimento degli interessati e su un’analisi dei rischi.

L’obiettivo è quello di facilitare la comprensione dei contenuti e della tipologia del trattamento garantendo correttezza, liceità e la responsabilità del titolare, affidando all’Autorità di controllo la responsabilità di individuazione dei criteri e di rilascio delle certificazioni.

78

5. Il potere degli Stati e delle Autorità Garanti Nazionali in materia di protezione dei