Applicazione del nuovo Regolamento sulla privacy - GDPR. Il caso Fondazione Casa Cardinale Maffi - O.N.L.U.S

UNIVERSITA’ DI PISA

Dipartimento di Giurisprudenza

Corso di laurea Magistrale in Giurisprudenza

“Applicazione del nuovo Regolamento

sulla privacy - GDPR.

Il caso Fondazione Casa Cardinale Maffi - O.N.L.U.S.”

Il Candidato

Il Relatore

Veronica Rapezzi Prof.ssa Luisa Azzena

1

Com’è definita l’identità?

In passato si diceva: “io sono quello che dico di essere”.

Oggi siamo quello che Google dice che siamo

Siamo sempre meno persone, sempre più profili.

2

INDICE

INTRODUZIONE

CAPITOLO PRIMO

1. GENERAL DATA PROTECTION REGULATION - GDPR:

QUALI SONO I CAMBIAMENTI E COME ADEGUARSI AD

ESSO

1.1PREMESSA 12

1.2 GENERAL DATA PROTECTION: TUTTE LE INNOVAZIONI 14 1.2.1 Innovazioni in ambito territoriale 14 1.2.2 Il consenso: cosa cambia e cosa rimane invariato.

Lo specifico caso affrontato dalla Sentenza 17278/2018 della

Cassazione. 15

1.2.3 Introduzione del Data Protection Officer- DPO 17

1.2.4 Come cambiano le sanzioni e le responsabilità con il GDPR 20 1.2.5 Le novità sull’informativa: contenuto, tempi e modalità 24

1.2.6 Dal Documento Programmatico sulla Sicurezza al Registro

dei Trattamenti 27

1.2.7 I nuovi diritti degli interessati: diritto all’oblio, diritto alla portabilità dei dati, diritto alla limitazione del trattamento e diritti

di accesso 28

1.2.8 I soggetti del GDPR: il Titolare del trattamento, il Responsabile

del trattamento e gli Addetti 32 1.2.9 Principio di Accountability 35

1.2.10 Trasferimento dei dati verso Paesi Terzi o Organismi

Internazionali 37 1.3 ADEGUAMENTO AL GDPR 39 1.4 DATA BREACH: VIOLAZIONE DEI DATI PERSONALI 41 1.5 VALUTAZIONE DI IMPATTO SULLA PROTEZIONE DEI

3

1.6 REGISTRO DELLE ATTIVITA’ DEL TRATTAMENTO 44

1.7 LA PRIVACY NEL TERZO SETTORE E SPECIFICAMENTE NELLE STRUTTURE SANITARIE E SOCIO SANITARIE 45

1.8 CYBER SECURITY IN SANITA’: PROTEGGERE LE INFORMAZIONI DA EVENTUALI ATTACCHI 48

CAPITOLO SECONDO

2. L’APPLICAZIONE DEL GDPR ALLA FONDAZIONE

CASA CARDINALE MAFFI - O.N.L.U.S

2.2 FONDAZIONE CASA CARDINALE MAFFI- O.N.L.U.S 54

2.2.1 Breve excursus storico sulla Fondazione Casa Cardinale Maffi-O.N.L.U.S 54

2.2.2 L’attuale organizzazione della Casa Cardinale Maffi 57

2.3 APPLICAZIONE DEL D.LGS 196/2003 ALL’INTERNO DELLA FONDAZION CASA CARDINALE MAFFI – O.N.L.U.S 59

2.3.1 Il Piano di progetto iniziale 59

2.3.2 Implementazione del Piano del Progetto 60

2.3.3 Audit periodici e verifica del rispetto della normativa 63

2.4 PASSAGGIO DELLA FONDAZIONE AL NUOVO REGOLAMENTO GDPR 63

2.4.1 Piano di Progetto per la gestione del passaggio al GDPR 64

2.4.2 Attività realizzate nello specifico 66

2.5 CARTELLA SANITARIA: DALLA CARTELLA SANITARIA CARTACEA ALLA CARTELLA SANITARIA ELETTRONICA 70

2.5.1 Cartella Sanitaria Cartacea 71

2.5.2 Criticità nel passaggio alla Cartella Sanitaria Elettronica 75

2.5.3 Introduzione della Cartella Sanitaria Elettronica presso la Fondazione 77

4

2.5.4 Sicurezza, funzionalità e potenzialità della Cartella Sanitaria Elettronica 78 2.5.5 L’importanza della formazione 80

CAPITOLO TERZO

3. IL LEGAME FRA LA PRIVACY E LA

DIGITALIZZAZIONE

3.1 PREMESSA 82 3.2 PRIVACY E DIGITALIZZAZIONE IN ITALIA 82

3.2.1 Il processo di digitalizzazione e privacy nelle Pubbliche

Amministrazioni 83 3.2.2 L’importanza delle tecnologie informatiche

per i diritti sociali 84

3.2.3 Agenda Digitale Italiana: strategie e obiettivi 84 3.2.4 Documento cartaceo e documento informatico: digitalizzare i documenti per una miglior sicurezza e tracciabilità 86 3.2.5 Pubbliche Amministrazioni in ritardo sul digitale 87 3.2.6 Differenza fra dematerializzazione e digitalizzazione 88 3.3 IL DOCUMENTO INFORMATICO, IL PRINCIPIO DI

“ACCOUNTABILITY”, LA FIRMA DIGITALE E LA

FATTURAZIONE ELETTRONICA 89 3.3.1 Il Documento Informatico: cos’è, come viene conservato e archiviato 89 3.3.2 Legame fra il principio di “accountability” e digitalizzazione 91 3.3.3 La firma digitale 92 3.3.4 Fattura elettronica e le sue problematiche: l’intervento del Garante 94 3.4 DIGITALIZZAZIONE IN AMBITO SANITARIO 97 3.4.1 Cartella Sanitaria Elettronica 97 3.4.2 Il Fascicolo Sanitario Elettronico: integrazione delle Cartelle Sanitarie Elettroniche 100

5

3.4.3 Dossier Sanitario come supporto alla gestione

informatizzata 102

3.4.4 Il rispetto della privacy in ambito sanitario 103

3.5 IL SISTEMA DI SICUREZZA DELLE INFORMAZIONI NEL MONDO DIGITALE 105

3.5.1 La cosiddetta “intelligenza artificiale” 105

3.5.2 la “minaccia cibernetica” a seguito dell’avvento del GDPR 107 3.5.3 Reagire a tali minacce con la “Security Awareness”: una priorità delle aziende di ogni settore e dimensione 108

3.6 “O SI INNOVA O SI MUORE” 110

CAPITOLO QUARTO

4.CHIARIMENTI INTERPRETATIVI

4.2 PRESENTAZIONE DEGLI ESPERTI 114

4.3 CHIARIMENTI CIRCA LA FIGURA DEL DPO 117

4.3.1 La nomina del Data Protection Officer- DPO 117

4.3.2 DPO e conflitto di interessi 118

4.4 PRECISAZIONI SULLA FIGURA DEL RESPONSABILE DEL TRATTAMENTO 120

4.4.1 Responsabilità del Responsabile del trattamento 120

4.4.2 Sarebbe opportuna la certificazione del Responsabile del trattamento? 122

4.4.3 Con le modifiche introdotte dal nuovo Regolamento sulla privacy continua ad esistere la figura del “Responsabile interno del trattamento”? 123

4.5 LEGAME FRA DEMATERIALIZZAZIONE E GDPR 123

4.5.1 Dematerializzazione dei processi: come relazionarla con i requisiti posti dal GDPR 124

6

4.5.3 Competenze e certificazioni richieste ai fini delle misure tecniche e organizzative richiamate dal principio di accountability 128 4.6 PROTEZIONE DEI NOSTRI DATI 128 4.6.1 Quanto realmente siamo consapevoli dei diritti che abbiamo rispetto al trattamento dei nostri dati personali? 133 4.6.2 Trasferimento degli Awareness agli interessati 134 4.7 VALUTAZIONE DI RISCHIO E VALUTAZIONE

DI IMPATTO

135 4.8 DIRITTO ALL’OBLIO

4.9 IL PENSIERO DEGLI ESPERTI E L’EVOLUZIONE

GIURISPRUDENZIALE 136

CONCLUSIONI

BIBLIOGRAFIA

7

INTRODUZIONE

Negli ultimi anni, il tema della protezione dei dati personali, soprattutto a seguito degli sviluppi tecnologici, ha acquisito un rilievo sempre più rilevante e complesso. In un sistema caratterizzato dalla globalizzazione delle informazioni e da celeri progressi ottenuti nel campo informatico, è divenuto attuativo, dal 25 maggio 2018, il nuovo Regolamento sulla privacy, n.679/2016, denominato brevemente GDPR, ossia General Data Protection Regulation.

Il Regolamento è andato a sostituire la direttiva 95/46/CE ed, essendo obbligatorio e direttamente applicabile per tutti gli Stati Membri dell’Unione Europea, ha rafforzato la tutela e la libera circolazione dei dati personali all’interno degli stessi.

Le motivazioni che mi hanno spinto ad approfondire tale tema hanno una duplice natura:

 L’importanza di un argomento, come quello della privacy, che necessita sempre di essere difeso e protetto data l’inestimabilità della tutela dei dati personali e di tutte le ragioni per le quali tali dati debbano rimanere lontani da “occhi indiscreti”;

 L’attualità di tale tema, dal momento che il nuovo Regolamento è divenuto attuativo da quasi un anno e, come evidenzierò più volte successivamente, per il quale sono ancora in itinere, in ogni ambito lavorativo e non solo, corsi di formazione e informazione e processi di riorganizzazione atti ad adeguarsi ad esso nel miglior modo possibile.

Suddividendo la tesi in quattro capitoli, alla base del mio lavoro, e segnatamente nel mio primo capitolo, ho così cercato di mettere in luce i principali cambiamenti apportati dal GDPR, fra i quali l’introduzione

8

della figura del Data Protection Officer-DPO, le innovazioni che riguardano il consenso, l’informativa, le sanzioni e le responsabilità, i nuovi diritti degli interessati, il passaggio dal Documento Programmatico sulla Sicurezza-DPS al Registro dei Trattamenti, il principio di accountability, il trasferimento dei dati verso i Paesi terzi e Organismi Internazionali e le figure del GDPR, ossia il Titolare del trattamento, il Responsabile del trattamento e gli Addetti. Sempre all’interno del primo capitolo, ho analizzato il data breach, la valutazione di impatto e l’adeguamento di aziende, associazioni, enti e fondazioni al GDPR. Ho così concluso il primo capitolo approfondendo le applicazioni della citata intercorsa normativa negli Enti del Terzo Settore-ETS, in quanto anche tali Enti, ovviamente, si sono dovuti adattare alle nuove procedure in materia di privacy e hanno dovuto provvedere a tutti gli adempimenti del GDPR e, per ultimo, ho esaminato il problema della Cyber Security in sanità, andando ad anticipare l’argomento della sicurezza delle informazioni nel “mondo digitale” che, come vedremo, ho trattato in maniera più approfondita nel terzo capitolo.

Avendo trattato della privacy negli Enti del terzo settore, soprattutto in riferimento alle realtà che operano negli ambiti socio sanitari e sanitari, grazie alla opportunità fornitami dalla Fondazione Casa Cardinale Maffi O.N.L.U.S, ho impostato il secondo capitolo analizzando “sul campo” l’applicazione delle procedure sulla privacy in tale struttura, mettendo in luce il passaggio dalla precorsa normativa, ossia il D.lgs 196/2003, al GDPR. Dopo infatti aver trattato di un breve excursus storico della suddetta Fondazione, analizzandone il periodo che va dalla nascita al secolo scorso e quello dell’evoluzione degli ultimi anni, e dopo aver denotato l’attuale organizzazione della stessa, ho analizzato le fasi dell’attuazione della precorsa normativa e del nuovo Regolamento all’interno della Fondazione stessa, partendo dal piano di progetto iniziale, fino all’implementazione dello stesso, analizzando le attività

9

svolte a riguardo nello specifico. Grazie all’opportunità offertami dai direttori e dai dipendenti della menzionata struttura, ho avuto la possibilità di visionare personalmente gli schemi di applicazione delle normative sulla privacy e i cronoprogrammi volti a formare e informare il personale della stessa, e grazie alla possibilità di interloquire con loro ho acquisito notizie anche riguardanti il passaggio, all’interno della Fondazione, dalla cartella sanitaria cartacea a quella elettronica, mettendone in luce tutte le conseguenti criticità.

Il tema della salvaguardia dei dati sanitari, della cartella clinica elettronica e, in modo più generale della digitalizzazione, è stato però assoluto protagonista del terzo capitolo, dal momento che, con il passare del tempo, la produzione della carta lascerà sempre più spazio alla conservazione online dei dati e alla diffusione e sviluppo di internet. Riprendendo il tema della Cyber Security già trattato nel primo capitolo, ho messo in evidenza come, nonostante siano molti i benefici conseguenti al progresso tecnologico, molto spesso le aziende non siano all’altezza di proteggere in modo adeguato e tutelare i dati personali conservati in server. È chiara quindi l’importanza di attivare procedure che siano in grado di raggiungere elevati livelli di protezione da parte di coloro che gestiscono tali dati personali. Dettagliatamente, in tale terzo capitolo, ho affrontato il problema di come in Italia, soprattutto in ambito sanitario, la digitalizzazione vada molto a rilento e quindi come, dal punto di vista cibernetico, nel nostro Paese ci sia sempre più bisogno di corsi di formazione adeguati in grado di accrescere le competenze dei professionisti. Dopo aver trattato della privacy e della digitalizzazione in Italia, soffermandomi sulle Pubbliche Amministrazioni, sull’importanza delle tecnologie informatiche sui diritti sociali, sulle strategie e sugli obiettivi dell’Agenda Digitale Italiana, sulla differenza fra digitalizzazione e dematerializzazione e sul passaggio dal documento cartaceo a quello digitale, ho focalizzato l’attenzione proprio su quest’ultimo, e segnatamente su cosa esso sia e su come esso venga

10

conservato e archiviato. Ho altresì posto attenzione sul legame che è sorto fra il già menzionato principio di accountability e la digitalizzazione, sulla firma digitale e sulle varie problematiche sorte a seguito dell’obbligo, presente dal primo gennaio dell’anno corrente, della fattura elettronica, che hanno comportato l’intervento del Garante. Come già anticipato, sempre in tale terzo capitolo, ho trattato della digitalizzazione e privacy nel settore sanitario, analizzando nuovamente la Cartella Sanitaria Elettronica, mettendone in luce le differenze con il Fascicolo Sanitario Elettronico e il Dossier Sanitario. E per finire, come in precedenza annunciato, ho concluso il terzo capitolo trattando del sistema di sicurezza delle informazioni nel “mondo digitale”. Ho infatti sottolineato:

 Come sia necessaria, per cercare di ridimensionare le “minacce cibernetiche”, non solo la cosiddetta “intelligenza artificiale”, ossia un insieme di macchine volte a riscontrare eventuali anomalie e a risolvere efficacemente i problemi, ma anche la componente umana, in quanto anch’essa è fondamentale sia per porre in essere soluzioni nel campo del cyber security e sia per definire il livello delle minacce e di conseguenza per stabilire come poter reagire ad esse;

 Come sia necessario reagire a tali minacce con la “Security Awareness”, in quanto, accertato che non esiste alcuna soluzione capace di risolvere completamente il problema, il miglior strumento in grado di apportare maggiori benefici sembra essere quello di concentrare l’attenzione proprio “sull’utente”.

Essendo il tema della privacy un argomento molto vasto e complesso e quindi suscettibile di interpretazioni, ho ritenuto di concludere il mio lavoro, e quindi di impostare il mio quarto capitolo, ponendo l’attenzione su alcuni dubbi interpretativi che mi sono pervenuti nell’analizzare gli argomenti precedentemente trattati. In proposito, ho

11

avuto possibilità, grazie alla cortesia e alla disponibilità di quattro esperti a livello nazionale e europeo in privacy che mi hanno permesso di interloquire con loro fornendomi validi contributi in materia. I quesiti loro posti spaziano fra diversi ambiti, come sopra indicato, già precedentemente trattati, ed in modo particolare riguardano:

 La figura del DPO, segnatamente riguardo alla sua nomina e all’eventualità che possa generarsi un conflitto di interessi;  La figura del Responsabile del trattamento, chiedendo a tali

professionisti delucidazioni in modo particolare circa la sua responsabilità e una sua eventuale certificazione;

 Il legame che vi è fra dematerializzazione e GDPR, ottenendo chiarimenti anche circa l’uso dei dati anonimi e le competenze e certificazioni richieste ai fini delle misure tecniche e organizzative richiamate dal principio di accountability;

 La protezione dei dati personali, ossia su quanto realmente siamo consapevoli dei diritti che abbiamo rispetto al trattamento dei nostri dati personali e su come gli Awareness vengono effettivamente trasferiti agli interessati;

 La differenza terminologica fra “valutazione di impatto” e “valutazione del rischio”

 E per concludere il diritto all’oblio nell’ambito sanitario. Ho così concluso il mio lavoro cercando di chiarire alcune questioni controversie per le quali ho ritenuto doveroso fornire adeguati contributi per tutti coloro che si trovano ad applicare il nuovo Regolamento sulla privacy.

12

CAPITOLO 1

1.GENERAL DATA PROTECTION REGULATION: QUALI

SONO I CAMBIAMENTI E COME ADEGUARSI AD ESSO

1.1 PREMESSA

Nell’ordinamento comunitario, uno dei diritti fondamentali è costituito dalla protezione delle persone fisiche, facendo particolare riferimento al trattamento dei dati di carattere personale. Questo viene stabilito, non solo dall’Art.8, par.1, della Carta dei diritti fondamentali dell’Unione Europea, ossia dalla Carta di Nizza, ma anche dall’Art.16, par.1, del Trattato sul funzionamento dell’Unione Europea1_{. Esse, infatti,} evidenziano come ogni persona abbia il diritto alla protezione dei dati di carattere personale che la riguardano.

Recentemente, la tutela dei dati personali, è influenzata da diversi fattori causati in modo particolare dal progresso tecnologico2_{. È di} conseguenza evidente, come negli ultimi anni, sia cresciuta la raccolta e la condivisione dei dati personali, infatti:

 Da una parte, la tecnologia attuale, consente in misura maggiore rispetto a prima, sia alle imprese private che alle autorità pubbliche, di usufruire, nelle loro attività, dei dati personali;

 Dall’altra, su scala mondiale, le persone fisiche rendono agibili al pubblico, informazioni personali che li riguardano. Tali innovazioni tecnologiche, connesse alla globalizzazione delle informazioni e dei servizi, hanno evidenziato la necessità di raggiungere una diversa e più intensa protezione al trattamento dei dati personali. Il

1 _TFUE.

13

legislatore sovranazionale non si è mostrato disinteressato, ma anzi ha agito con interventi normativi diretti a bilanciare la libera circolazione dei dati personali nell’UE e la loro protezione.

Nonostante la direttiva 95/46/CE avesse cercato di garantire e tutelare la libera circolazione dei dati personali all’interno degli Stati Membri, questa direttiva non riuscì ad evitare la frammentazione della protezione dei dati personali nell’Unione e non riuscì nemmeno ad eliminare la percezione che, soprattutto gli interventi online, comportassero minacce per la protezione delle persone fisiche. In più, dal momento che la direttiva, non è di regola direttamente applicabile negli Stati Membri, ma necessita dell’adozione di apposite misure nazionali, si riteneva che la diversità negli Stati Membri, nell’applicare e nell’attuare la direttiva, contribuisse ad originare dei “punti bui” all’interno della stessa protezione3_{.Tutto ciò ha indotto il legislatore comunitario a delegare la} regolamentazione della privacy ad un diverso strumento normativo, ossia al Regolamento. Quest’ultimo, dal momento che è direttamente applicabile in tutti gli Stati Membri e dal momento che è obbligatorio in tutti i suoi elementi, è sicuramente più idoneo ad accrescere il livello di protezione dei dati personali in tutta l’Unione ed è in grado di rimuovere tutte quelle ineguaglianze che avrebbero costituito una minaccia alla libera circolazione dei dati nel mercato interno.

Per questi motivi, il 26 aprile 2016 è stato adottato, dal Parlamento europeo e dal Consiglio, il Regolamento 679/2016 volto a proteggere le persone fisiche con riguardo al trattamento e alla libera circolazione di dati personali che ha abrogato la direttiva 95/46/CE. Tale Regolamento, denominato brevemente GDPR- General Data Protection Regulation- è entrato in vigore il 24 maggio 2017, ossia venti giorni dopo la pubblicazione sulla Gazzetta Ufficiale dell’Ufficiale Europea, ed è diventato attuativo dal 25 maggio 2018. Tale GDPR, costituito da 99

14

articoli e valutato dagli operatori del settore come una “piccola rivoluzione” nel mondo della privacy, inserisce molte novità alla previgente disciplina4_.

1.2 GENERAL DATA PROTECTION: TUTTE LE

INNOVAZIONI

Molte sono le novità introdotte dal GDPR rispetto alla Direttiva 95/46/CE del Parlamento Europeo e del Consiglio del 1995, dalla quale poi è derivato il Codice per la protezione dei dati personali italiano. Il Regolamento europeo 679/2016 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati e che va ad abrogare la direttiva 1995/46/CE”, una volta trattato dei mutamenti sociali e tecnologici, va ad affermare una nuova disciplina apportando un cambiamento in un percorso iniziato oltre 20 anni prima. Viene infatti abrogata la “direttiva-madre” fin dal titolo.

1.2.1 Innovazioni in ambito territoriale

Riguardo all’ambito territoriale, possiamo dire che, la nuova legge, coinvolge i dati di tutti i cittadini europei e tutte le società che trattano o gestiscono tali dati, a prescindere dal Paese in cui tali dati vengono esaminati o in cui hanno la sede legale.

15

1.2.2 Il consenso: cosa cambia e cosa rimane invariato. Lo specifico caso affrontato dalla Sentenza 17278/2018 della Cassazione.

L’ottenimento del consenso, invece, invariatamente da prima, deve essere libero, informato e specifico. In nessun modo sarà ammesso il consenso tacito e presunto. Sempre invariatamente a prima, il consenso, deve essere manifestato attraverso “dichiarazione o azione positiva inequivocabile”. Una novità riguarda il consenso dei minori che è valido a partire dai 16 anni, limite abbassato a 13 anni dalla normativa nazionale, mentre prima di quell’età è il genitore o chi ne fa le veci che deve esprimerlo. Rispetto a prima, inoltre, come stabilisce l’Art.9 del Regolamento, per i “dati sensibili”, il consenso deve essere necessariamente esplicito, non è necessario che sia documentato per iscritto e né è richiesta la forma scritta. Inoltre il titolare deve riuscire a dimostrare che l’interessato ha prestato il consenso ad un trattamento specifico5_.

Da sottolineare è il caso in cui il consenso sia stato raccolto precedentemente al 25 maggio 2018. Cosa ha comportato? Se esso possedeva tutte le caratteristiche sopraindicate, è rimasto valido. In caso contrario le aziende hanno dovuto attivarsi per raccogliere nuovamente il consenso degli interessati, seguendo ciò che prescrive il Regolamento. Quindi non è obbligatorio richiedere da capo tutti i consensi al trattamento dei dati che già sono stati rilasciati, ma però è necessario accertarsi che essi siano conformi al GDPR6_.

Bisogna inoltre prestare attenzione alla formula necessaria per chiedere il consenso, la quale deve essere: comprensibile, semplice e chiara7_{. Un}

5 _Cfr.

https://www.garanteprivacy.it/regolamentoue/fondamenti-di-liceità-del-trattamento.

6 _{Dalla conferenza APIHM “Diritto alla privacy e gestione sicura dei dati personali}

nel sistema sanitario, tra falsi miti, realtà e complessità” tenutosi il 30/11/2018 all’Hotel Galilei Pisa.

7 _Cfr.

16

aspetto che ritengo rilevante da sottolineare è che spesso capita di ritrovarci sommersi da messaggi e telefonate non graditi ed il motivo risiede nel fatto di aver, involontariamente, con un semplice “click”, rilasciato il consenso nei siti in cui navighiamo. Ad affrontare tale questione vi è stata la Sentenza della Cassazione del 2 luglio 2018, n.17278. Dal momento che il semplice “click” è da tempo equiparato alla tradizionale nostra sottoscrizione sui fogli cartacei, cioè alla volontà espressa con la firma a penna, la Cassazione sottolinea come il consenso debba essere libero, cioè ognuno può essere libero di prestarlo o meno, ma una volta prestato nessuno può più lamentarsi delle eventuali conseguenze. La citata recente decisione chiarisce però come tale rispetto del libero consenso, in alcuni casi, debba essere contemperato con il diritto del titolare di poter proibire una parte della navigazione e questo avviene ogni volta in cui tale “click” è obbligatorio per poter continuare a navigare nel sito. La Cassazione ha sottolineato che tale diritto è prevalente rispetto al concetto di libero consenso, precisando come questo sia possibile quando il servizio offerto sia fungibile, e nel caso in cui ciò non rechi all’utente un gravoso sacrificio.

La Cassazione sottolinea anche come il consenso debba essere specifico e cioè devono essere poste, dal titolare del sito, le cautele per far sì che il rilascio avvenga in modo corretto. Quindi l’utente deve essere sempre messo nella condizione di conoscere l’utilizzo che verrà fatto dei suoi dati. Di conseguenza, il consenso, non è valido quando l’informazione, relativa alla destinazione dei suoi dati, non è chiara e trasparente. Quindi, rispetto a prima, deve esservi la consapevolezza sia della necessità di adeguarsi alla normativa, sia degli strumenti che permettono agli interessati di difendersi dagli abusi8_.

8

17

1.2.3 Introduzione del Data Protection Officer- DPO

Collegato all’ottenimento del consenso vi è l’introduzione del DPO -Data Protection Officer- Responsabile della protezione dei dati. Questa nuova figura, che il regolamento richiede sia individuata in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati, costituisce il fulcro del processo di attuazione del principio di "responsabilizzazione". All’interno del panorama legislativo europeo, l’introduzione del DPO, non è stata una novità assoluta, in quanto, nonostante non vi fosse mai stata una legge comunitaria che avesse previsto l’obbligo di tale figura, vari Stati dell’Unione, come ad esempio gli ordinamenti anglosassoni, l’avevano già ufficializzata recependo la direttiva 95/46/CE.

L’Italia, invece, con il D.lgs 196/2003, che ha originato il Codice della Privacy, non aveva istituito tale figura, perciò, con il nuovo Regolamento, è stato necessario introdurla, tenendo conto, non solo delle disposizioni del GDPR, ma anche tenendo conto del contesto

legislativo nazionale.La designazione di tale figura è obbligatoria:

 In tutti i casi in cui il trattamento dei dati personali sia

eseguito da un’autorità o da un organismo pubblico, ad

eccetto delle autorità giurisdizionali quando esercitano le loro

funzioni giurisdizionali9_;

 È poi obbligatoria anche in tutti i casi in cui le attività

principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/ o finalità, necessitano del monitoraggio regolare e sistematico degli interessati su larga scala;

9 _Cfr.

18

 Inoltre è poi obbligatoria anche nei casi in cui le attività

principali del responsabile o del titolare del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’art.910_{, odi dati relativi}

a condanne penali e reati di cui all’art.1011 _{del Regolamento}

in esame.

Il DPO è una figura professionale caratterizzata da competenze in

ambito giuridico, informatico, di analisi di processi e di valutazione del rischio. Deve sempre curare il proprio aggiornamento e incrementare

continuamente il suo livello di competenze12_{. È inoltre dotato di}

particolari conoscenze normative e della prassi in materia di protezione

dei dati.Il suo compito principale è infatti quello di valutare, osservare

e gestire il trattamento dei dati personali, in modo da cercare di far rispettare le normative europee e nazionali in materia di privacy. Tra i suoi compiti emergono anche quello di fornire e informare consulenza al titolare del trattamento o al responsabile del trattamento o ai dipendenti che eseguono il trattamento sulla base degli obblighi derivanti dal GDPR nonché da ulteriori disposizioni dell’Unione o degli Stati membri che si riferiscono alla protezione dei dati ovvero quello di cooperare con l’autorità di controllo e fungere da punto di contatto con quest’ultima per questioni connesse al trattamento dei dati personali. Deve inoltre effettuare un’attività di sorveglianza che ha ad oggetto, da una parte l’osservanza del GDPR e di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati e dall’altra parte le

10 _{Le categorie particolari dei dati a cui l’Art.9 del GDPR fa riferimento sono quelle}

che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

11 _{L’Art.10 del GDPR si occupa del trattamento dei dati personali relativi alle}

condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’Art.6, par.1.

12 _{Dalla conferenza APIHM “Diritto alla privacy e gestione sicura dei dati personali}

nel sistema sanitario, tra falsi miti, realtà e complessità” tenutosi il 30/11/2018 all’Hotel Galilei Pisa.

19

politiche adottate dal titolare del trattamento o dal responsabile del

trattamento in materia di protezione dei dati personali.Sempre a carico

del DPO vi è anche il compito di occuparsi della formazione del personale che partecipa ai trattamenti e alle relative attività di controllo e quello di fornire, nel caso fosse chiesto, un parere riguardo alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo

svolgimento ai sensi dell’Art.35 del Regolamento13_{.All’Art.37, invece,}

il GDPR non indica in modo specifico quali siano le necessarie qualità professionali per rivestire la figura del DPO, ma, in modo chiaro, possiamo evincere che tale soggetto debba possedere un’adeguata esperienza in ambito legislativo sulla protezione dei dati personali e una approfondita conoscenza del Regolamento.

Quando un soggetto viene nominato DPO, è utile che integri le proprie competenze con letture, seminari, corsi e tante altre cose, ma, per poter svolgere correttamente i suoi compiti, nella maggior parte dei casi, occorre la presenza di “diversi approfonditi saperi specialistici” riferiti sia al settore giuridico, ma anche organizzativo, tecnologico e

manageriale14_{. È importante che il DPO, abbia qualità professionali}

proporzionate al compito che deve svolgere e in modo particolare, in settori come quello della sanità, deve essere in grado di dimostrare di avere anche delle competenze specifiche rispetto ai tipi di trattamento

posti in essere dal tribunale15_{.Nel caso in cui fossimo dinanzi ad un ente}

o ad un organismo pubblico, tale figura, dovrebbe avere anche una buona conoscenza delle regole e delle procedure dell’organizzazione amministrativa. 13 _Cfr. https://www.riskcompliance.it/news/il-dpo-compiti-e-requisiti-professionali-ai-sensi-del-gdpr. 14 _Cfr. https://www.riskcompliance.it/news/il-dpo-compiti-e-requisiti-professionali-ai-sensi-del-gdpr. 15 _Cfr. https://www.agendadigitale.eu/cittadinanza-digitale/gdpr-tutto-cio-che-ce-da-sapere-per-essere-preparati.

20

Il DPO deve operare in assoluta autonomia e indipendenza, senza che nessuno possa dargli istruzioni riguardo all’esecuzione del suo ruolo. Per evitare conflitti di interessi, il responsabile della protezione dei dati non può svolgere mansioni o compiti che portino a possibili situazioni di conflitto con il DPO. Tale figura può essere scelta fra i dipendenti del titolare del trattamento oppure può essere un soggetto esterno e autonomo, ingaggiato in base ad un contratto di servizi.

Qualora le dimensioni della struttura lo consentono, le linee guida specificano che, oltre al DPO singolo, sempre inteso come persona fisica, può essere previsto un DPO Team, senza necessariamente che tutti i componenti dello staff dispongono di tutti i requisiti richiesti per il ruolo di DPO. Qualora il DPO sia esterno, può essere previsto anche un DPO coordinatore, ossia un soggetto che coordina le attività degli altri DPO assistenti, con la peculiarità che solo lui sarà responsabile ed indicatore del cliente.

Il DPO inoltre deve essere coinvolto in tutte le questioni che lo interessano in modo tempestivo ed adeguato e deve essere sostenuto, nell’esercizio delle sue attività, dal titolare e dal responsabile del trattamento16_.

1.2.4 Come cambiano le sanzioni e le responsabilità con il GDPR Anche riguardo al sistema sanzionatorio con l’entrata in vigore del GDPR vi sono stati dei notevoli cambiamenti rispetto alla Direttiva 95/46/CE. Quest’ultima, diversamente dal Regolamento, prevedeva che spettasse agli Stati membri stabilire le conseguenze di eventuali violazioni, senza dare alcuna delucidazione circa l’entità e la tipologia delle sanzioni. Con il GDPR, la situazione cambia, infatti esso indica

16 _Cfr.

21

espressamente quali sono gli importi e le circostanze che portano ad

irrogare sanzioni amministrative17_{. Con tale Regolamento, ogni azienda,}

ha l’obbligo di adottare un sistema di policy e delle misure tecniche e organizzative, che permettono di verificare se l’azienda stessa sia

conforme alla nuova normativa sulla privacy18_.

Ritengo infatti rilevante approfondire il regime sanzionatorio derivante dal GDPR, dal decreto 101/2018 di armonizzazione del Codice della

privacy19_{e dalle norme del Codice della privacy che sono rimaste in vita}

a tale decreto di armonizzazione20_{. Nel caso in cui le aziende non}

adottassero le misure necessarie per verificare la conformità alla nuova normativa, o anche nel caso in cui tale conformità mancasse, il GDPR prevede delle sanzioni amministrative pecuniarie e non solo.

Dall’Art.83 del Regolamento possiamo distinguere due tipi di sanzioni amministrative pecuniarie: quelle che arrivano fino a 10 milioni di euro, o per le imprese fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, nel caso fosse superiore, che riguardano

violazioni di minore gravità21 _{e quelle che assommano fino a 20 milioni}

di euro, o per le imprese fino al 4% sempre riguardo al fatturato annuo dell’esercizio precedente, se superiore, nel caso di violazioni di

maggiore gravità22_{. Valutando sempre la natura, la gravità, la durata}

della violazione, il dolo e la colpa, spetta al Garante per la protezione dei dati personali, stabilire di volta in volta se vi sono tali violazioni e nel caso vi fossero, irrogare le opportune sanzioni23_{. Il Garante, in}

17 _{Cfr. Finocchiaro G. “Il nuovo regolamento europeo sulla privacy e sulla protezione}

dei dati personali”, 2017, Zanichelli.

18 _{Cfr. https://www.01net.it/gdpr-sanzioni.}

19 _{Tale Decreto di Armonizzazione è entrato in vigore lo scorso 19 settembre.} 20

Cfr.https://www.agendadigitale.eu/sicurezza/privacy/gdpr-sanzioni-e-responsabilità-tutto-cio-che-ce-da-sapere.

21 _{Come ad esempio le violazioni degli obblighi del titolare o del responsabile del}

trattamento.

22 _{Come ad esempio l’inosservanza di un ordine o le violazioni che riguardano il}

consenso o i diritti degli interessati.

23 _{Cfr. http//www.}

22

alternativa o in aggiunta ad esse, in base a ciò che stabilisce l’Art.58 del Regolamento, potrà ricorrere a vari correttivi, tra i quali anche quello di limitare o addirittura vietare un trattamento dei dati. Naturalmente, come possiamo ben immaginare, un provvedimento del genere può benissimo portare ad arrestare l’emissione di un servizio o di un’attività già intrapresa, portando notevoli danni anche nei confronti dei clienti i quali avrebbero diritto ad essere risarciti. Quindi il non conformarsi alle nuove disposizioni sulla privacy può comportare notevoli danni economici e di

immagine alle aziende24_.

Per quanto riguarda invece le sanzioni penali, possiamo dire che il GDPR non le prevede esplicitamente, anche se il Considerando 149, l’Art 84 del GDPR e l’Art.83 del Trattato sul funzionamento dell’Unione Europea, consentono agli Stati membri, la possibilità, di predisporre delle disposizioni relative a sanzioni penali in caso di non rispetto della nuova normativa sulla privacy. La responsabilità penale è personale, in quanto riguarda solo le persone fisiche che hanno commesso o hanno concorso a commettere un reato e il legislatore europeo non prevede limitazioni, se non il rispetto del principio del ne bis in idem, per evitare di essere puniti due volte per il medesimo reato25_.

Anche riguardo alle sanzioni penali è intervenuto il decreto 101/2018 che ha rettificato le disposizioni penalmente rilevanti già disposte dal Codice sulla privacy e le ha integrate con ulteriori violazioni. Si ricorre ad esse, ad esempio, in caso di trattamento illecito dei dati, in caso di acquisizione fraudolenta dei dati personali, inosservanza dei

provvedimenti del Garante ed in altri casi26_.

Per concludere l’argomento sanzionatorio ritengo opportuno dare chiarimenti su chi incombono le relative responsabilità. Spesse volte

24 _{Cfr. https://www.01net.it/gdpr-sanzioni.}

25 _{Cfr. Pelino E., Bolognini L., Bistolfi C., “Il regolamento privacy europeo”, 2016,}

Giuffrè.

26

23

viene ritenuto che l’unico soggetto che debba rispondere delle sanzioni amministrative sia solamente il titolare del trattamento, da intendersi come entità nel suo complesso. Tale considerazione non è corretta in quanto, in realtà, non è raro che un grave comportamento da parte del responsabile possa implicare la responsabilità non solamente sul titolare. A conferma di ciò vi sono anche diversi articoli del Regolamento europeo che stabiliscono in capo al responsabile del trattamento obblighi generali e di sicurezza, quali gli Art. da 28 a 30, l’Art.33 sulla notificazione della violazione dei dati e l’Art.83, lettera d) che

attribuiscono l’illecito amministrativo anche al responsabile27_{. Quindi}

titolare e responsabile vengono entrambi coinvolti per dare un risarcimento del danno pieno ed effettivo agli interessati. L’Art 82 del GDPR infatti sottolinea come la persona lesa possa ottenere il risarcimento da entrambi tali soggetti, ma, mentre il titolare del trattamento deve rispondere per il danno causato che violi il GDPR, il responsabile dovrà rispondere solo esclusivamente nel caso in cui violi le legittime istruzioni impartitegli dal titolare28_.

Nel caso invece di violazioni plurime, ossia quando in relazione al medesimo trattamento o a trattamenti collegati, un titolare o un responsabile violi, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria,

non supera l’importo specificato per la violazione più grave29_.

27 _{Cfr. https://www.etiprivacy.it/gdpr-sanzioni-responsabilità-cio-ce-sapere.} 28 _Cfr.

https://www.agendadigitale.eu/sicurezza/privacy/gdpr-sanzioni-e-responsabilità-tutto-cio-che-ce-da-sapere.

29 _{Cfr. Dalla conferenza APIHM “Diritto alla privacy e gestione sicura dei dati}

personali nel sistema sanitario, tra falsi miti, realtà e complessità” tenutosi il 30/11/2018 all’Hotel Galilei Pisa.

24

1.2.5 Le novità sull’informativa: contenuto, tempi e modalità

Le novità dell’informativa, prendono in considerazione, sia il contenuto, sia i tempi e sia le relative modalità.

 Per quanto concerne i contenuti dell’informativa

fondamentale da dire è che essi sono elencati tassativamente negli Art.13, par.1 e 14, par.1 del Regolamento e in parte sono più ampi rispetto al Codice. Il titolare deve indicare “i dati di contatto del DPO, se esistente, la base giuridica del trattamento, qual è il suo interesse legittimo, se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo

attraverso quali strumenti”30_{. Sono contenute nel}

Regolamento anche le informazioni “necessarie per garantire un trattamento corretto e trasparente”. Il titolare infatti deve indicare il periodo di trattazione dei dati o i criteri utilizzati per stabilire tale periodo di conservazione e il diritto di presentare un reclamo all’autorità di controllo. L’informativa deve sottolineare se questo procedimento comporta processi decisionali automatizzati, sottolineando anche le conseguenze che coinvolgono l’interessato e indicando persino la logica di tali processi decisionali.

 Per quanto concerne i tempi dell’informativa, essa deve

essere fornita in un termine che non può essere superiore ad un mese dalla raccolta, nel caso in cui siamo dinanzi a dati

personali non raccolti direttamente presso l’interessato31_,

oppure al momento della comunicazione dei dati dei terzi, ai terzi o all’interessato32_.

30 _{Cfr. https://www.garanteprivacy.it/regolamentoeu/informativa.} 31 _{Art.14 del GDPR.}

25

 Per quanto riguarda le modalità dell’informativa, il

Regolamento, in modo più preciso rispetto al Codice, indica, tutte le caratteristiche che essa deve avere. Ossia è importante che abbia forma concisa, trasparente, intelligibile per l’interessato e deve essere facilmente accessibile. Inoltre il linguaggio deve essere chiaro e semplice e per i minori deve essere utilizzato un linguaggio facilmente comprensibile per la loro età. L’informativa avviene per iscritto ed è preferito il formato elettronico, soprattutto nel contesto di servizi online, anche se possono essere utilizzati anche “altri mezzi”. Infatti tale informativa può anche essere data in forma orale, ma sempre rispettando le caratteristiche

previste dall’art.12, paragrafo 733_{. L’Art.13, paragrafo 4,}

l’Art.14, paragrafo 5 e l’Art.23, paragrafo 1 del Regolamento, sottolineano come siano in parte diversi i requisiti richiesti per l’esonero dell’informativa, anche se, spetta al titolare, in caso di dati personali, verificare se comporti uno sforzo eccessivo effettuare l’informativa agli interessati, nel caso di dati personali raccolti da fonti diverse dall’interessato, come indica l’Art.14, paragrafo 5, lettera

b).34 _{Come indicano gli Art.13 e 14 del Regolamento, rimane}

come prima il fatto che all’interessato debba essergli fornita l’informativa prima che venga effettuata la raccolta di dati. Se quest’ultimi non sono raccolti direttamente presso di lui, l’informativa dovrà riguardare anche le categorie dei dati personali che sono oggetto di trattamento. In ogni caso, “il titolare deve specificare la sua identità e quella

33 _{Il paragrafo 7 dell’Art.12 del GDPR espone che “le informazioni da fornire agli}

interessati a norma degli Art. 13 e 14 possono essere fornite in combinazione con icone standardizzate per dare, in modo facilmente visibile, intellegibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto. Se presentate

elettronicamente, le icone sono leggibili da dispositivo automatico”.

26

dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento e i diritti degli interessati, compreso il diritto alla portabilità dei dati, se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati”35_.

Sempre in merito all’informativa vi sono delle “raccomandazioni” da

sottolineare. Prima di tutto è opportuno che i titolari di

trattamento verifichino se le informative attualmente utilizzate, corrispondono ai contenuti obbligatori e alle modalità di redazione necessari. In caso contrario dovranno essere apportate le modifiche o le integrazioni richieste dal Regolamento. Quest’ultimo appoggia il concetto di informativa "stratificata", più volte richiamato dal Garante nei suoi provvedimenti, e predispone la possibilità di utilizzare alcuni strumenti elettronici per cercare di diffondere e semplificare la concessione delle informative. I titolari, in attesa della definizione, da parte della Commissione, di icone standard, una volta adeguata l’informativa, potranno continuare o iniziare ad usare queste modalità per prestare l´informativa, comprese le icone, come le banche, la videosorveglianza ed altre, che l´Autorità ha in questi anni suggerito nei suoi provvedimenti.

Devono poi essere adottate anche le misure organizzative interne volte ad assicurare il rispetto della tempistica: il termine di 1 mese per l´informativa all´interessato è chiaramente un termine massimo, e, come stabilisce l´Art.14, paragrafo 3, lettera a) del Regolamento, tale termine deve essere "ragionevole". Nel caso in cui i dati non siano raccolti presso gli interessati, dal momento che spetta al titolare verificare lo sforzo richiesto per informarli, e salva l´esistenza di specifiche disposizioni normative nei termini di cui all´Art.23, paragrafo 1 del Regolamento, è

27

necessario fare riferimento ai criteri stabiliti nei provvedimenti con cui il Garante ha riconosciuto negli anni l´esistenza di tale sproporzione36_.

1.2.6 Dal Documento Programmatico sulla Sicurezza al

Registro dei Trattamenti

Un altro punto fondamentale da sottolineare è il passaggio dal DPS, ossia il “Documento Programmatico sulla Sicurezza”, il quale garantiva alle imprese il controllo sui dati e la loro sicurezza prevedendo ogni possibile data breach e quindi, di conseguenza, ogni possibile sanzione dall’Autorità Garante, al Registro delle Attività del Trattamento, il quale invece stabilisce che “tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti, ma solo se non effettuano trattamenti a rischio, hanno l’obbligo di tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all’Art.3037_”.

Come meglio successivamente analizzeremo, esso è uno strumento

fondamentale sia per l´eventuale supervisione da parte del Garante, sia

allo scopo di disporre di un quadro aggiornato dei trattamenti posti all´interno di un´azienda o di un soggetto pubblico. Tale registro deve avere forma scritta, anche elettronica, e se il Garante lo richiede deve essere esibito. Anche a riguardo vi sono delle “raccomandazioni”. La tenuta di tale registro non costituisce un adempimento formale, ma è necessario per una corretta gestione dei dati personali. Così, tutti i

titolari di trattamento e i responsabili, sono obbligati a tenere tale registro e devono compiere una precisa ricognizione di tutti i trattamenti svolti e delle rispettive caratteristiche. Tali soggetti possono inoltre

36 _{Cfr. https://www.garanteprivacy.it/regolamentoeu/informativa.}

37 _Cfr.

28

inserire anche altre informazioni se lo riterranno opportuno, proprio a seguito della complessiva valutazione di impatto dei trattamenti svolti38_.

1.2.7 I nuovi diritti degli interessati: diritto all’oblio, diritto

alla portabilità dei dati, diritto alla limitazione del

trattamento e diritto di accesso

Non meno importanti da sottolineare sono le novità che riguardano i diritti degli interessati. Tali diritti, che a breve esamineremo, sono indicati con precisione dal GDPR e tra essi abbiamo: l’accesso, la cancellazione, la portabilità dei dati e le limitazioni al trattamento. Le modalità di esercizio dei diritti, da parte degli interessati, sono stabilite, in via generale, dagli Art.11 e 12 del Regolamento. Rispetto a prima, il termine per la risposta all’interessato, per i diritti, è di 1 mese, ma in caso di particolare complessità può essere esteso fino a 3 mesi. Il titolare, anche in caso di diniego, deve dare un riscontro all’interessato, entro un mese dalla richiesta. Spetta al titolare verificare la complessità di tale riscontro e indicare l´ammontare dell´eventuale contributo da chiedergli. Ma questo, solo nel caso in cui si tratti, di richieste manifestamente infondate o eccessive, a differenza di quanto prevedono gli Art.9, comma 5, e 10, commi 7 e 8, del Codice. Nel caso in cui vengono ad essere richieste più "copie" dei dati personali, per quanto riguarda il diritto di accesso, ai sensi dell’Art.15, paragrafo 3, il titolare deve tenere conto dei costi amministrativi sostenuti. Il riscontro all´interessato generalmente avviene in forma scritta e anche attraverso strumenti elettronici, che ne aiutano l´accesso. Come stabiliscono l’Art.12, paragrafo 1 e l’Art.15, paragrafo 3, tale riscontro può essere dato anche in forma orale, ma solo se lo richiede l’interessato. La

38 _Cfr.

29

risposta, oltre a dover essere fornita con un linguaggio semplice e chiaro ed oltre a dover essere “intellegibile”, dovrà essere anche trasparente, concisa e facilmente accessibile. Mentre è rimasto invariato a prima il fatto che il titolare del trattamento deve cercare di agevolare l´esercizio dei diritti da parte dell´interessato, ponendo in essere ogni misura idonea, sia tecnica che organizzativa39_{. Nonostante quello che}

sembra potersi evincere dagli Art.15-22 del Regolamento, il riscontro in

caso di esercizio dei diritti, spetta solo al titolare. Il responsabiledovrà

però cooperare con il titolare ai fini dell´esercizio dei diritti degli interessati. E non cambia nemmeno il fatto che l´esercizio dei diritti è,

generalmente gratuito per l´interessato, ma, nonostante questo, possono

esservi eccezioni. Al titolare spetta il diritto di chiedere le informazioninecessarie a identificare l´interessato, e quest´ultimo dovrà fornirle correttamente.

Vi sono delle deroghe ai diritti riconosciutidal GDPR, ma solo riguardo alle disposizioni normative nazionali, ai sensi dell´Art.23 o ai sensi di altri articoli relativi a specifici ambiti. Le raccomandazioni che troviamo a riguardo, indicano che i titolari di trattamento, devono adottare le misure tecniche e organizzative che servono per favorire l’esercizio dei diritti. Anche le informazioni fornite dal Garante che riguardano l’intelligibilità del riscontro fornito agli interessati e la completezza di tale riscontro, potranno risultare necessarie40_.

Andando ad esaminare nello specifico tali diritti, possiamo dire che fra essi emerge il diritto all’oblio che è trattato nell’Art.17 del GDPR. Tale si configura come “un diritto alla cancellazione dei propri dati personali in forma rafforzata”. Il titolare del trattamento, senza ingiustificato ritardo, deve eliminare i dati personali ogni volta in cui vi siano determinati motivi, tra i quali, ad esempio, il fatto che i dati personali siano stati utilizzati in modo illecito, oppure nel caso in cui i dati

39 _{Cfr. https://www.garanteprivacy.it/regolamentoeu/diritti-degli-interessati.} 40 _{Cfr. https://www.garanteprivacy.it/regolamentoeu/diritti-degli-interessati.}

30

personali non siano più necessari per i fini per i quali sono stati raccolti, oppure ancora nel caso in cui l’interessato revochi il consenso precedentemente rilasciato ed altri motivi ancora41_{. Così, i titolari, nel}

caso in cui abbiano "reso pubblici" i dati personali dell´interessato, ad esempio pubblicandoli su un sito web, hanno l’obbligo di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi "qualsiasi link, copia o riproduzione”42_{. Tale diritto,}

detto anche “diritto alla cancellazione”, è più esteso rispetto a quello previsto dal Codice della privacy all’Art.7, comma 4 lettera b), in quanto, l’interessato, per esempio, anche dopo la revoca del consenso al trattamento, può chiedere la cancellazione dei propri dati43_.

All’art.20 del GDPR, emerge inoltre la portabilità dei dati, ossia il diritto che permette all’interessato di ricevere, dal titolare, la copia dei dati personali oggetto del trattamento. Quindi, detto in altri termini, tale diritto permette all’interessato di ottenere i dati personali che lo riguardano e che sono stati forniti a un titolare del trattamento. Tale diritto, anche se non è totalmente sconosciuto dai consumatori, infatti basta pensare al numero telefonico, è uno dei nuovi diritti previsti dal GDPR. Non applicandosi ai trattamenti non automatizzati, non si può applicare né agli archivi e ne hai registri cartacei. Per quanto riguarda il suo esercizio sono previste determinate condizioni, infatti, vengono considerati portabili solo i dati trattati a seguito del consenso dell´interessato o in base a un contratto stipulato con l´interessato. Quindi, ai dati il cui trattamento si fonda sull´interesse pubblico o sull´interesse legittimo del titolare, non si applica. Inoltre, se dal punto di vista tecnico è possibile, il titolare deve riuscire a trasferire direttamente i dati portabili a un altro titolare indicato dall´interessato44_.

41 _{Cfr. Tarallo P. “la tutela dei dati nel settore salute”, 2017, EPC editore, pag.486.} 42 _{Cfr. https://www.garanteprivacy.it/regolamentoeu/diritti-degli-interessati.} 43 _{Cfr. https://www.dirittierisposte.it/Schede/Tutela-della-}

privacy/Diritti/gdpr_i_diritti_degli_interessati_id1173414_art.aspx.

31

Riguardo a tale diritto meritano attenzione alcune “raccomandazioni”.

Il Gruppo "Articolo 29" di recente ha pubblicato linee-guida

specifiche dove vengono evidenziati i requisiti e dove vengono spiegate

le caratteristiche del diritto alla portabilità dei dati. Esse si riferiscono in modo particolare ai diritti di terzi interessati, i cui dati, siano compresi fra quelli "relativi all´interessato" di cui questo ne chiede la portabilità. A riguardo, vanno sottolineati i molti provvedimenti con cui l´Autorità

ha indicato criteri per bilanciare i diritti e le libertà fondamentali di terzi

e quelli degli interessati che esercitano i diritti di cui all’Art.7 del codice. Dal momento che la trasmissione dei dati da un titolare all´altro fa sì che si utilizzino formati interoperabili, i titolari che rientrano nel campo di applicazione di questo diritto devono adottare le misure necessarie per produrre i dati richiesti in un formato interoperabile in base alle indicazioni fornite nel considerando 68 e nelle linee-guida del Gruppo "Articolo 29”45_.

Merita attenzione anche il diritto previsto all’Art.18 del GDPR, ossia il diritto alla limitazione del trattamento. Quest’ultimo è un diritto diverso e più esteso rispetto al "blocco" del trattamento di cui all´Art.7, comma 3, lettera a), del Codice. Infatti, in particolare, è esercitabile non solo quando vi è una violazione dei presupposti di liceità del trattamento, come alternativa alla cancellazione dei dati stessi, ma anche se l´interessato chiede di rettificare i dati, in attesa di tale rettifica da parte del titolare, o nel caso in cui l’interessato si opponga al loro trattamento ai sensi dell´Art.21 del Regolamento, in attesa della valutazione da parte del titolare. A meno che non vi siano determinate condizioni, nessun trattamento del dato, esclusa la conservazione, di cui si chieda la limitazione è vietato. Le condizioni di cui si parla a riguardo sono ad esempio: consenso dell´interessato, accertamento diritti in sede giudiziaria, tutela dei diritti di altra persona fisica o giuridica, interesse pubblico rilevante e tante altre. Tale diritto alla limitazione prevede

32

che il dato personale sia "contrassegnato" in attesa di ulteriori limitazioni. Quindi i titolari devono prevedere nei loro sistemi informativi, elettronici o meno, delle misure idonee a tale scopo46_.

Non meno importante è il diritto di accesso, previsto all’Art.15 del GDPR. Esso è il diritto che permette, in ogni caso, di ricevere una copia dei dati personali oggetto di trattamento. Tra tutte le informazioni che il titolare deve fornire non vi rientrano le "modalità" del trattamento, mentre è necessario indicare il periodo di conservazione previsto o, se questo non è possibile, i criteri che vengono usati per definire tale periodo. Devono inoltre essere indicate anche le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi. I titolari possono anche permettere agli interessati, di consultare i propri dati personali, da remoto e in modo sicuro47_.

1.2.8 I soggetti del GDPR: il Titolare del trattamento, il

Responsabile del trattamento e gli Addetti

Per quanto riguarda invece il titolare del trattamento, il responsabile del trattamento e gli addetti possiamo dire che, come indica l’Art.26 del GDPR, rispetto a prima, il Regolamento prende in considerazione la contitolarità del trattamento e definisce in modo esatto quali sono i doveri e i compiti di tali figure, avendo riguardo in modo particolare all´esercizio dei diritti degli interessati. Rispetto al Codice sulla privacy, il GDPR, stabilisce in modo più particolareggiato, le caratteristiche che deve avere l’atto con il quale il titolare designa il responsabile del trattamento, stabilendo appunto che debba trattarsi di un contratto o di un altro atto giuridico conforme al diritto nazionale. Per dimostrare che il responsabile è in grado di fornire “garanzie sufficienti”, deve

46 _{Cfr. https://www.garantepriacy.it/regolamentoue/diritti-degli-interessati.} 47 _{Cfr. https://www.garantepriacy.it/regolamentoue/diritti-degli-interessati.}

33

disciplinare, rigidamente, almeno le materie riportate al paragrafo 3 dell´Art.28, quali la natura, la durata, le finalità del trattamento o dei trattamenti assegnati. Tra tali materie emergono inoltre le categorie di dati che sono oggetto di trattamento, le misure tecniche e organizzative volte a far rispettare le istruzioni impartite dal titolare e per finire le disposizioni che si trovano nel Regolamento48_.

Tale figura del responsabile, si differenzia quindi da quella del titolare, in quanto, come è indicato dall’Art.4 del GDPR, è quella persona fisica, giuridica, ente o pubblica amministrazione che elabora i dati per conto del titolare. Il responsabile ha il compito di garantire il rispetto delle disposizioni del GDPR e di tutelare i diritti dell’interessato. Della sua gestione ne risponde il titolare il quale ha la possibilità di sindacare ogni scelta del responsabile. Quest’ultimo dovrà aggiornarsi periodicamente, essere una persona affidabile, mostrando le sue garanzie anche aderendo a codici deontologici ovvero a schemi di certificazione e dovrà possedere le risorse tecniche necessarie per il suo ruolo49_{. Il GDPR}

permette che un responsabile, riguardo a certe attività di trattamento e nel rispetto degli obblighi contrattuali che legano titolare e responsabile primario, possa nominare un sub-responsabile del trattamento, come esplica l’Art.28, paragrafo 4. È il responsabile primario a dover rispondere, dinanzi al titolare, dell´inadempimento eventuale del sub-responsabile, persino saldando eventuali danni generati dal trattamento, a meno che riesca a dimostrare che tale danno "non gli sia in alcun modo imputabile", come indica l’Art.82, paragrafo 1 e 3.

Vi sono poi alcuni obblighi specifici in capo ai responsabili del trattamento, che sono diversi da quelli dei rispettivi titolari. Infatti, i

responsabili del trattamento, hanno l’obbligo della tenuta del registro dei

48 _Cfr.

https://www.garanteprivacy.it/regolamentoue/titolare-responsabile-incaricato-del-trattamento.

34

trattamenti svolti50_{, nonché l’utilizzo di idonee misure tecniche e}

organizzative che permettono di proteggere i trattamenti51 _{e la}

designazione di un DPO nei casi previsti dal Regolamento o dl diritto nazionale52_{. Ogni volta in cui ricorrono le condizioni dell’Art.27,}

paragrafo 3, del GDPR, differentemente da quanto era previsto dall’Art.5, comma 2, del Codice, anche il responsabile non statuito

nell’UE, dovrà eleggere un rappresentante in Italia53_.

Non cambia invece il fatto che il Regolamento esponga le caratteristiche soggettive e le responsabilità del titolare e del responsabile del

trattamento nello stesso modo della direttiva 95/46/CE.

Nonostante non venga presentata, in modo espresso, la figura del “rappresentante del trattamento”, il GDPR non ne preclude l’esistenza, dal momento che si riferisce a "persone autorizzate al trattamento dei dati personali sotto l´autorità diretta del titolare o del responsabile”54_{. I}

titolari di trattamento devono poi anche valutare l’esistenza di eventuali casi di contitolarità, in quanto, se esistenti, devono poi concludere l´accordo interno di cui parla l´Art.26, paragrafo 1, del Regolamento. In modo particolare devono individuare il "punto di contatto per gli interessati "stabilito da tale articolo, per effettuare l’esercizio dei diritti che il GDPR prevede55_{. I titolari di trattamento devono verificare anche}

che eventuali contratti o altri atti giuridici che disciplinavano i rapporti con i responsabili siano conformi al GDPR, e in modo particolare all’Art.28, paragrafo 3, apportando, nel caso, le eventuali integrazioni o modifiche56_{. Il responsabile può anche provare l’esistenza di "garanzie} 50 _{Art.30 del GDPR.} 51 _{Art.32 del GDPR.} 52 _{Art.37 del GDPR.} 53 _Cfr. https://www.dirittierisposte.it/Schede/Tutela-della-privacy/Diritti/gdpr_il_titolare_il _ responsabile_l_incaricato_del_trattamento_id1173415_art.aspx.

54 _{Art.4, numero 10 del GDPR.}

55 _Cfr.

https://www.garanteprivacy.it/regolamentoue/titolare-responsabile-incaricato-del-trattamento.

56 _{In particolare qualora si intendessero designare sub-responsabili nei termini sopra}

35

sufficienti", di cui all´Art.28, paragrafi 1 e 4, mediante l’aderenza a codici deontologici o a schemi di certificazione57_.

1.2.9 Principio di Accountability

Un altro aspetto rilevante da dover prendere in considerazione con il GDPR è il principio di accountability. Tale termine può essere tradotto letteralmente con il termine “responsabilizzazione” e fa riferimento al fatto che i titolari e i responsabili debbano tenere dei comportamenti proattivi capaci di provare l’adozione di misure in grado di dimostrare l’applicazione del Regolamento nella sua interezza58_{. Questo principio}

indica che gli individui sono responsabili delle loro azioni nel sistema in cui vanno ad operare. Detto questo bisogna sottolineare che la gravità del rischio per i diritti e le libertà dell’interessato devono essere individuati tenendo conto della natura, dell’ambito di applicazione, delle finalità di trattamento e del contesto59_{. Per la protezione dei dati questo}

costituisce una rilevante novità, in quanto i modi, le garanzie e i limiti del trattamento sono affidati ai titolari, i quali, però, devono seguire i criteri indicati nel GDPR e devono rispettare le relative disposizioni normative60_{. Il primo fra i criteri che i titolari devono seguire è fissato}

dall´espressione inglese “data protection by default and by design”61 _che

consiste nell’esigenza di rappresentare il trattamento stabilendo sin dall’origine le garanzie basilari "al fine di soddisfare i requisiti" del GDPR e difendere i diritti degli interessati, prendendo in considerazione il contesto complessivo di dove il trattamento si colloca e degli eventuali rischi che i diritti e le libertà degli interessati possono correre. Ciò deve

57 _Cfr.

https://www.garanteprivacy.it/regolamentoue/titolare-responsabile-incaricato-del-trattamento.

58 _{In modo particolare gli Art.23-25 e l’intero capo IV del GDPR.}

59 _{Cfr. Tarallo P., “la tutela dei dati nel settore salute”, 2017, EPC editore, pag. 494.} 60 _Cfr.

https://www.dirittierisposte.it/Schede/Tutela-della-privacy/Diritti/gdpr_il_titolare_il _

responsabile_l_incaricato_del_trattamento_id1173415_art.aspx.

36

avvenire prima di arrivare al trattamento dei dati “vero e proprio” e necessita di un´analisi cautelativa e di un notevole impegno applicativo che i titolari devono dimostrare in una serie di specifiche attività62_{. Fra} tali attività emergono quelle connesse al secondo criterio specificato nel Regolamento, in ossequio al trattamento degli obblighi dei titolari, che riguarda il “rischio inerente al trattamento”. Tale consiste nel rischio “di impatti negativi sulle libertà e i diritti degli interessati63_{. Come}

stabiliscono gli Art.35 e 36 del GDPR, questi impatti devono essere

esaminati attraverso uno specifico processo di valutazione, che prenda

in esame i rischi noti o evidenziabili e le misure tecniche e organizzative,

persino di sicurezza, che il titolare supponga di dover adoperare per placare tali rischi.

Alla fine di questa valutazione di impatto il titolare, in modo autonomo, deciderà se dare inizio al trattamento o rivolgersi all´autorità di controllo competente per farsi delucidare su come trattare il rischioresiduale. Tale autorità dovrà solo chiarire quali siano le ulteriori misure eventualmente da dover attivare a cura del titolare e, se lo ritiene utile, dovrà adoperare tutte le misure correttive ai sensi dell´Art.58 del GDPR.

Dunque, l´intervento delle autorità di controllo si porrà dopo le determinazioni assunte autonomamente dal titolare, e quindi si configurerà come un intervento “ex post”64_{. Ciò motiva come mai sono}

stati aboliti, a partire dal 25 maggio 2018, alcuni istituti previsti dalla

direttiva del 1995 e dal Codice italiano, come la notifica preventiva dei

trattamenti all´Autorità di controllo, il cosiddetto prior checking, o la

verifica preliminare prevista all’Art 17 del Codice.

62 _Cfr. https://www.garanteprivacy.it/regolamentoue/approccio-basato-sul-rischio-e-misure-di-accountability-responsabilizzazione-di-titolari-e-responsabili. 63 _Cfr. https://www.dirittierisposte.it/Schede/Tutela-della-privacy/Diritti/gdpr_il_titolare_il _ responsabile_l_incaricato_del_trattamento_id1173415_art.aspx. 64 _Cfr. https://www.garanteprivacy.it/regolamentoue/approccio-basato-sul-rischio-e-misure-di-accountability-responsabilizzazione-di-titolari-e-responsabili.