MANUALE SULLA PRIVACY: LINEE GUIDA E MODALITA’ OPERATIVE INTERNE PER LA TUTELA E LA PROTEZIONE DEI DATI PERSONALI

MANUALE SULLA PRIVACY: LINEE GUIDA E MODALITA’ OPERATIVE INTERNE PER LA TUTELA E LA PROTEZIONE DEI DATI PERSONALI

A cura del dott. Simone Carmignani

carmignaniconsulenza@gmail.com

 SOMMARIO

  1. Introduzione
  2. Riferimenti normativi
  3. Attività, organizzazione e soggetti direttamente coinvolti
  4. Processi di lavoro interni e buone pratiche
  5. Misure minime di sicurezza ICT
  6. Privacy e trasparenza
  7. Valutazione dell’impatto sulla protezione dei dati
  8. Fonti
  9. Allegati
    1. Valutazione d’impatto sulla protezione dei dati
    2. Regolamento per la protezione dei dati personali
    3. Registri del trattamento dei dati
    4. Nomina del responsabile della protezione dati
    5. Nomina dei responsabili del trattamento dati
    6. Nomina società responsabile trattamento dati
    7. Informativa estesa sulla privacy
    8. Riferimento alla privacy per i documenti
    9. Riferimento alla privacy per l’email

1.   Introduzione

Il presente manuale è redatto nell’ambito dell’attività di Responsabile della Protezione dei Dati, è rivolto alle Pubbliche Amministrazioni, alle Società e agli Enti da queste controllati, è finalizzato a definire e raccogliere un insieme di procedure e buone pratiche per la corretta implementazione dei principi della privacy e la tutela dei dati personali sanciti dal GDPR, Regolamento Europeo 679/2016, e dal Codice della Privacy, dlgs 196/2003 così come modificato dal dlgs 101/2018.

Vengono inoltre riprese, riassunte e riportate le più significative linee guida dettate dal Garante per la Protezione dei Dati, dall’Agenzia per l’Italia Digitale e dall’Autorità Anticorruzione, nonché allegati una serie di documenti di lavoro utili per l’implementazione degli obblighi previsti dalla normativa in materia di privacy.

Le procedure illustrate nel manuale non sono vincolanti ma la loro corretta implementazione è fortemente consigliata al fine di rispondere nella maniera più efficace ed efficiente agli obblighi di legge.

2.   riferimenti normativi

Il diritto alla protezione dei dati personali è un diritto fondamentale dell’individuo ai sensi della Carta dei diritti fondamentali dell’Unione europea (art. 8). Oggi è tutelato, in particolare, dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), oltre che da vari altri atti normativi italiani e internazionali e dal Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196), adeguato alle disposizioni del Regolamento (UE) 2016/679 tramite il Decreto legislativo 10 agosto 2018, n. 101.

In particolare, il Regolamento (UE) 2016/679 disciplina il trattamento dei dati personali indipendentemente dal fatto che questo sia effettuato o meno nell’Unione europea, sia quando svolto da titolari o responsabili stabiliti in Ue o in un luogo soggetto al diritto di uno Stato membro dell’Ue in virtù del diritto internazionale pubblico (per esempio l’ambasciata o la rappresentanza consolare di uno Stato membro), sia quando il titolare o il responsabile non è stabilito nell’Unione europea ma le attività di trattamento riguardano:

  • l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione europea, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
  • il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione europea.

Il Regolamento (UE) 2016/679 ha ampliato i diritti riconosciuti all’interessato con riferimento ai dati che lo riguardano, rendendoli maggiormente incisivi in una realtà permeata sempre più dal ricorso alle nuove tecnologie e all’utilizzo della rete.

 

3.   Attività, organizzazione e soggetti direttamente coinvolti

3.1 I DATI PERSONALI

Sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.

Particolarmente importanti sono:

  • i dati che permettono l’identificazione diretta- come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc. e i dati chepermettono l’identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l’indirizzo IP, il numero di targa);
  • i dati rientranti in particolari categorie: si tratta dei dati c.d. “sensibili”, cioè quelli che rivelano l’origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, relativi alla salute o alla vita sessuale. Il Regolamento (UE) 2016/679(articolo 9) ha incluso nella nozione anche i dati genetici, i dati biometricie quelli relativi all’orientamento sessuale;
  • i dati relativi a condanne penali e reati: si tratta dei dati c.d. “giudiziari”, cioè quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato. Il Regolamento (UE) 2016/679 (articolo 10) ricomprende in tale nozione i dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza.

Con l’evoluzione delle nuove tecnologie, altri dati personali hanno assunto un ruolo significativo, come quelli relativi alle comunicazioni elettroniche (via Internet o telefono) e quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti.

3.2 LE PARTI IN GIOCO

Interessato è la persona fisica alla quale si riferiscono i dati personali. Quindi, se un trattamento riguarda, ad esempio, l’indirizzo, il codice fiscale, ecc. di Mario Rossi, questa persona è l’interessato (articolo 4, paragrafo 1, punto 1), del Regolamento UE 2016/679);

Titolare è la persona fisica, l’autorità pubblica, l’impresa, l’ente pubblico o privato, l’associazione, ecc., che adotta le decisioni sugli scopi e sulle modalità del trattamento (articolo 4, paragrafo 1, punto 7), del Regolamento UE 2016/679);

Responsabile è la persona fisica o giuridica alla quale il titolare richiede di eseguire per suo conto specifici e definiti compiti di gestione e controllo per suo conto del trattamento dei dati (articolo 4, paragrafo 1, punto 8), del Regolamento UE 2016/679). Il Regolamento medesimo ha introdotto la possibilità che un responsabile possa, a sua volta e secondo determinate condizioni, designare un altro soggetto c.d. “sub-responsabile” (articolo 28, paragrafo 2).

 Il Responsabile può essere individuato sia all’interno dell’Amministrazione per esempio tra i soggetti che ricoprono ruoli di responsabilità ovvero che hanno affidati poteri e funzioni di gestione e controllo, sia all’esterno ogni qual volta un soggetto esterno all’Amministrazione, che sia una persona fisica o giuridica, tratti dati personali in nome e per conto del Titolare nell’ambito dell’affidamento di un lavoro e di un servizio.

 La nomina dei Responsabili interni del trattamento dei dati non è obbligatoria ma fortemente consigliata in quanto difficilmente il Titolare ha la possibilità reale di gestire e controllare i singoli trattamenti dei dati, in particolare la nomina dei Responsabili esterni è sempre consigliata in modo tale da responsabilizzare e coinvolgere nella corretta implementazione dei principi della privacy tutti gli attori che intervengono.

 

Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:

  1. a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  2. b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
  3. c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.

 Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:

  1. a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento;
  2. b) sorvegliare l’osservanza del presente regolamento;
  3. c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati;
  4. d) cooperare con l’autorità di controllo.

 In base all’articolo 37, paragrafo 7, del Regolamento occorre che i soggetti pubblici e privati comunichino al Garante per la protezione dei dati personali il nominativo del Responsabile della Protezione dei dati, se designato, questa disposizione mira a garantire che le autorità di controllo possano contattare il Responsabile della Protezione dei Dati in modo facile e diretto, si ricorda, infatti, che in base all’articolo 39, paragrafo 1, lettera e) del Regolamento, il Responsabile della Protezione dei Dati funge da punto di contatto fra il singolo ente o azienda e il Garante.

 

Sul sito del Garante è disponibile una procedura online per la comunicazione del nominativo, tale procedura è l’unica che può essere utilizzabile per l’invio dei dati di contatto del Responsabile della protezione dei dati e non potranno essere prese in considerazione le comunicazione effettuate attraverso diversi canali di contatto con il Garante (es. e-mail, posta, ecc.). Attraverso la procedura indicata non è consentito presentare quesiti, richieste e istanze al Garante, in quanto predisposta unicamente per la ricezione delle informazioni relative al Responsabile per la protezione dei dati.

  

3.3 Diritto di accedere ai propri dati personali

L’interessato ha il diritto di chiedere al titolare del trattamento (soggetto pubblico, impresa, associazione, partito, persona fisica, ecc.) se è in corso o meno un trattamento di dati personali che lo riguardano e, qualora il trattamento sia confermato:

  • di ottenere una copia di tali dati;
  • di essere informato su:

  1. a) le finalità del trattamento;
  2. b) le categorie di dati personali trattate;
  3. c) i destinatari dei dati;
  4. d) il periodo di conservazione dei dati personali;
  5. e)quale sia l’origine dei dati personali trattati;
  6. f) gli estremi identificativi di chi tratta i dati (titolare, responsabile, rappresentante designato nel territorio dello Stato italiano, destinatari);
  7. g) l’esistenza di un processo decisionale automatizzato, compresa la profilazione;
  8. h) i diritti previsti dal Regolamento.

Il Regolamento (UE) 2016/679 (articoli da 15 a 22), ha ampliato i diritti riconosciuti all’interessato con riferimento ai dati che lo riguardano, rendendoli maggiormente incisivi nella nostra realtà permeata sempre più dal ricorso alle nuove tecnologie e all’utilizzo della rete. L’interessato può richiedere a chi sta trattando i suoi dati personali che questi siano:

  1. a) rettificati (perché inesatti o non aggiornati), eventualmente integrando informazioni incomplete;
  2. b) cancellati, se:
  • i dati non sono più necessari ai fini del perseguimento delle finalità per le quali sono stati raccolti o trattati;
  • l’interessato revoca il consenso o si oppone al trattamento; oppure

  • i dati sono trattati illecitamente o devono essere cancellati per adempiere a un obbligo legale;

  • e se non vi sono altri trattamenti per i quali i dati sono considerati necessari (libertà di espressione e informazione, svolgimento di compiti nel pubblico interesse, trattamenti connessi alla sanità pubblica, ecc.).

    1. c) limitati nel relativo trattamento, se:
    • i dati non sono esatti o sono trattati illecitamente e l’interessato si oppone alla loro cancellazione;

    • nonostante il titolare non ne abbia più bisogno ai fini del trattamento, i dati sono necessari all’interessato per fare valere un diritto in sede giudiziaria;

    1. d) trasferiti ad un altro titolare (c.d. diritto alla portabilità), se il trattamento si basa sul consenso o su un contratto stipulato con l’interessato e viene effettuato con mezzi automatizzati.

    Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.

    E’ possibile poi opporsi al trattamento dei propri dati personali:

    1. a) per motivi connessi alla situazione particolare dell’interessato, da specificare nella richiesta;
    2. b) (senza necessità di motivare l’opposizione) quando i dati sono trattati per finalità di marketing diretto.

    3.4 TUTELARE I DATI PERSONALI

    Ogni persona può tutelare i propri dati personali, in primo luogo, esercitando i diritti previsti dagli articoli da 15 a 22 del Regolamento (UE) 2016/679.

    L’interessato può presentare un’istanza al titolare, senza particolari formalità (ad esempio, mediante lettera raccomandata, telefax, posta elettronica, ecc.).

    L’istanza può essere riferita, a seconda delle esigenze dell’interessato, a specifici dati personali, a categorie di dati o ad un particolare trattamento, oppure a tutti i dati personali che lo riguardano, comunque trattati.

    All’istanza il titolare, deve fornire idoneo riscontro, ossia:

    • senza ingiustificato ritardo, al più tardi entro 1 mese dal suo ricevimento;
  • tale termine può essere prorogato di 2 mesi, qualora si renda necessario tenuto conto della complessità e del numero di richieste. In tal caso, il titolare deve comunque darne comunicazione all’interessato entro 1 mese dal ricevimento della richiesta.

  • e si ritiene che il trattamento dei dati che riguardano un interessato non è conforme alla disposizioni vigenti ovvero se la risposta ad un’istanza con cui si esercita uno o più dei diritti  previsti dagli articoli 15-22 del Regolamento (UE) 2016/679 non perviene nei tempi indicati o non è soddisfacente, l’interessato può rivolgersi all’autorità giudiziaria o al Garante per la protezione dei dati personali, in quest’ultimo caso mediante un reclamo ai sensi dell’articolo art. 77 del Regolamento (UE) 2016/679.

    Il Regolamento europeo non prevede più l’istituto del ricorso per fare valere i diritti di accesso ai dati personali (che pertanto non è più esperibile davanti al Garante a partire dal 25 maggio 2018).

    Il reclamo al Garante è un atto circostanziato con il quale si rappresenta una violazione della disciplina rilevante in materia di protezione dei dati personali (articolo 77 del Regolamento UE 679/1996) e artt. da 140-bis a 143 del Codice, al reclamo segue un’istruttoria preliminare e un eventuale successivo procedimento amministrativo formale che può portare all’adozione dei provvedimenti di cui all’articolo 58 del Regolamento, avverso la decisione del Garante è ammesso il ricorso giurisdizionale ai sensi degli articoli 143 e 152 del Codice e dell’articolo 78 del Regolamento, la presentazione del un reclamo è gratuita.

    Chiunque può rivolgere, ai sensi dell’art. 144 del Codice, una segnalazione che il Garante può valutare anche ai fini dell’emanazione dei provvedimenti di cui all’art. 58 del Regolamento (indirizzo).

    4.   Processi di lavoro interni e buone pratiche

    4.1 Principi generali del trattamento di dati personali

    Ogni trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’articolo 5 del Regolamento (UE) 2016/679, che qui si ricordano brevemente:

    • liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato;
    • limitazione della finalità del trattamento, compreso l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati;
    • minimizzazione dei dati: ossia, i dati devono essere adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento;
    • esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento;
    • limitazione della conservazione: ossia, è necessario provvedere alla conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
    • integrità e riservatezza: occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento.

    Il Regolamento (articolo 5, paragrafo 2) richiede al titolare di rispettare tutti questi principi e di essere “in grado di comprovarlo”. Questo è il principio detto di “responsabilizzazione” (o accountability) che viene poi esplicitato ulteriormente dall’articolo 24, paragrafo 1, del Regolamento, dove si afferma che “il titolare mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente Regolamento.”

    Il Regolamento, come già previsto dal Codice in materia di protezione dei dati personali, prevede che ogni trattamento deve trovare fondamento in un’idonea base giuridica. I fondamenti di liceità del trattamento di dati personali sono indicati all’articolo 6 del Regolamento:

    • consenso;
    • adempimento obblighi contrattuali;
    • interessi vitali della persona interessata o di terzi;
    • obblighi di legge cui è soggetto il titolare;
    • interesse pubblico o esercizio di pubblici poteri;
    • interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.

    Per quanto riguarda le “categorie particolari di dati personali” (articolo 9 del Regolamento), il loro trattamento è vietato, in prima battuta, a meno che il titolare possa dimostrare di soddisfare almeno una delle condizioni fissate all’articolo 9, paragrafo 2 del Regolamento, che qui ricordiamo:

    • l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche;
    • il trattamento è effettuato da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali;
    • il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;
    • il trattamento è necessario per uno dei seguenti scopi:
    • per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale;
    • per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
    • per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
    • per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri;
    • per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali;
    • per motivi di interesse pubblico nel settore della sanità pubblica;
    • per il perseguimento di fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

    Per alcune di tali finalità sono previste limitazioni o prescrizioni ulteriori, anche nel diritto nazionale.

    Quando il trattamento si fonda sul consenso dell’interessato, il titolare  deve sempre essere in grado di dimostrare (articolo 7.1 del Regolamento) che l’interessato ha prestato il proprio consenso), che è valido se:

    • all’interessato è stata resa l’informazione sul trattamento dei dati personali (articoli 13 o 14 del Regolamento);
    • è stato espresso dall’interessato liberamente, in modo inequivocabile e, se il trattamento persegue più finalità, specificamente con riguardo a ciascuna di esse. Il consenso deve essere sempre revocabile.

    Occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (articolo 7.2), per esempio all’interno della modulistica, non è ammesso il consenso tacito o presunto (per esempio, presentando caselle già spuntate su un modulo), quando il trattamento riguarda le “categorie particolari di dati personali” (articolo 9 Regolamento) il consenso deve essere “esplicito”, lo stesso vale per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – articolo 22), quindi benchè non espressamente previsto qualora il Titolare si trovi nella condizione di dover richiedere il consenso per il trattamento dei dati è necessario che lo faccia nella forma scritta.

    Per quanto riguarda l’interesse vitale di un terzo, si può invocare tale base giuridica per il trattamento di dati personali solo se nessuna delle altre condizioni di liceità può trovare applicazione (considerando 46).

    Per quanto riguarda l’interesse legittimo prevalente di un titolare o di un terzo, il ricorso a questa base giuridica per il trattamento di dati personali presuppone che il titolare stesso effettui un bilanciamento fra il legittimo interesse suo o del terzo e i diritti e libertà dell’interessato. Dal 25 maggio 2018, dunque, tale bilanciamento non spetta più all’Autorità, in linea di principio. Si tratta di una delle principali espressioni del principio di “responsabilizzazione” introdotto dal Regolamento (UE) 2016/679.

    L’interesse legittimo del titolare o del terzo deve risultare prevalente sui diritti e le libertà fondamentali dell’interessato per costituire un valido fondamento di liceità, il Regolamento chiarisce espressamente che l’interesse legittimo del titolare non costituisce idonea base giuridica per i trattamenti svolti dalle autorità pubbliche in esecuzione dei rispettivi compiti, si ricordi, inoltre, che il legittimo interesse non può essere invocato isolatamente quale base giuridica per il trattamento delle categorie particolari di dati personali (articolo 9, paragrafo 2, del Regolamento).

    4.2 Trasparenza del trattamento E l’informativa agli interessati

    Fatte salve alcune eccezioni, chi intende effettuare un trattamento di dati personali deve fornire all’interessato alcune informazioni anche per  metterlo nelle condizioni di esercitare i propri diritti (articoli 15-22 del Regolamento medesimo), l’informativa va sempre resa.

    L’informativa (disciplinata nello specifico dagli artt. 13 e 14 del Regolamento) deve essere fornita all’interessato prima di effettuare il trattamento, quindi prima della raccolta dei dati (se raccolti direttamente presso l’interessato: articolo 13 del Regolamento).

    Nel caso di dati personali non raccolti direttamente presso l’interessato (articolo 14 del Regolamento), l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato) (diversamente da quanto prevedeva l’articolo 13, comma 4, del Codice).

    I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del Regolamento e, in parte, sono più ampi rispetto al Codice. In particolare, il titolare deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati – Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.). Se i dati non sono raccolti direttamente presso l’interessato (articolo 14 del Regolamento), l’informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento.

    In tutti i casi, il titolare deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati.

    Il Regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo, se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.

    L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online:  articolo 12, paragrafo 1, e considerando 58). Sono comunque ammessi “altri mezzi”, quindi può essere fornita anche in forma orale, ma nel rispetto delle caratteristiche di cui sopra (articolo 12, paragrafo 1).

    In base al Regolamento, si deve porre particolare attenzione alla formulazione dell’informativa, che deve essere soprattutto comprensibile e trasparente per l’interessato, attraverso l’uso di un linguaggio chiaro e semplice. In particolare, bisogna ricordare che per i minori si devono prevedere informative idonee.

    4.3 Un approccio responsabile al trattamento E IL CONCETTO DI Accountability

    Il Regolamento pone l’accento sulla “responsabilizzazione” di titolari e responsabili, ossia, sull’ adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento (artt. 23-25, in particolare, e l’intero Capo IV del Regolamento). Dunque, viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel Regolamento.

    Il primo fra tali criteri è sintetizzato dall’espressione inglese “data protection by default and by design” (articolo 25), ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del Regolamento e tutelare i diritti degli interessati, tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, secondo quanto previsto dall’articolo 25, paragrafo 1, del Regolamento) e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.

    Fondamentali fra tali attività sono quelle connesse al secondo criterio individuato nel Regolamento rispetto alla gestione degli obblighi dei titolari: ossia il rischio inerente al trattamento. Quest’ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati (considerando 75-77); tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione (artt. 35- 36) tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi.

    In conseguenza dell’applicazione del principio di accountability, dal 25 maggio 2018 non sono più  previste

    • la notifica preventiva dei trattamenti all’autorità di controllo;
    • una verifica preliminare da parte del Garante per i trattamenti “a rischio” (anche se potranno esservi alcune eccezioni legate a disposizioni nazionali, previste in particolare dall’articolo 36, paragrafo 5 del Regolamento).

    Al loro posto, il Regolamento prevede in capo ai titolari l’obbligo (pressoché generalizzato) di tenere un registro dei trattamenti e, appunto, di effettuare valutazioni di impatto in piena autonomia con eventuale successiva consultazione dell’Autorità.

    Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti – ma solo se non effettuano trattamenti a rischio (articolo 30, paragrafo 5) – devono tenere un registro delle operazioni di trattamento, i cui contenuti sono indicati all’articolo 30.

    Si tratta di uno strumento fondamentale allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, indispensabile per ogni valutazione e analisi del rischio. I contenuti del registro sono fissati nell’articolo 30. Tuttavia, niente vieta a un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell’ottica della complessiva valutazione di impatto dei trattamenti svolti, il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

    4.4 Misure di sicurezza

    Il titolare del trattamento, come pure il responsabile del trattamento, è obbligato ad adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio del trattamento (con l’obiettivo di evitare distruzione accidentale o illecita, perdita, modifica, rivelazione, accesso non autorizzato).

    Fra tali misure, il Regolamento menziona, in particolare:

    • la pseudonimizzazione e la cifratura dei dati;
    • misure per garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
    • misure atte a garantire il tempestivo ripristino della disponibilità dei dati;
    • procedure per verificare e valutare regolarmente l’efficacia delle misure di sicurezza adottate.

    Per questi motivi, non possono sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza poiché tale valutazione è rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati come da articolo 32 del Regolamento, vi è, inoltre, la possibilità di utilizzare l’adesione a specifici codici di condotta o a schemi di certificazione per attestare l’adeguatezza delle misure di sicurezza adottate (articolo 32, paragrafo 3).

    La protezione dei dati deve inoltre essere garantita mediante l’adozione di opportune misure fisiche di accesso e conservazione degli stessi, nonché di buone pratiche per tutti coloro che trattano i dati personali. Nella pratica questo significa che naturalmente l’accesso ai locali delle strutture dell’Amministrazione deve essere protetto da adeguati sistemi anti intrusione con l’eventuale utilizzo anche di allarmi e videosorveglianza, l’accesso agli uffici deve essere protetto da adeguati sistemi di chiusura come serrature o badge, deve avvenire sempre attraverso previo riconoscimento e deve essere interdetto a coloro che non siano autorizzati in mancanza del personale addetto appartenente all’ufficio in questione che possa vigilare.

    Tutti i documenti presenti all’interno degli uffici devono essere sempre correttamente riposti e conservati in maniera che venga garantito l’anonimato dei dati contenuti all’interno di essi, la conservazione dei documenti contenenti in particolare dati sensibili deve prevedere specifici e ulteriori meccanismi di protezione, quali ad esempio casseforti o armadietti dotati di chiave.

    L’accesso agli uffici e ai documenti in essi contenuti è di esclusiva competenza del personale appartenente all’ufficio e se previsto dei rispettivi superiori gerarchici, possono accedere altri soggetti se preventivamente autorizzati e regolamentati in modo da definire le procedure per le quali sia garantita sia la responsabilizzazione della protezione dei dati trattati dai dipendenti di un ufficio ma sia al contempo garantito il controllo o la possibilità di intervento qualora ve ne fosse bisogno, è fondamentale che qualsiasi richiesta di accesso ai documenti da parte di non addetti ai lavori, in particolare da soggetti esterni, vada sempre documentata per iscritto e valutata nel rispetto della normativa vigente e dei regolamenti dell’ente.

    Tutti i dipendenti e i collaboratori dell’Amministrazione sono responsabilizzati e sono tenuti non solo all’applicazione della normativa vigente ma anche a vigilare e controllare fattivamente il rispetto della protezione dei dati personali, tutto ciò va contemperato e conciliato con la capacità di garantire la continuità dell’erogazione dei pubblici servizi.

     

    5.   Misure minime di sicurezza ICT

    Per quanto riguarda la sicurezza informatica ai fini della protezione dei dati personali è possibile fare riferimento alle Misure minime di sicurezza ICT per le Pubbliche Amministrazioni le quali costituiscono parte integrante delle Linee Guida per la sicurezza ICT delle Pubbliche Amministrazioni. Questo documento è emesso in attuazione della Direttiva del Presidente del Consiglio dei Ministri 1 agosto 2015 e costituisce un’anticipazione urgente della regolamentazione completa in corso di emanazione, al fine di fornire alle pubbliche amministrazioni dei criteri di riferimento per stabilire se il livello di protezione offerto da un’infrastruttura risponda alle esigenze operative, individuando anche gli interventi idonei per il suo adeguamento.

    Il raggiungimento di elevati livelli di sicurezza, quando è molto elevata la complessità della struttura e l’eterogeneità dei servizi erogati, può essere eccessivamente oneroso se applicato in modo generalizzato. Pertanto ogni Amministrazione dovrà avere cura di individuare al suo interno gli eventuali sottoinsiemi, tecnici e/o organizzativi, caratterizzati da omogeneità di requisiti ed obiettivi di sicurezza, all’interno dei quali potrà applicare in modo omogeneo le misure adatte al raggiungimento degli obiettivi stessi.

    I controlli dovrebbero essere implementati per ottenere un determinato livello di sicurezza. Il livello “Minimo” specifica il livello sotto il quale nessuna amministrazione può scendere: i controlli in essa indicati debbono riguardarsi come obbligatori. La seconda, “Standard”, può essere assunta come base di riferimento nella maggior parte dei casi, mentre la terza, “Alto”, può riguardarsi come un obiettivo a cui tendere.

    Di seguito vengono riportate singole schede di controllo contenenti ognuna una famiglia di misure di dettaglio più fine, che possono essere adottate in modo indipendente, consentendo un’ulteriore modulazione utile ad adattare il sistema di sicurezza alla effettiva realtà locale.

     

    6.   PRIVACY E TRASPARENZA

    6.1 Trasparenza e nuova disciplina della tutela dei dati personali (Reg. UE 2016/679)

    A seguito dell’applicazione dal 25 maggio 2018 del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)» (si seguito RGPD) e, dell’entrata in vigore, il 19 settembre 2018, del decreto legislativo 10 agosto 2018, n. 101 che adegua il Codice in materia di protezione dei dati personali – decreto legislativo 30 giugno 2003, n. 196 – alle disposizioni del Regolamento (UE) 2016/679, sono stati formulati quesiti all’ANAC volti a

    chiarire la compatibilità della nuova disciplina con gli obblighi di pubblicazione previsti dal d.lgs. 33/2013.

    Il regime normativo per il trattamento di dati personali da parte dei soggetti pubblici è, quindi, rimasto sostanzialmente inalterato essendo confermato il principio che esso è consentito unicamente se ammesso da una norma di legge o, nei casi previsti dalla legge, di regolamento. Pertanto, fermo restando il valore riconosciuto alla trasparenza, che concorre ad attuare il principio democratico e i principi costituzionali di eguaglianza, di imparzialità, buon andamento, responsabilità, efficacia ed efficienza nell’utilizzo di risorse pubbliche, integrità e lealtà nel servizio alla nazione (art. 1, d.lgs. 33/2013), occorre che le pubbliche amministrazioni, prima di mettere a disposizione sui propri siti web istituzionali dati e documenti (in forma integrale o per estratto, ivi compresi gli allegati) contenenti dati personali, verifichino che la disciplina in materia di trasparenza contenuta nel d.lgs. 33/2013 o in altre normative, anche di settore, preveda l’obbligo di pubblicazione.

    Giova rammentare, tuttavia, che l’attività di pubblicazione dei dati sui siti web per finalità di trasparenza, anche se effettuata in presenza di idoneo presupposto normativo, deve avvenire nel rispetto di tutti i principi applicabili al trattamento dei dati personali contenuti all’art. 5 del Regolamento (UE) 2016/679, quali quelli di liceità, correttezza e trasparenza; minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza tenendo anche conto del principio di “responsabilizzazione” del titolare del trattamento. In particolare, assumono rilievo i principi di adeguatezza, pertinenza e limitazione a quanto necessario rispetto alle finalità per le quali i dati personali sono trattati («minimizzazione dei dati») (par. 1, lett. c) e quelli di esattezza e aggiornamento dei dati, con il conseguente dovere di adottare tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati

    (par. 1, lett. d).

    Il medesimo d.lgs. 33/2013 all’art. 7 bis, co. 4, dispone inoltre che «Nei casi in cui norme di legge o di regolamento prevedano la pubblicazione di atti o documenti, le pubbliche amministrazioni provvedono a rendere non intelligibili i dati personali non pertinenti o, se sensibili o giudiziari, non indispensabili rispetto alle specifiche finalità di trasparenza della pubblicazione». Si richiama anche

    quanto previsto all’art. 6 del d.lgs. 33/2013 rubricato “Qualità delle informazioni” che risponde alla esigenza di assicurare esattezza, completezza, aggiornamento e adeguatezza dei dati pubblicati. In generale, in relazione alle cautele da adottare per il rispetto della normativa in materia di protezione dei dati personali nell’attività di pubblicazione sui siti istituzionali per finalità di trasparenza e pubblicità dell’azione amministrativa, si rinvia alle più specifiche indicazioni fornite dal Garante per la protezione dei dati personali.

    Si ricorda inoltre che, in ogni caso, ai sensi della normativa europea, il Responsabile della Protezione dei Dati-RPD (vedi infra paragrafo successivo) svolge specifici compiti, anche di supporto, per tutta l’amministrazione essendo chiamato a informare, fornire consulenza e sorvegliare in relazione al rispetto degli obblighi derivanti della normativa in materia di protezione dei dati personali (art. 39 del RGPD).

    6.2 Rapporti tra RPCT e Responsabile della Protezione dei Dati –RPD

    Un indirizzo interpretativo con riguardo ai rapporti fra il Responsabile della prevenzione della corruzione (RPCT) e il Responsabile della protezione dei dati – RPD, figura introdotta dal Regolamento (UE) 2016/679 (artt. 37-39), è stato sollecitato all’Autorità da diverse amministrazioni. Ciò in ragione della circostanza che molte amministrazioni e soggetti privati tenuti al rispetto delle disposizioni contenute nella l. 190/2012, e quindi alla nomina del RPCT, sono chiamate a individuare anche il RPD.

    Come chiarito dal Garante per la protezione dei dati personali l’obbligo investe, infatti, tutti i soggetti pubblici, ad esempio, le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti ecc.

    Secondo le previsioni normative, il RPCT è scelto fra personale interno alle amministrazioni o enti (si rinvia al riguardo all’art. 1, co. 7, della l. 190/2012 e alle precisazioni contenute nei Piani nazionali anticorruzione 2015 e 2016). Diversamente il RPD può essere individuato in una professionalità interna all’ente o assolvere ai suoi compiti in base ad un contratto di servizi stipulato con persona fisica o giuridica esterna all’ente (art. 37 del Regolamento (UE) 2016/679).

    Fermo restando, quindi, che il RPCT è sempre un soggetto interno, qualora il RPD sia individuato anch’esso fra soggetti interni, l’Autorità ritiene che, per quanto possibile, tale figura non debba coincidere con il RPCT. Si valuta, infatti, che la sovrapposizione dei due ruoli possa rischiare di limitare l’effettività dello svolgimento delle attività riconducibili alle due diverse funzioni, tenuto conto dei numerosi compiti e responsabilità che la normativa attribuisce sia al RPD che al RPCT.

    Eventuali eccezioni possono essere ammesse solo in enti di piccoli dimensioni qualora la carenza di personale renda, da un punto di vista organizzativo, non possibile tenere distinte le due funzioni. In tali casi, le amministrazioni e gli enti, con motivata e specifica determinazione, possono attribuire allo stesso soggetto il ruolo di RPCT e RPD. Giova sottolineare che il medesimo orientamento è stato espresso dal Garante per la protezione dei dati personali nella FAQ n. 7 relativa al RPD in ambito pubblico, laddove ha chiarito che «In linea di principio, è quindi ragionevole che negli enti pubblici di grandi dimensioni, con trattamenti di dati personali di particolare complessità e sensibilità, non vengano assegnate al RPD ulteriori responsabilità (si pensi, ad esempio, alle amministrazioni centrali, alle agenzie, agli istituti previdenziali, nonché alle regioni e alle asl). In tale quadro, ad esempio, avuto riguardo, caso per caso, alla specifica struttura organizzativa, alla dimensione e alle attività del singolo titolare o responsabile, l’attribuzione delle funzioni di RPD al responsabile per la prevenzione della corruzione e per la trasparenza, considerata la molteplicità degli adempimenti che incombono su tale figura, potrebbe rischiare di creare un cumulo di impegni tali da incidere negativamente sull’effettività dello svolgimento dei compiti che il RGPD attribuisce al RPD».

    Resta fermo che, per le questioni di carattere generale riguardanti la protezione dei dati personali, il RPD costituisce una figura di riferimento anche per il RPCT, anche se naturalmente non può sostituirsi ad esso nell’esercizio delle funzioni. Si consideri, ad esempio, il caso delle istanze di riesame di decisioni sull’accesso civico generalizzato che, per quanto possano riguardare profili attinenti alla protezione dei dati personali, sono decise dal RPCT con richiesta di parere al Garante per la protezione dei dati personali ai sensi dell’art. 5, co. 7, del d.lgs. 33/2013. In questi casi il RPCT ben si può avvalere, se ritenuto necessario, del supporto del RDP nell’ambito di un rapporto di collaborazione interna fra gli uffici ma limitatamente a profili di carattere generale, tenuto conto che proprio la legge attribuisce al RPCT il potere di richiedere un parere al Garante per la protezione dei dati personali. Ciò anche se il RPD sia stato eventualmente già consultato in prima istanza dall’ufficio che ha riscontrato l’accesso civico oggetto del riesame.

    Le considerazioni sopra espresse per le amministrazioni e gli enti valgono anche per i soggetti di cui all’art. 2-bis, co. 2, del d.lgs. 33/2013 tenuti a nominare il RPCT, qualora, ai sensi del Regolamento (UE) 2016/679, siano obbligati a designare anche il RPD. Ci si riferisce agli enti pubblici economici, agli ordini professionali, alle società in controllo pubblico come definite all’art. 2, co. 1, lett. m), del d.lgs. 175 del 2016, alle associazioni, alle fondazioni e agli enti di diritto privato comunque denominati, anche privi di personalità giuridica, con bilancio superiore a cinquecentomila euro, la cui attività sia finanziata in modo maggioritario per almeno due esercizi finanziari consecutivi nell’ultimo triennio da pubbliche amministrazioni e in cui la totalità dei titolari o dei componenti dell’organo d’amministrazione o di indirizzo sia designata da pubbliche amministrazioni (Cfr. determinazione ANAC 1134/2017).

     

    7.   Valutazione dell’impatto SULLA PROTEZIONE dei dati

    7.1 QUANDO EFFETTUARE UNA VALUTAZIONE D’IMPATTO

    Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori), il regolamento 2016/679 obbliga i titolari a svolgere una valutazione di impatto prima di darvi inizio, consultando l´autorità di controllo in caso le misure tecniche e organizzative da loro stessi  individuate per mitigare l´impatto del trattamento non siano ritenute sufficienti  – cioè, quando il rischio residuale per i diritti e le libertà degli interessati resti elevato.

    Le Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” hanno individuato i seguenti nove criteri da tenere in considerazione ai fini dell’identificazione dei trattamenti che possono presentare un “rischio elevato”.

    Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto:

    1. Trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati nonché lo svolgimento di attività predittive effettuate anche on-line o attraverso app, relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”.
    2. Trattamenti automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” oppure che incidono “in modo analogo significativamente” sull’interessato, comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un bene o di un servizio o di continuare ad esser parte di un contratto in essere (ad es. screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi).
    3. Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, nonché il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione inclusi servizi web, tv interattiva, ecc. rispetto alle abitudini d’uso e ai dati di visione per periodi prolungati. Rientrano in tale previsione anche i trattamenti di metadati ad es. in ambito telecomunicazioni, banche, ecc. effettuati non soltanto per profilazione, ma più in generale per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza etc.
    4. Trattamenti su larga scala di dati aventi carattere estremamente personale (v. WP 248, rev. 01): si fa riferimento, fra gli altri, ai dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull’esercizio di un diritto fondamentale (quali i dati sull’ubicazione, la cui raccolta mette in gioco la libertà di circolazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato (quali i dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti).
    5. Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti (si veda quanto stabilito dal WP 248, rev. 01, in relazione ai criteri nn. 3, 7 e 8).
    6. Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo).
    7. Trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimità come ad es. il wi-fi tracking) ogniqualvolta ricorra anche almeno un altro dei criteri individuati nel WP 248, rev. 01 .
    8. Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche.
    9. Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment).
    10. Trattamenti di categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse.
    11. Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.
    12. Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.

    Il ricorrere di due o più dei predetti criteri è indice di un trattamento che presenta un rischio elevato per i diritti e le libertà degli interessati e per il quale è quindi richiesta una valutazione d’impatto sulla protezione dei dati, ad ogni modo “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali”, tale elenco è riferito esclusivamente a tipologie di trattamento soggette al meccanismo di coerenza e che non è esaustivo, restando fermo quindi l’obbligo di adottare una valutazione d’impatto sulla protezione dei dati laddove ricorrano due o più dei criteri individuati dal WP 248, rev. 01 e che in taluni casi “un titolare del trattamento può ritenere che un trattamento che soddisfa soltanto uno dei predetti criteri richieda una valutazione d’impatto sulla protezione dei dati”.

    Il messaggio finale delle linee-guida (già sottoposte a consultazione pubblica) è che la valutazione di impatto costituisce una buona prassi al di là dei requisiti di legge, poiché attraverso di essa il titolare può ricavare indicazioni importanti e utili a prevenire incidenti futuri. In questo senso, la valutazione di impatto permette di realizzare concretamente l´altro fondamentale principio fissato nel regolamento 2016/679, ossia la protezione dei dati fin dalla fase di progettazione (data protection by design) di qualsiasi trattamento.

    7.2 Un software per la valutazione di impatto

    La CNIL, l´Autorità francese per la protezione dei dati, ha messo a disposizione un software di ausilio ai titolari in vista della effettuazione della valutazione d´impatto sulla protezione dei dati (DPIA).

    Il software qui presentato NON costituisce un modello al quale fare riferimento in ogni situazione di trattamento, essendo stato concepito soprattutto come ausilio metodologico per le PMI. Offre in ogni caso un focus sugli elementi principali di cui si compone la procedura di valutazione d´impatto sulla protezione dei dati. Potrebbe costituire quindi un utile supporto di orientamento allo svolgimento di una DPIA, ma non va inteso come schema predefinito per ogni valutazione d´impatto che va integrata in ragione delle tipologie di trattamento esaminate.

    E´ inoltre bene ricordare che la valutazione d´impatto sulla protezione dei dati deve tenere conto del rischio complessivo che il trattamento previsto può comportare per i diritti e le libertà degli interessati, alla luce dello specifico contesto. Pertanto, il concetto di rischio non si esaurisce nella considerazione delle possibili violazioni o minacce della sicurezza dei dati.

     

    8.   FONTI

    Fonti ufficiali e autorevoli da cui sono state liberamente tratte e riportate alcune informazioni contenute nel presente Manuale:

    • GDPR, Regolamento Europeo 679/2016
    • Codice sulla Privacy, dlgs 196/2003
    • Aggiornamento al Codice della Privacy, dlgs 101/2018
    • WWW.GARANTEPRIVACY.IT
    • ANTICORRUZIONE.IT
    • AGID.GOV.IT
    • CNIL.FR

     

    9.   ALLEGATI

    Si allegano al presente Manuale alcuni documenti di lavoro ed esempi ai fini della corretta implementazione della privacy:

    1. Valutazione d’impatto sulla protezione dei dati
    2. Regolamento per la protezione dei dati personali, integrazione al Regolamento uffici e servizi
    3. Registri del trattamento dei dati
    4. Nomina del responsabile della protezione dati
    5. Nomina dei responsabili del trattamento dati interni
    6. Nomina dei responsabili del trattamento dati esterni
    7. Nomina del corresponsabile del trattamento dei dati
    8. Informativa estesa sulla privacy
    9. Riferimento all’informativa sulla privacy per i documenti
    10. Riferimento all’informativa sulla privacy per l’email

    Rispondi

    Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

    Logo WordPress.com

    Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

    Google+ photo

    Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

    Foto Twitter

    Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

    Foto di Facebook

    Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

    Connessione a %s...

    This site uses Akismet to reduce spam. Learn how your comment data is processed.