REGOLAMENTO SULLA LIBERA CIRCOLAZIONE DEI DATI NON PERSONALI: LINEE GUIDA

Per potenziare ulteriormente lo scambio transfrontaliero dei dati e promuovere l’economia dei dati, a novembre 2018 il Parlamento europeo e il Consiglio hanno adottato il Regolamento (UE) 2018/1807 relativo a un quadro applicabile alla Libera circolazione dei dati non personali nell’Unione europea.

Il regolamento si applica a decorrere dal 28 maggio 2019.

Il Comitato Europeo per la Protezione dei Dati ha pubblicato le sue Linee Guida del 29.05.2019 sui codici di condotta e gli organismi di controllo ai sensi del Regolamento generale sulla protezione dei dati e del Regolamento sulla libera circolazione dei dati non personali. Queste linee guida comprendono informazioni sull’elaborazione dei codici di condotta e sui criteri per la loro approvazione e altre informazioni utili.

Il principio della libera circolazione dei dati personali è già sancito nel regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (il “regolamento generale sulla protezione dei dati”). Ora esiste un quadro globale per uno spazio comune europeo dei dati e per la libera circolazione di tutti i dati all’interno dell’Unione europea.

Il regolamento sulla libera circolazione dei dati non personali garantisce la certezza del diritto alle imprese per quanto concerne il trattamento dei loro dati in qualsiasi luogo dell’UE. Grazie ai due regolamenti, i dati possono circolare liberamente tra gli Stati membri, consentendo agli utenti dei servizi di trattamento di dati di utilizzare i dati raccolti nei diversi mercati dell’UE per migliorare la loro produttività e competitività.

Aspetti significativi regolamento libera circolazione dei dati non personali

Il regolamento sulla libera circolazione dei dati non personali è caratterizzato da tre aspetti significativi:

 

  1. vieta, di regola, agli Stati membri di imporre obblighi sui luoghi in cui i dati dovrebbero essere localizzati; eccezioni a questa regola possono essere giustificate solo per motivi di sicurezza pubblica nel rispetto del principio di proporzionalità;
  2. istituisce un meccanismo di cooperazione per garantire che le autorità competenti continuino a poter esercitare tutti i diritti di cui godono per quanto riguarda l’accesso ai dati trattati in un altro Stato membro;
  3. prevede incentivi per l’industria, con il sostegno della Commissione, nell’intento di sviluppare codici di autoregolamentazione sul cambio di fornitore di servizi e la portabilità dei dati.

 

Interazione tra questo regolamento e il regolamento generale sulla protezione dei dati

 

Le presenti linee guida hanno lo scopo di orientare il lettore sull’interazione tra il regolamento sulla libera circolazione dei dati non personali e il regolamento generale sulla protezione dei dati, “in particolare per quanto concerne gli insiemi di dati composti sia da dati personali che da dati non personali”.

 

In particolare ci occuperemo di:

 

  1. concetti di dati personali e dati non personali;
  2. principi della libera circolazione dei dati e del divieto di qualsiasi obbligo di localizzazione dei dati ai sensi di entrambi i regolamenti;
  • nozione di portabilità dei dati secondo il regolamento sulla libera circolazione dei dati non personali;
  1. requisiti di autoregolamentazione stabiliti nei due regolamenti.

 

 

L’interazione tra il regolamento sulla libera circolazione dei dati non personali e il regolamento generale sulla protezione dei dati – gli insiemi di dati misti

 

Nella maggior parte delle situazioni della vita reale, un insieme di dati è generalmente composto sia da dati personali che da dati non personali. Per designare questo caso si utilizza il termine “insieme di dati misti”.

 

Il regolamento sulla libera circolazione dei dati non personali intende garantire la libera circolazione dei dati diversi dai dati personali. Il regolamento utilizza in tutto il testo il termine “dati”, il quale dovrebbe essere inteso come “dati diversi dai dati personali definiti all’articolo 4, punto 1, del regolamento (UE) 2016/679”. Tali dati, che sono anche indicati in questo documento come “dati non personali“, sono definiti in contrapposizione (a contrario) ai dati personali, come stabilito nel regolamento generale sulla protezione dei dati.

Continua a leggere

MANUALE SULLA PRIVACY: LINEE GUIDA E MODALITA’ OPERATIVE INTERNE PER LA TUTELA E LA PROTEZIONE DEI DATI PERSONALI

MANUALE SULLA PRIVACY: LINEE GUIDA E MODALITA’ OPERATIVE INTERNE PER LA TUTELA E LA PROTEZIONE DEI DATI PERSONALI

A cura del dott. Simone Carmignani

carmignaniconsulenza@gmail.com

 SOMMARIO

  1. Introduzione
  2. Riferimenti normativi
  3. Attività, organizzazione e soggetti direttamente coinvolti
  4. Processi di lavoro interni e buone pratiche
  5. Misure minime di sicurezza ICT
  6. Privacy e trasparenza
  7. Valutazione dell’impatto sulla protezione dei dati
  8. Fonti
  9. Allegati
    1. Valutazione d’impatto sulla protezione dei dati
    2. Regolamento per la protezione dei dati personali
    3. Registri del trattamento dei dati
    4. Nomina del responsabile della protezione dati
    5. Nomina dei responsabili del trattamento dati
    6. Nomina società responsabile trattamento dati
    7. Informativa estesa sulla privacy
    8. Riferimento alla privacy per i documenti
    9. Riferimento alla privacy per l’email

1.   Introduzione

Il presente manuale è redatto nell’ambito dell’attività di Responsabile della Protezione dei Dati, è rivolto alle Pubbliche Amministrazioni, alle Società e agli Enti da queste controllati, è finalizzato a definire e raccogliere un insieme di procedure e buone pratiche per la corretta implementazione dei principi della privacy e la tutela dei dati personali sanciti dal GDPR, Regolamento Europeo 679/2016, e dal Codice della Privacy, dlgs 196/2003 così come modificato dal dlgs 101/2018.

Vengono inoltre riprese, riassunte e riportate le più significative linee guida dettate dal Garante per la Protezione dei Dati, dall’Agenzia per l’Italia Digitale e dall’Autorità Anticorruzione, nonché allegati una serie di documenti di lavoro utili per l’implementazione degli obblighi previsti dalla normativa in materia di privacy.

Le procedure illustrate nel manuale non sono vincolanti ma la loro corretta implementazione è fortemente consigliata al fine di rispondere nella maniera più efficace ed efficiente agli obblighi di legge.

2.   riferimenti normativi

Il diritto alla protezione dei dati personali è un diritto fondamentale dell’individuo ai sensi della Carta dei diritti fondamentali dell’Unione europea (art. 8). Oggi è tutelato, in particolare, dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), oltre che da vari altri atti normativi italiani e internazionali e dal Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196), adeguato alle disposizioni del Regolamento (UE) 2016/679 tramite il Decreto legislativo 10 agosto 2018, n. 101.

In particolare, il Regolamento (UE) 2016/679 disciplina il trattamento dei dati personali indipendentemente dal fatto che questo sia effettuato o meno nell’Unione europea, sia quando svolto da titolari o responsabili stabiliti in Ue o in un luogo soggetto al diritto di uno Stato membro dell’Ue in virtù del diritto internazionale pubblico (per esempio l’ambasciata o la rappresentanza consolare di uno Stato membro), sia quando il titolare o il responsabile non è stabilito nell’Unione europea ma le attività di trattamento riguardano:

  • l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione europea, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
  • il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione europea.

Il Regolamento (UE) 2016/679 ha ampliato i diritti riconosciuti all’interessato con riferimento ai dati che lo riguardano, rendendoli maggiormente incisivi in una realtà permeata sempre più dal ricorso alle nuove tecnologie e all’utilizzo della rete.

 

3.   Attività, organizzazione e soggetti direttamente coinvolti

3.1 I DATI PERSONALI

Sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.

Particolarmente importanti sono: Continua a leggere

NUOVO DECRETO SULLA PRIVACY – DLGS N. 101 DEL 10.08.2018

Pubblicato in Gazzetta Ufficiale il decreto per l’adeguamento della normativa nazionale, il dlgs 196/2003, alle disposizioni del Regolamento (UE) 2016/679 GDPR, on line dal 5 settembre 2018.

Link al documento: http://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario;jsessionid=mZ–3ugjFdCxTQ9N43QJAA__.ntc-as3-guri2b?atto.dataPubblicazioneGazzetta=2018-09-04&atto.codiceRedazionale=18G00129&elenco30giorni=true

Parere sullo schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 – 22 maggio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

Visto l’articolo 13 della legge 25 ottobre 2017, n. 163, recante “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea (Legge di delegazione europea 2016/2017)”;

Visto l’articolo 154 del decreto legislativo 30 giugno 2003, n. 196 recante Codice in materia di protezione dei dati personali (di seguito:  Codice);

Visto lo schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

La Presidenza del Consiglio dei Ministri ha chiesto il parere del Garante su uno schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), approvato dal Consiglio dei Ministri nella riunione del 21 marzo 2018.

Il provvedimento è redatto nell’esercizio della delega conferita al Governo dagli articoli 1 e 13 della legge 25 ottobre 2017, n. 163, recante “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea (Legge di delegazione europea 2016/2017)” ed è finalizzato ad adeguare il quadro normativo nazionale alle disposizioni del predetto Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (di seguito “Regolamento”).

La legge di delegazione europea stabilisce, all’articolo 13 comma 3, i seguenti criteri: a) abrogare espressamente le disposizioni del Codice in materia di trattamento dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, incompatibili con le disposizioni contenute nel Regolamento (UE) 2016/679; b) modificare il Codice “limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute” nel Regolamento; c) coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni recate dal Regolamento; d) prevedere, ove opportuno, il ricorso a specifici provvedimenti attuativi e integrativi adottati dal Garante nell’ambito e per le finalità previsti dal Regolamento; e) adeguare, nell’ambito delle modifiche al Codice, il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del Regolamento con previsione di “sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse”.

Continua a leggere

Nuovo Regolamento Ue sulla privacy. Online l’aggiornamento 2018 della Guida applicativa – GARANTE PER LA PRIVACY

Nuovo Regolamento Ue sulla privacy. Online l’aggiornamento 2018 della Guida applicativa

Il Garante per la protezione dei dati personali mette a disposizione l’aggiornamento 2018 della Guida all’applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali.

Il documento – che traccia un quadro generale delle principali innovazioni introdotte dal Regolamento e fornisce indicazioni utili sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa – è stato in parte modificato e integrato alla luce dell’evoluzione della riflessione a livello nazionale ed europeo. Il testo potrà subire ulteriori aggiornamenti, allo scopo di offrire sempre nuovi contenuti e garantire un aggiornamento costante.

Link al documento: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8135449

Nuove Faq sul Responsabile della Protezione dei Dati (RPD) in ambito privato – GARANTE PRIVACY

1. Chi è il responsabile della protezione dei dati personali (RPD) e quali sono i suoi compiti?

2. Quali requisiti deve possedere il responsabile della protezione dei dati personali?

3. Chi sono i soggetti privati obbligati alla sua designazione?

4. Chi sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali?

5. È possibile nominare un unico responsabile della protezione dei dati personali nell’ambito di un gruppo imprenditoriale?

6. Il responsabile della protezione dei dati personali deve essere un soggetto interno o può essere anche un soggetto esterno? Quali sono le modalità per la sua designazione?

7. Il  ruolo di responsabile della protezione dei dati personali è compatibile con altri incarichi?

8. Il responsabile della protezione dei dati personali è una persona fisica o può essere anche un soggetto diverso?

 

1. Chi è il responsabile della protezione dei dati personali (RPD) e quali sono i suoi compiti?

Il responsabile della protezione dei dati personali (anche conosciuto con la dizione in lingua inglese data protection officer – DPO) è una figura prevista dall’art. 37 del Regolamento (UE) 2016/679. Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo. Coopera con l’Autorità (e proprio per questo, il suo nominativo va comunicato al Garante; v. faq 6) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).

2. Quali requisiti deve possedere il responsabile della protezione dei dati personali?

Il responsabile della protezione dei dati personali, al quale non sono richieste specifiche attestazioni formali o l’iscrizione in appositi albi, deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.

Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare. Deve inoltre agire in piena indipendenza (considerando 97 del Regolamento UE 2016/679) e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici.

Il responsabile della protezione dei dati personali deve poter disporre, infine, di risorse (personale, locali, attrezzature, ecc.) necessarie per l’espletamento dei propri compiti.

3. Chi sono i soggetti privati obbligati alla sua designazione?

Sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento che rientrino nei casi previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679. Si tratta di soggetti le cui principali attività (in primis, le attività c.d. di “core business”) consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (per quanto attiene alle nozioni di “monitoraggio regolare e sistematico” e di “larga scala”, v. le “Linee guida sui responsabili della protezione dei dati” del 5 aprile 2017, WP 243). Il diritto dell’Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati (art. 37, par. 4).

Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

4. Chi sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali?

Nei casi diversi da quelli previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679, la designazione del responsabile del trattamento non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: v. anche considerando 97 del Regolamento, in relazione alla definizione di attività “accessoria”).

In ogni caso, resta comunque  raccomandata, anche alla luce del principio di “accountability” che permea il Regolamento, la designazione di tale figura (v., in proposito, le menzionate linee guida), i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati.

5. È possibile nominare un unico responsabile della protezione dei dati personali nell’ambito di un gruppo imprenditoriale?

Il Regolamento (UE) 2016/679 prevede che un gruppo imprenditoriale (v. definizione di cui all’art. 4, n. 19) possa designare un unico responsabile della protezione dei dati personali, purché tale responsabile sia facilmente raggiungibile da ciascuno stabilimento (sul concetto di “raggiungibilità”, v. punto 2.3 delle linee guida in precedenza menzionate). Inoltre, dovrà essere in grado di comunicare in modo efficace con gli interessati e di collaborare con le autorità di controllo.

6. Il responsabile della protezione dei dati personali deve essere un soggetto interno o può essere anche un soggetto esterno? Quali sono le modalità per la sua designazione?

Il ruolo di responsabile della protezione dei dati personali può essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti; l’incarico può essere anche affidato a soggetti esterni, a condizione che garantiscano l’effettivo assolvimento dei compiti che il Regolamento (UE) 2016/679 assegna a tale figura. Il responsabile della protezione dei dati scelto all’interno andrà nominato mediante specifico atto di designazione, mentre quello scelto all’esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto di servizi. Tali atti, da redigere in forma scritta, dovranno indicare espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.

Nell’esecuzione dei propri compiti, il responsabile della protezione dei dati personali (interno o esterno) dovrà ricevere supporto adeguato in termini di risorse finanziarie, infrastrutturali e, ove opportuno, di personale. Il titolare o il responsabile del trattamento che abbia designato un responsabile per la protezione dei dati personali resta comunque pienamente responsabile dell’osservanza della normativa in materia di protezione dei dati e deve essere in grado di dimostrarla (art. 5, par. 2, del Regolamento; v. anche i punti 3.2 e 3.3. delle linee guida sopra richiamate).

I dati di contatto del responsabile designato dovranno essere infine pubblicati dal titolare o responsabile del trattamento. Non è necessario – anche se potrebbe rappresentare una buona prassi – pubblicare anche il nominativo del responsabile della protezione dei dati: spetta al titolare o al responsabile e allo stesso responsabile della protezione dei dati, valutare se, in base alle specifiche circostanze, possa trattarsi di un’informazione utile o necessaria. Il nominativo  del responsabile della protezione dei dati e i relativi dati di contatto vanno invece comunicati all’Autorità di controllo. A tal fine, allo stato, è possibile utilizzare il modello di cui al seguente link:http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/7322292

7. Il  ruolo di responsabile della protezione dei dati personali è compatibile con altri incarichi?

Si, a condizione che non sia in conflitto di interessi. In tale prospettiva, appare preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT ecc.). Da valutare, in assenza di conflitti di interesse e in base al contesto di riferimento, l’eventuale assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale).

8. Il responsabile della protezione dei dati personali è una persona fisica o può essere anche un soggetto diverso?

Il Regolamento (UE) 2016/679 prevede espressamente che il responsabile della protezione dei dati personali possa essere un “dipendente” del titolare o del responsabile del trattamento (art. 37, par. 6, del Regolamento); ovviamente, nelle realtà organizzative di medie e grandi dimensioni, il responsabile della protezione dei dati personali, da individuarsi comunque in una persona fisica, potrà essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell’assolvimento dei propri compiti.

Qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest’ultimo potrà essere anche una persona giuridica (v. il punto 2.4 delle suddette Linee guida).

Si raccomanda, in ogni caso, di procedere a una chiara ripartizione di competenze, individuando una sola persona fisica atta a fungere da punto di contatto con gli interessati e l’Autorità di controllo.

Link al documento: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8036793