Dal 25 maggio 2018 in tutti i Paesi dell’Unione Europea trova applicazione il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati, comunemente noto come GDPR (acronimo inglese di “General Data Protection Regulation”), regolamento entrato ufficialmente in vigore il 24 maggio 2016.
GDPR Cos’è
Il GDPR è un regolamento che fornisce supporto per la tutela della privacy e l’organizzazione del trattamento dei dati.
Con il regolamento citato vengono confermati alcuni dei principi relativi al trattamento dei dati previsti dal codice della privacy già in vigore tra cui:
- finalità del trattamento che ne limita l’utilizzo ai soli fini degli obiettivi di tutela, consulenza e difesa perseguiti con specifico mandato;
- necessità e proporzionalità: il trattamento deve essere adeguato, pertinente e necessario allo scopo;
- durata limitata: il trattamento non può protrarsi oltre il tempo necessario per l’espletamento degli incarichi, ovvero oltre il tempo necessario in funzione del mandato e della finalità del trattamento stesso compresi gli obblighi legali di conservazione;
- sicurezza e riservatezza: bisogna approntare un adeguato livello di sicurezza per i dati degli assistiti;
- rispetto del diritto delle persone.
Vengono poi introdotti ulteriori principi e doveri, tra cui:
- il principio di accountability, o principio di responsabilizzazione che è posta in capo al titolare del trattamento: il titolare dovrà definire, dopo una attenta analisi dei dati trattati e dei possibili rischi connessi, le misure adeguate al fine di garantire il rispetto delle norme del GDPR, a che le misure dovranno essere adeguate alla struttura del singolo titolare ed elaborate, caso per caso, ricorrendo ad una preventiva mappatura dei dati trattati, della mole degli stessi, dei rischi di trattamento dei dati gestiti;
- la minimizzazione dei dati, devono essere cioè trattati per quanto possibile, solo i dati essenziali, necessari e pertinenti per compiere la prestazione richiesta dal cliente.;
- il diritto all’oblio, in quanto l’interessato ha il diritto di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali che non siano più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati, quando abbia ritirato il proprio consenso o sia venuto meno il motivo per cui sono stati forniti;
- il diritto alla portabilità dei dati, che attribuisce agli interessati la facoltà di esigere dal titolare del trattamento la trasmissione dei loro dati ad un altro titolare, senza che il primo si possa opporre;
- la notificazione dei data breach al Garante e, in talune ipotesi, agli interessati.
GDPR a chi si applica
Il regolamento GDPR europeo considera oggetto di tutela il trattamento dei soli dati personali, al fine di assicurare la protezione dei diritti e delle libertà delle persone fisiche in maniera equivalente in tutti gli Stati membri e la libera circolazione dei dati, disciplinando, conseguentemente, i principi e le condizioni per procedere al legittimo trattamento di tali dati.
Il Regolamento Europeo per la privacy definisce dato personale
qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)
Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Perché il trattamento dei dati sia lecito, è necessario non solo il consenso ma anche la sussistenza delle seguenti condizioni:
- il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
- il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del medesimo;
- il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
- il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
- il trattamento è necessario per il perseguimento del legittimo interesse del titolare del medesimo o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.
Informativa per i clienti
GDPR cosa fare? L’art. 13 del Regolamento impone a chi acquisisce i dati degli assistiti di fornire le seguenti informazioni:
- l’identità e i dati di contatto del titolare dello studio e, ove applicabile, del suo rappresentante all’estero;
- i dati di contatto del responsabile della protezione dei dati (ove applicabile);
- le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
- le categorie di dati personali in questione;
- gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
- l’intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’art. 46 o 47, o all’art. 49, secondo comma, il riferimento alle garanzie adeguate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili; il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
- l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
- in alcuni casi (articolo 6, paragrafo 1, lettera a), oppure articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
- il diritto di proporre reclamo a un’autorità di controllo;
- se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
- l’esistenza di un processo decisionale automatizzato, compresa la profilazione (art. 22, paragrafi 1 e 4) e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
L’informativa deve avere forma concisa, trasparente, comprensibile per l’interessato e facilmente accessibile. Essa dev’essere scritta in un linguaggio chiaro e semplice (in particolare quando si tratti di minore) ma può essere resa anche in formato elettronico (ad esempio, se destinate al pubblico, attraverso un sito web) o comunicata via e-mail (ad esempio, in occasione della trasmissione di una nota di onorario in particolare per regolarizzare la situazione con i clienti che non sono stati adeguatamente informati).
Il Consenso dell’Interessato
Il consenso dell’interessato al trattamento dei dati è una “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.
È dunque possibile che la dichiarazione di consenso possa essere data anche verbalmente non necessariamente per iscritto, purché tale dichiarazione sia stata prestata in maniera inequivocabile.
Decreti attuativi
Il decreto attuativo del GDPR è ancora in discussione, nel frattempo, è stato pubblicato in Gazzetta Ufficiale (Serie Generale n. 119 del 24 maggio 2018) il D.Lgs. 18 maggio 2018 n. 51, in materia di trattamento dei dati personali da parte delle autorità per la prevenzione, l’indagine e l’accertamento e il perseguimento dei reati penali.
Il testo, che dà attuazione alla Direttiva (UE) n. 2016/680, entra in vigore l’8 giugno 2018. Con il D.Lgs. 51/2018, dunque, vengono assegnati i compiti a ciascun soggetto abilitato a trattare i dati raccolti (oltre alle relative modalità di informazione): la conservazione dei dati deve essere svolta in modo tale da permettere l’identificazione degli interessati nel solo tempo necessario al conseguimento delle finalità per le quali i dati sono stati raccolti. Periodicamente, deve essere permessa la verifica dei dati ed eventualmente la loro cancellazione. Il titolare del trattamento e il responsabile del trattamento, dovranno mettere in atto misure tecniche ed organizzative che garantiscano un livello di sicurezza adeguato al rischio di violazione dei dati.
L’interessato avrà comunque il diritto di ottenere dal titolare la conferma dell’esistenza di un trattamento in corso di dati personali che lo riguardano, e potrà anche chiedere le finalità e il titolo giuridico del trattamento, le categorie di dati personali trattati, i destinatari o le categorie di destinatari a cui i dati personali sono stati comunicati, il periodo di conservazione dei dati personali, la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano; potrà anche proporre reclamo al Garante.
il diritto alla portabilità dei dati, che attribuisce agli interessati la facoltà di esigere dal titolare del trattamento la trasmissione dei loro dati ad un altro titolare, senza che il primo si possa opporre