Nuova legge in materia di protezione dei dati personali
Il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, meglio conosciuto come GDPR (General Data Protection Regulation), come tutti i regolamenti dell’Unione Europea, non ha bisogno di recepimento in una normativa statale, ma è entrato in vigore negli stati membri decorsi 20 giorni dalla sua pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea (avvenuta il 4/5/2016), anche se sarà applicabile a partire dal 25 maggio 2018. Per quella data, quindi, bisognerà attenersi alle nuove indicazioni.
Ciò che preme sottolineare è che il regolamento riguarda la protezione dei dati delle persone fisiche e che, pertanto, è escluso dalla sua applicazione il trattamento dei dati delle persone giuridiche, che generalmente costituiscono il bacino di utenza preferenziale dell’attività dei professionisti della comunicazione visiva.
Per quanto concerne il trattamento dei dati delle persone fisiche, il Regolamento spesso descrive gli adempimenti attraverso le loro finalità, ma sta al titolare del trattamento completare la definizione degli stessi, attraverso i propri comportamenti. Ma vediamo, in sintesi, quali sono le novità.
Rimane attuale l’informativa, nella quale, però, devono essere fornite maggiori informazioni all’interessato, cioè al soggetto i cui dati vengono trattati. Si deve ottenere il suo consenso, che deve essere effettivo ed inequivocabile e può essere formulato anche attraverso mezzi elettronici, oltre che per mezzo di una dichiarazione scritta o oralmente, così come attraverso un’azione positiva (ciò non vale per il trattamento dei dati particolari, il cui consenso deve essere sempre esplicito). Non può essere, invece, considerato consenso il silenzio assenso. Cambia anche un po’ il consenso al trattamento dei dati dei minori.
Sono stati introdotti nuovi diritti degli interessati, quali la portabilità dei dati, che consiste nel diritto di ottenere dall’azienda o da un servizio on line, al quale erano stati conferiti, la restituzione dei dati personali e la trasmissione degli stessi ad altri titolari. Un altro aspetto è quello relativo al diritto all’oblio, ossia il diritto dell’interessato a vedere cancellati i propri dati. Ciò è particolarmente interessante quando si desidera deindicizzare una pagina web dai motori di ricerca o quando si vuole chiedere la cancellazione di informazioni da un sito web.
Il Regolamento introduce l’obbligo di progettare sistemi e applicativi (c.d. privacy by design), avendo sempre a mente che l’uso dei dati deve attenersi al minimo strettamente indispensabile, così come impone la progettazione di sistemi e di misure, che abbiano come impostazione predefinita unicamente l’uso dei soli dati necessari per una certa finalità (c.d. privacy by default).
Per capire quali siano le misure da adottare per la sicurezza dei dati che si trattano, è indispensabile analizzare i rischi e adottare adeguate misure di tutela. Nella verifica dei rischi è opportuno farsi assistere da un tecnico esperto. Utile e valutata positivamente è l’adesione a codici di condotta e a sistemi di certificazione.
Vi sono casi in cui deve essere fatta una valutazione d’impatto privacy, specialmente quando si adottano tecnologie, che possano creare dei rischi per i dati personali. La stessa Autorità Garante potrà essere preventivamente consultata.
Il Regolamento prevede la figura del Data Protection Officier (DPO), una nuova figura che dovrà essere utilizzata nel settore privato quando si trattano dati particolari su larga scala o si monitorino sistematicamente e su larga scala gli interessati.
La nuova normativa prevede altresì l’obbligo del titolare del trattamento e del responsabile di tenere il registro dei trattamenti, dove vengono indicate le modalità del trattamento e le sue finalità.
L’art. 30 del Regolamento indica quali siano le informazioni che devono essere annotate in tale registro, che deve essere tenuto in forma scritta, anche in formato elettronico.
Per quanto riguarda la profilazione (con ciò intendendosi qualsiasi forma di trattamento automatizzato di dati personali, consistente nell’utilizzo di tali dati per valutare alcuni aspetti personali e comportamentali), il GDPR riconosce agli interessati il diritto di non essere sottoposti a profilazioni e decisioni automatizzate inconsapevoli, ma, nei casi in cui la profilazione è consentita, stabilisce il diritto degli stessi di pretendere il trattamento da parte dell’uomo.
Nel caso dei professionisti della comunicazione visiva, molte delle operazioni sopra descritte, che costituiscono, in estrema sintesi, le più vistose novità del Regolamento, dovranno essere svolte dalle società committenti, che sono titolari del trattamento. Qualora il professionista fosse nominato responsabile del trattamento (quindi con funzioni di collaboratore affinché il trattamento sia conforme e di condivisione delle responsabilità), dovrà essere incaricato con un contratto, che disciplini la durata, la natura, le finalità del trattamento, la tipologia di dati da trattarsi, le categorie degli interessati; gli obblighi ed i diritti del titolare. Il Regolamento, al suo art. 28, indica nel dettaglio i contenuti di tale contratto.
Il responsabile ha altresì l’obbligo di tenere il registro delle attività di trattamento, nel quale annotare tutte le categorie di attività relative al trattamento svolte per conto del titolare.
Un aspetto rilevante della nuova normativa è la dichiarazione di consenso, che il titolare del trattamento deve ottenere dall’interessato persona fisica, ogni qual volta vengano trattati i suoi dati. L’informativa che viene fornita deve contenere alcune informazioni ulteriori rispetto al passato e sarà opportuno rivedere le informative sino ad oggi ottenute per essere certi che contengano tutte le informazioni necessarie e, se carenti, rinnovarle, completarle, modificarle. Le informazioni saranno fornite per iscritto, salvo che l’interessato richieda di riceverle oralmente. In quest’ultimo caso dovrà essere comprovata con altri mezzi l’identità dell’interessato.
Il Regolamento precisa che, nel dare l’informativa, si deve utilizzare un linguaggio chiaro e piano, privo di tecnicismi e di espressioni strettamente giuridiche, preciso e completo, ma nello stesso tempo comprensibile, in modo da consentire all’interessato di identificare facilmente il titolare del trattamento e per quali dati il consenso gli venga richiesto. Dovrà essere descritto in modo chiaro lo scopo della raccolta e si dovrà dichiarare quale sarà il periodo di conservazione dei dati raccolti o, se ciò non è possibile, si dovranno indicare i criteri utilizzati per determinare tale periodo. Se il consenso è richiesto come parte di un contratto, la richiesta di consenso dovrà essere chiaramente distinguibile dalle altre parti e non potrà essere un semplice paragrafo o articolo del documento. Eventualmente si potrà redigere su un documento separato; il documento sarà sempre separato, se il consenso viene espresso con mezzi elettronici. Per il consenso espresso con mezzi elettronici, bisognerà tenere conto delle dimensioni anche piccole degli schermi dei vari devices. Le informazioni potranno essere fornite in combinazione con icone standardizzate per dare, in modo facilmente intelligibile, un quadro d’insieme del trattamento previsto. Sarà la Commissione a stabilire quali informazioni si potranno fornire in forma di icona e le procedure per fornire icone standardizzate.
Gli artt. 13 e 14 del Regolamento indicano quali informazioni debbano essere fornite agli interessati, i quali hanno sempre diritto di accesso ai propri dati.
Il consenso dovrà essere una manifestazione di volontà libera, specifica, informata e inequivocabile. I dati dovranno essere trattati in modo lecito, corretto e trasparente.
Qualche cosa è cambiato anche per quanto riguarda il trattamento dei dati dei minori. Se si tratta di offerta di servizi della società dell’informazione, il minore può validamente prestare il proprio consenso all’età di 16 anni. Al di sotto di tale soglia d’età, il consenso dovrà essere prestato o il trattamento autorizzato dal titolare della potestà genitoriale.
Siccome il Regolamento non fornisce modelli prestabiliti, sarà molto interessante monitorare l’evoluzione della nuova normativa attraverso la sua effettiva applicazione, le consuetudini e l’eventuale giurisprudenza.
Il testo è stato redatto per Aiap dall’Avv. Fiammetta Malagoli
Il GDPR è molto complesso e non vi è alcuna pretesa di esaustività nel contenuto dell' articolo, che ha esclusivamente carattere divulgativo e non costituisce una consulenza professionale. Nessuna responsabilità può essere imputata ad Aiap o all'autore del testo, qualora si adottino decisioni o comportamenti facendo affidamento sulle informazioni fornite in questa sede.
(23 May 2018 )