PACCHETTO EUROPEO PROTEZIONE DATI REGOLAMENTO 2016/679/UE E DIRETTIVA 2016/680/UE IN VIGORE DAL 25 MAGGIO 2018

1. 4 MAGGIO 2016 - PROTEZIONE DEI DATI PERSONALI - Pubblicato il nuovo regolamento 2016/679 e la Direttiva 2016/680 - Abrogata la direttiva 95/46/CE Sono stati pubblicati, sulla Gazzetta Ufficiale dell'Unione Europea (GUUE) n. L 118 del 4 maggio 2016, i testi del Regolamento europeo 2016/679, in materia di protezione dei dati personali e della Direttiva 2016/680,che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini. Si tratta del passaggio finale per l'entrata in vigore del nuovo "Pacchetto protezione dati", l'insieme normativo che definisce un quadro comune in materia di tutela dei dati personali per tutti gli Stati membri dell'UE. Il Regolamento sarà vigente 20 giorni dopo la pubblicazione in GUUE, per diventare definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018, quando dovrà essere garantito il perfetto allineamento fra la normativa nazionale e le disposizioni del Regolamento. La Direttiva, invece, sarà vigente a decorrere dal 5 maggio 2016, e da qual momento impegnerà gli Stati membri a recepire le sue disposizioni nel diritto nazionale entro 2 anni. 1.1. Il regolamento 2016/679 E’ stato pubblicato, sulla Gazzetta Ufficiale dell’Unione europea n. L 118/4 del 4 maggio 2016, il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). Il provvedimento entra in vigore il 24 maggio 2016, ma gli Stati Membri avranno due anni di tempo (fino al 25 maggio 2018) per uniformare la propria legislazione alle regole comunitarie. Entro il medesimo termine, professionisti ed imprese dovranno adattare i propri modelli organizzativi alle nuove prescrizioni onde evitare di incorrere in pesanti sanzioni economiche, quando non in responsabilità di natura penale. Decorso tale termine si porranno due alternative: a) o gli Stati membri avranno adottato norme di recepimento delle prescrizioni regolamentari che, quindi, troveranno applicazione dalla data della loro entrata in vigore; b) ovvero, in caso contrario, il Regolamento 2016/679 troverà automatica e diretta applicazione dal 25 maggio 2018, con conseguente disapplicazione di tutte le norme nazionali che fossero in contrasto con lo stesso. 1.2. La struttura del regolamento Il Regolamento è articolato nei seguenti undici Capi e 99 articoli: CAPO I - Disposizioni generali (artt. 1 – 4) CAPO II - Principi (artt. 5 – 11) CAPO III - Diritti dell'interessato (artt. 12 – 23) CAPO IV - Titolare del trattamento e responsabile del trattamento (artt. 24 – 43) CAPO V - Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali (artt. 44 – 50) CAPO VI - Autorità di controllo indipendenti (artt. 51 – 59) CAPO VII - Cooperazione e coerenza (artt. 60 – 76) CAPO VIII - Mezzi di ricorso, responsabilità e sanzioni (artt. 77 – 84) CAPO IX - Disposizioni relative a specifiche situazioni di trattamento (artt. 85 – 91) CAPO X - Atti delegati e atti di esecuzione (artt. 92 – 93) CAPO XI - Disposizioni finali (artt. 94 – 99). 1.3. Finalità e ambito di applicazione Il presente regolamento: a) stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati; b) protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali. La libera circolazione dei dati personali nell'Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (art. 1). Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi. Il presente regolamento non si applica ai trattamenti di dati personali: a) effettuati per attività che non rientrano nell'ambito di applicazione del diritto dell'Unione; b) effettuati dagli Stati membri nell'esercizio di attività che rientrano nell'ambito di applicazione del titolo V, capo 2, TUE; c) effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico; d) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse. Per il trattamento dei dati personali da parte di istituzioni, organi, uffici e agenzie dell'Unione, si applica il regolamento (CE) n. 45/2001, i cui principi dovranno essere adeguati ai principi e alle norme del presente regolamento conformemente all'articolo 98 (art. 2). Il presente regolamento si applica: 1) al trattamento dei dati personali effettuato nell'ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell'Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione; 2) al trattamento dei dati personali di interessati che si trovano nell'Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell'Unione, quando le attività di trattamento riguardano: a) l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione; 3) al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell'Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico (art. 3). 1.4. Definizioni Riportiamo alcune definizioni indicate all'art. 4 del regolamento: 1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; 2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione; 7) «titolare del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri; 8) «responsabile del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento; 11) «consenso dell'interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento. La direttiva 95/46/CE è abrogata a decorrere da 25 maggio 2018 (art. 94, comma 1). Restano in vigore, fino alla loro modifica, sostituzione o revoca, gli accordi internazionali che comportano il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali conclusi dagli Stati membri prima di 24 maggio 2016 e conformi al diritto dell'Unione applicabile prima di tale data (art. 96). Entro il 25 maggio 2020 e, successivamente, ogni quattro anni, la Commissione trasmette al Parlamento europeo e al Consiglio relazioni di valutazione e sul riesame del presente regolamento (art. 97, comma 1). 2. 23 GIUGNO 2016 - Dall’Authority Privacy una Guida informativa sul nuovo regolamento UE Quali sono le principali novità contenute nel nuovo Regolamento europeo sulla protezione dei dati personali? Quali garanzie e diritti introduce per i cittadini? Quali responsabilità e semplificazioni sono previste per imprese ed enti? A queste e ad altre domande risponde la Guida predisposta dal Garante per la protezione dei dati personali, che illustra in chiave divulgativa le significative innovazioni previste dal nuovo Regolamento Ue, entrato in vigore lo scorso 24 maggio e che sarà direttamente applicabile in tutti gli Stati dell'Unione europea a partire dal 25 maggio 2018. Il diritto all'oblio e quello alla portabilità dei dati, la nuova figura del Responsabile della protezione dei dati, l'obbligo di comunicare le violazioni e gli attacchi informatici subiti, i limiti alla profilazione delle persone: sono alcuni degli aspetti trattati nell'opuscolo on line messo a punto dal Garante. La guida, che inaugura una serie di iniziative informative che il Garante metterà in campo per spiegare la portata del Regolamento. . Se vuoi scaricare il testo della GUIDA, clicca QUI. 3. GENNAIO 2018 - L. 205/2017 - LEGGE DI BILANCIO 2018 - PRIVACY - Con il recepimento del regolamento 2016/679/UE previsti nuovi compiti per il Garante E' stata pubblicata, sulla Gazzetta Ufficiale n. 302 del 29 dicembre 2017 (Supplemento Ordinario n. 62), la legge 27 dicembre 2017, n. 205, recante "Bilancio di previsione dello Stato per l'anno finanziario 2018 e bilancio pluriennale per il triennio 2018-2020”. (Legge di Bilancio 2018). Il provvedimento si compone di un solo articolo, composto da 1181 commi. I commi da 1020 a 1025 attribuiscono alcuni compiti al Garante della protezione dei dati personali, ai fini dell'adeguamento dell’ordinamento nazionale al regolamento UE 2016/679 del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (c.d. “Regolamento RGPD”). Esso ha dettato una nuova disciplina europea sul trattamento dei dati personali, abrogando la direttiva del 1995, la quale aveva determinato l’emanazione del decreto legislativo n. 196 del 2003 (c.d. “Codice Privacy”). Affinchè il regolamento dell'Unione europea riceva compiuta applicazione entro l'ordinamento italiano: - si ribadisce che spetta al Garante della protezione dei dati personali, anche in sede di attuazione del regolamento UE, assicurare la tutela dei diritti fondamentali e delle libertà dei cittadini (comma 1020); - si prevede che il Garante debba, entro il 1° marzo 2018, adottare un provvedimento per disciplinare le modalità attraverso le quali l’Autorità stessa monitora e vigila sull’applicazione del Regolamento UE; verifica che i titolari dei dati personali, trattati per via automatizzata o tramite tecnologie digitali, siano dotati di infrastrutture adeguate; predispone un modello di informativa che i titolari di dati personali che effettuano un trattamento con uso di tecnologie digitali fondato sull’interesse legittimo dovranno compilare e definisce linee-guida da applicare quando il trattamento dei dati personali sia fondato sull’interesse legittimo del titolare (comma 1021); - si prevede che colui che intende effettuare un trattamento dati fondato sull’interesse legittimo che prevede l’uso di nuove tecnologie o di strumenti automatizzati, debba preventivamente compilare e inviare al Garante l’informativa, redatta in base al modello previsto dal Garante stesso. Entro 15 giorni, e previa istruttoria, il Garante potrà disporre una moratoria sul trattamento dei dati (comma 1023) ove ritenga che lo stesso possa nuocere ai diritti degli interessati; in assenza di intervento del Garante, trascorsi 15 giorni dalla comunicazione, il trattamento potrà essere avviato (comma 1022); - si dispone che la moratoria del trattamento possa durare massimo 30 giorni, durante i quali il Garante può chiedere al titolare ulteriori informazioni ed integrazioni. Se all’esito dell’approfondimento, il Garante ritiene che il trattamento comporti una lesione dei diritti e delle libertà degli interessati, potrà inibire l’utilizzo dei dati personali (comma 1023); - si demanda al Garante di dar conto dell’attività svolta in sede di applicazione del Regolamento UE nella relazione annuale al Parlamento (comma 1024); - si autorizza una spesa di 2 milioni di euro annui, a decorrere dal 2018, ai fini dell'attuazione dei commi da 1020 a 1024 (comma 1025). . Se vuoi approfondire i contenuti e scaricare il testo della legge n. 205/2017 (Legge di bilancio 2018), clicca QUI. 4. PRIVACY - Dal 25 maggio 2018 entrerà in vigore il nuovo Regolamento UE/2016/679 (GDPR) - Pesanti sanzioni per gli inadempienti - Disponibile una Guida del Garante della Privacy 1) A distanza di diciannove anni dall'entrata in vigore – 8 maggio 1997 – della prima legge italiana in materia di privacy, il 4 maggio 2016 è stato pubblicato in Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679, il quale è entrato formalmente in vigore il 25 maggio 2016. Tale Regolamento segna il più grande cambiamento nelle leggi sulla privacy dell’UE dopo oltre venti anni e si inserisce all'interno di quello che, insieme alla Direttiva 2016/680, è stato definito il "Pacchetto europeo protezione dati". Gli Stati membri ad ogni modo, sebbene il Regolamento, in quanto tale, non abbia bisogno di recepimento, hanno avuto a disposizione due anni per adeguare le proprie normative interne nonché, le aziende, per essere sensibilizzate alle novità introdotte. Il 25 maggio 2018, entrerà, pertanto, ufficialmente in vigore il Regolamento generale sulla protezione dei dati personali (c.d. GDPR - General Data Protection Regulation), che prevede un nuovo regime sanzionatorio per le imprese. Su tale questione, la Fondazione Studi dei Consulenti del Lavoro, con il parere n. 1/2018, ha fornito alcuni chiarimenti precisando, anzitutto, che la scadenza del 25 maggio non slitterà, nonostante siano girate false indiscrezioni circa il fatto che il Regolamento Europeo in materia di protezione dei dati personali sarebbe sostanzialmente inapplicabile, a causa di una pretesa mancata attuazione da parte della legislazione nazionale. La Fondazione chiarisce, infatti, che “è da ritenersi pacifico che la norma di riferimento in materia di protezione dei dati personali, a partire dal 25 maggio 2018, sarà il Regolamento UE 2016/679, come da esplicita previsione dell’art. 99 dello stesso”. Ciò perché il cambiamento non riguarda soltanto il contenuto delle regole ma anche la tecnica normativa adottata. La Direttiva n. 1995/46, recepita con il D.Lgs. n. 196/2003 (c.d. “Codice della privacy”), viene espressamente abrogata dal Regolamento UE/2016/679. Ma non solo. Il Regolamento in questione, diversamente dalla Direttiva, è applicabile immediatamente ed è direttamente vincolante in ogni sua parte sia per gli Stati membri che per i cittadini, con la conseguenza che l’eventuale inosservanza delle regole poste consente ai giudici nazionali di applicare le disposizioni comunitarie a prescindere da eventuale normativa nazionale contrastante. Non è necessario alcun recepimento da parte della normativa interna per la sua efficacia. Non c’è, pertanto, ragione di ritenere la necessità di nessun altro passaggio “attuativo” delle norme fissate dal Regolamento UE/2016/679, che sono immediatamente cogenti nonostante richiedano talvolta ai destinatari una operazione di decodificazione della loro portata, laddove astratta. Nessun dubbio dunque può essere sollevato sulla immediata applicabilità delle nuove norme a partire dal 25 maggio prossimo. Nessun rinvio può venire invocato o ritenuto necessario per i destinatari (tutti), imprese innanzitutto, che dovranno trovarsi pronti, alla data premessa, all’applicazione delle nuove regole, pena l’applicazione del regime sanzionatorio. 2) Il Garante per la protezione dei dati personali, investito dal legislatore nazionale del compito di assicurare la tutela dei diritti fondamentali e delle libertà dei cittadini (art. 1, commi dal 1020 al 1025, L. n. 205/2017 – Legge di bilancio 2018), ha predisposto una “Guida all'applicazione del Regolamento UE 2016/679” in materia di protezione dei dati personali. Il documento - che traccia un quadro generale delle principali innovazioni introdotte dal Regolamento e fornisce indicazioni utili sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa - è stato in parte modificato e integrato alla luce dell'evoluzione della riflessione a livello nazionale ed europeo. Il testo potrà subire ulteriori aggiornamenti, allo scopo di offrire sempre nuovi contenuti e garantire un aggiornamento costante. 3) Vogliamo infine ricordare che il Consiglio dei Ministri n. 75 del 21 marzo scorso ha approvato, in esame preliminare, un decreto legislativo che, in attuazione dell’art. 13 della legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163), introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. A far data dal 25 maggio 2018, data in cui le disposizioni di diritto europeo acquisteranno efficacia, il vigente Codice in materia di protezione dei dai personali, di cui al decreto legislativo 30 giugno 2003, n. 196, sarà abrogato e la nuova disciplina in materia sarà rappresentata principalmente dalle disposizioni del suddetto Regolamento immediatamente applicabili e da quelle recate dallo schema di decreto volte ad armonizzare l’ordinamento interno al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy. . Se vuoi accedere alla pagina informativa del sito del Garante Privacy e per scaricare il testo della Guida all’applicazione del Regolamento UE/2016/679, clicca QUI. 5. GDPR - Lo schema di decreto di adeguamento all’esame della Camera Il decreto legislativo in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali voluto dall'art. 13 della legge 25 ottobre 2017, n. 163 (legge di delegazione europea) per adeguare le disposizioni dell'ordinamento nazionale al GDPR (Regolamento UE 2016/679), è all'esame della competente Commissione parlamentare. Da quanto emerge dalla documentazione ufficiale - scrive Paolo Marini su Altalex - l'indirizzo del legislatore delegato ha subìto una virata: non più abrogare il Codice (D.Lgs. 30 giugno 2003, n. 196) come emergeva da una prima stesura, bensì intervenire con il bisturi all'interno del medesimo. La prima opzione - abrogare il Codice e dettare un testo nuovo di zecca - prestava immediatamente il fianco alla censura di eccesso di delega, posto che l'art 13, comma 3, lett. a) della L. 163/2017 ha delegato il governo ad “abrogare espressamente le disposizioni del codice in materia di trattamento di dati personali (…) incompatibli con le disposizioni contenute nel regolamento (UE) 2016/679”. In ogni caso, si imponeva e si impone una grande cautela nell'intervenire sul Codice, perché anche in base alla successiva lett. b), il legislatore è stato delegato a modificarlo “limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento (UE) 2016/679”. Nella relazione che accompagna il provvedimento si prende atto che “l'attribuzione specifica al legislatore delegato del potere anche di coordinamento di tutte le disposizioni vigenti in materia di protezione dei dati personali [di cui alla lett. c) del citato comma 3 dell'art. 13], ivi comprese perciò quelle extra-codicistiche, con le previsioni regolamentari rivela come la delega consenta di intervenire nel modo tecnicamente più appropriato al raggiungimento del fine principale della stessa delega, che resta quello di adeguare l'intero quadro normativo interno al regolamento 2016/679.” Il legislatore delegato osserva dunque che la massima parte delle disposizioni del Codice è da abrogare espressamente poiché quelle sono risultate incompatibili con le disposizioni del Regolamento generale sulla protezione dei dati. E infatti è massiccia l'opera di demolizione intra-codicistica. Sono tra l'altro oggetto di abrogazione quelle disposizioni che costituiscono delle duplicazioni tra Codice e Regolamento, con l'obiettivo di eliminare gli equivoci e fare chiarezza. Oltre agli interventi di abrogazione, alcune disposizioni sono introdotte ex novo e non poche disposizioni sono riproposte con modifiche. Inoltre – elemento di rilievo rispetto al complesso delle norme in materia di 'privacy' – il legislatore sceglie “di garantire la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti. Essi restano fermi nell'attuale configurazione nelle materie di competenza degli Stati membri, mentre possono essere riassunti e modificati su iniziativa delle categorie interessate quali codici di settore”. In via di estrema sintesi - cvonclude Paolo Marini - il legislatore delegato prende atto della circostanza che, grazie a tutte queste innovazioni, il Codice ha perso/perde la sua centralità. Tale perdita è in realtà da ascrivere direttamente alla approvazione di un Regolamento - vigente e tra pochi giorni applicabile in tutti i paesi dell'Unione Europea - che a differenza del suo predecessore, la Direttiva 95/46/CE, interviene in modo diretto e dettagliato a disciplinare le attività di trattamento di dati. . Se vuoi scaricare il testo dello Schema di decreto all'esame della Camera, clicca QUI. 5.1. 22 MAGGIO 2018 - Nuovo codice privacy - Via libera (condizionato) dal Garante per la protezione dei dati Il Garante privacy ha espresso parere favorevole sullo schema di decreto legislativo recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio – GDPR, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati). L’Autorità di vigilanza ha però formulato alcune condizioni e osservazioni. Al fine di rendere il decreto conforme ai principi e alle disposizioni del Regolamento, ad avviso del Garante, occorre perfezionare lo schema di decreto in alcuni punti, con modifiche e integrazioni. . Se vuoi accedere al sito del Garante Privacy e scaricare il testo del parere espresso dal Garante, clicca QUI. 5.2. 24 MAGGIO 2018 - GDPR - L’attuazione della delega slitta al 21 agosto 2018 Il decreto di recepimento del Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, il c.d. GDPR, è stato trasmesso dal Governo alle Commissioni speciali solamente il 10 maggio 2018. Dopo due settimane di esame e in vista della piena entrata in vigore del Regolamento prevista per il 25 maggio 2018, i relatori delle Commissioni concordano nell’impossibilità di esprimere qualsivoglia parere sull’attuale testo di schema di decreto, giudicato troppo impreciso e farraginoso, lamentandosi del ritardo con cui è giunto il documento. Il relatore della Commissione speciale del Senato ha evidenziato numerose criticità di marcato rilievo giuridico e anche molteplici profili di illegittimità costituzionale, tali da giustificare, al momento, un parere contrario. Critiche al testo arrivano, oltre che dalle forze politiche, anche dal Garante, che ha inviato il parere sul decreto in tempo record: sono stati sollevati numerosi dubbi in ordine alla conservazione dei dati di traffico telefonico, alla prestazione del consenso dei minori e sul riutilizzo dei dati per la ricerca scientifica. Per forza del mancato arrivo dei due pareri delle Commissioni, ai sensi dell'articolo 31, comma 3, della legge n. 234 del 2012, il termine del recepimento della delega da parte del Governo slitta dal 21 maggio 2018 al 21 agosto 2018, da considerarsi come termine ultimo: da più parti si auspica, però, che questi possano arrivare ben prima. Poiché il GDPR entrerà in vigore il 25 maggio 2018, per un certo periodo di tempo si verificherà pertanto una sovrapposizione tra le disposizioni europee e il codice della privacy attualmente vigente. . Se vuoi scaricare il testo del Resoconto della Commissione Speciale per gli atti urgenti del Governo del 23 maggio 2018 - CAMERA DEI DEPUTATI, clicca QUI. . Se vuoi scaricare il testo del Resoconto della Commissione Speciale per gli atti urgenti del Governo del 23 maggio 2018 - SENATO, clicca QUI. 6. 22 MAGGIO 2018 - GDPR - Al via la procedura online per la comunicazione al Garante Privacy dei dati dei responsabili della protezione dei dati (DPO) 6.1. Il modulo cartaceo In base all'articolo 37, paragrafo 7 del Regolamento UE/2016/679, i soggetti pubblici e privati devono comunicare al Garante per la protezione dei dati personali il nominativo del Responsabile della Protezione dei dati, se designato. Questa disposizione mira a garantire che le autorità di controllo possano contattare il Responsabile della protezione dei dati in modo facile e diretto, come chiarito nelle Linee guida sui Responsabili della Protezione dei Dati (RPD) adottate dal Gruppo Articolo 29 (WP 243 rev. 01 - punto 2.6). In attesa di rendere disponibile la procedura online, il Garante per la protezione dei dati personali aveva pubblicato un facsimile per la comunicazione delle informazioni di contatto del Responsabile della Protezione dei dati. La finalità – si legge nel comunicato - è di consentire alle aziende di “familiarizzare con l'adempimento e di verificare, prima di procedere alla compilazione online, quali saranno le informazioni richieste”. Tale modello non è infatti utilizzabile per la comunicazione definitiva al Garante. La Sezione A richiede i "Dati del soggetto che effettua la comunicazione" ricomprendendovi nome e cognome, email, la qualità di rappresentante legale o delegato del rappresentante legale e la presa visione sull'informativa sul trattamento dei dati personali. La Sezione B indica i "Dati del Titolare/Responsabile del trattamento", con una sottosezione riguardante i "Gruppi imprenditoriali" per i quali, si rammenta, è possibile nominare anche un altro Dpo facilmente raggiungibile da ogni stabilimento. La Sezione C riguarda il "Responsabile della Protezione dei dati" e andrà indicato, tra l'altro, se trattasi di persona fisica o giuridica, se la designazione è effettuata all'interno o all'esterno dell'azienda. Infine, la Sezione D è deputata alla "Pubblicazione dei dati di contatto". . Se vuoi accedere al sito del Garante e scaricare il fac-simile del modello, clicca QUI. 6.2. La procedura online Al via la procedura online per comunicare al Garante della privacy i dati dei responsabili della protezione dei dati (DPO), la nuova figura che pubbliche amministrazioni, imprese ed enti dovranno designare obbligatoriamente entro il prossimo 25 maggio, per assicurare il rispetto delle disposizioni del regolamento europeo (GDPR). I DPO rappresentano una figura chiave per l'applicazione del Regolamento Ue privacy (2016/679) e i loro nomi vanno segnalati al Garante. Nello specifico, i soggetti pubblici sono tenuti indistintamente alla nomina, mentre nel privato, l'obbligo vale per coloro che, come attività principale svolta su "larga scala", trattano dati particolari (sensibili, biometrici, ecc.) o fanno monitoraggio sistematico delle persone. La disposizione, spiega il Garante, mira a garantire che le autorità di controllo possano contattare il Responsabile della Protezione dei Dati, punto di contatto tra il singolo ente o azienda e il garante, in modo facile e diretto, come chiarito nelle linee guida adottate ad hoc. Così, per facilitare i soggetti tenuti all'adempimento, a distanza di qualche giorno dalla pubblicazione del fac-simile da utilizzare per effettuare la comunicazione, il Garante ha reso disponibile la procedura online per la comunicazione del nominativo. La comunicazione deve essere effettuata dal legale rappresentante del soggetto titolare/responsabile del trattamento dei dati, o da un suo delegato (del quale è necessario indicare nome e cognome). La comunicazione al Garante va effettuata esclusivamente in via telematica accedendo all'applicazione disponibile e compilando il relativo modulo. Una volta inserite tutte le informazioni richieste, il soggetto che effettua la comunicazione riceverà una e-mail a cui sarà allegato un file. Tale file dovrà essere sottoscritto con firma digitale (o firma elettronica qualificata) in formato CAdES (file con estensione p7m). La procedura di caricamento deve essere completata entro 48 ore dalla ricezione della mail contenente il file da firmare. Per l'apposizione della firma è necessario utilizzare un dispositivo di firma digitale. I campi contrassegnati con un asterisco sono obbligatori salvo diversa o ulteriore indicazione. In materia, va ricordato che la mancata nomina del responsabile della protezione dei dati e anche la mancata comunicazione al Garante espongono le imprese (tenuti alla nomina) e gli enti pubblici alle sanzioni amministrative previste dall'articolo 83, paragrafo 4, del Regolamento 2016/679. In particolare, la violazione della disposizione di riferimento (art. 37) è compresa tra quelle punite con sanzioni amministrative pecuniarie fino a 10 milioni di euro, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore. . Se vuoi accedere alla procedura online, clicca QUI. 7. 4 SETTEMBRE 2018 - Pubblicato il decreto di adeguamento della normativa nazionale al regolamento europeo - Previsto un periodo transitorio di 8 mesi Dopo oltre tre mesi dalla data di entrata in vigore del Regolamento Europeo sulla privacy 2016/679 è stato pubblicato, sulla Gazzetta Ufficiale n. 205 del 4 settembre 2018, il Decreto Legislativo 10 agosto 2018, n. 101, recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”. 7.1. Premessa - La scelta del Governo La scelta del Governo è stata quella di agire novellando il codice della privacy esistente (e, cioè, il D.Lgs. n. 196/2003), e ciò nonostante il regolamento abbia cambiato la prospettiva dell’approccio alla tutela della privacy rispetto al codice introducendo il principio di della “accountability”. È stata, quindi, superata l’idea dell’originaria bozza di decreto elaborata da un’apposita Commissione che voleva abrogare il D.Lgs. n. 196/2003 riscrivendo tutto e non prevedere alcuna sanzione penale per le violazioni della privacy. Più in particolare, è stato previsto di fare salvi, per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti. Inoltre, è stato previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento. Peraltro, è stato anche previsto un periodo di otto mesi durante i quali l’attività ispettiva del Garante dovrà tenere conto del fatto che le imprese hanno bisogno di tempo per adeguarsi alle norme (e sul quale si richiama anche il provvedimento n. 121 del 22 febbraio 2018 del Garante della privacy che già aveva rilevato la necessità di avere a disposizione il “decreto” e “tempo” per adeguarsi). Il che nulla toglie che dal 25 maggio 2018 le norme del Regolamento UE siano pienamente operative e, quindi, se violate possono dar luogo (quantomeno) all’obbligo di risarcire il danno. 7.2. La struttura del decreto Il decreto è composto da sei Capi: - Capo I (Modifiche al titolo e alle premesse del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196); - Capo II (Modifiche alla parte I del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196); - Capo III (Modifiche alla parte II del codice in materia di protezione dei dati personali di cui decreto legislativo 30 giugno 2003, n. 196); - Capo IV (Modifiche alla parte III e agli allegati del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196); - Capo V (Disposizioni processuali); - Capo VI (Disposizioni transitorie, finali e finanziarie). 7.3. Le novità introdotte dal decreto Il decreto - emanato in attuazione dell'articolo 13 della Legge 25 ottobre 2017, 163 (Legge di delegazione europea 2016-2017) - contiene disposizioni per l’adeguamento della normativa nazionale (contenuta nel Decreto legislativo 30 giugno 2003 n. 196 - Codice della Privacy) alle disposizioni del Regolamento europeo 2016/679 in materia di protezione dei dati personali (c.d. General Data Protection Regulation, GDPR), entrato in vigore il 25 maggio 2018. Come è noto, a partire da tale data, il GDPR è direttamente applicabile in tutti gli Stati membri e costituisce quindi la principale fonte di disciplina del trattamento dei dati personali anche nel nostro ordinamento. Con il decreto legislativo n. 101/2018 vengono apportate al quadro normativo nazionale le modifiche volte ad assicurare il coordinamento con la disciplina uniforme stabilita a livello europeo. Tali modifiche investono essenzialmente il Codice in materia di protezione dei dati personali (decreto legislativo n. 196/2013) e consistono nell'abrogazione di gran parte delle sue disposizioni, ormai sostituite da quelle del GDPR, e nell'inserimento di nuove disposizioni che disciplinano gli aspetti non direttamente coperti dal Regolamento o per i quali quest'ultimo assegna spazi di scelta agli Stati membri. A seguito dell'entrata in vigore del decreto legislativo, il Codice per la protezione dei dati personali resta suddiviso in tre Parti. Nella Parte I, gli articoli 1 e 2 stabiliscono rispettivamente l'oggetto e le finalità del Codice, mentre il nuovo articolo 2-bis, confermando la scelta già compiuta nel nostro ordinamento, individua nel Garante per la protezione dei dati personali l'autorità di controllo nazionale a norma del GDPR (artt. 1 e 2). La Parte II contiene “disposizioni specifiche per i trattamenti necessari per adempiere ad un obbligo legale o per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri nonché disposizioni per i trattamenti di cui al capo IX del Regolamento” (artt. 3 – 12). Vi rientrano le disposizioni sui trattamenti per fini di sicurezza nazionale o difesa, sui trattamenti in ambito pubblico (accesso a documenti amministrativi e accesso civico; registri pubblici e albi professionali), sui trattamenti in ambito sanitario e nell'ambito dell'istruzione, sui trattamenti a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, sui trattamenti nell'ambito del rapporto di lavoro, nonché le disposizioni in materia di assicurazioni, servizi di comunicazione elettronica, giornalismo e libertà di informazione. La Parte III disciplina la tutela dell'interessato, sia amministrativa che giurisdizionale, e le sanzioni (artt. 13 – 15). Nell'ambito delle disposizioni che riguardano la composizione del Collegio del Garante (art. 14) si segnala l'introduzione di una procedura di selezione con presentazione spontanea delle candidature e pubblicazione dei curricula sui siti internet di Camera, Senato e Garante (articolo 153, comma 1). La durata dell'incarico per i quattro componenti viene estesa da quattro a sette anni, non rinnovabili. I poteri del Garante includono espressamente quello di adottare linee guida di indirizzo riguardanti le misure organizzative e tecniche di attuazione dei principi del GDPR; in tale contesto, il Garante è chiamato a promuovere modalità semplificate di adempimento degli obblighi per le micro, piccole e medie imprese (articolo 154-bis). Con riferimento al regime sanzionatorio, va ricordato che il GDPR stabilisce le sanzioni amministrative pecuniarie irrogabili dalle autorità di controllo in caso di violazione delle norme e dei principi a protezione dei dati personali, ma lascia agli Stati membri la possibilità di prevedere ulteriori sanzioni, anche penali, per alcune violazioni, nel rispetto del principio del ne bis in idem quale interpretato dalla Corte di giustizia. Per le sanzioni amministrative, il decreto legislativo, novellando, all’art. 15, l’art. 166 del Codice Privacy, individua nel Garante l'organo competente ad adottare i provvedimenti correttivi di cui all'articolo 58, paragrafo 2 del Regolamento nonché ad irrogare le sanzioni amministrative. In aggiunta alle ipotesi sanzionate dal Regolamento, il decreto legislativo introduce ulteriori condotte che danno luogo all'applicazione di sanzioni amministrative pecuniarie: ad esempio, viene punita la violazione dell'obbligo di redigere un'informativa con linguaggio semplificato per i minori e la mancata adozione delle misure indicate dal Garante per i trattamenti che presentano rischi elevati per l'esecuzione di un compito di interesse pubblico (articolo 166). È stata confermata, per le sanzioni derivanti da comportamenti illeciti verificatisi prima del 25 maggio 2018, la possibilità che le stesse, a richiesta dell’interessato, possano essere ridotte a 2/5 del minimo edittale stabilito dal D.lgs. n.196/2003. Si evidenzia, inoltre, che l’art. 13 del D.Lgs n. 101/2018 ha innovato l’art. 144 del D.Lgs. n. 196/2003 prevedendo adesso che “chiunque può rivolgere una segnalazione che il Garante può valutare anche ai fini dell’emanazione dei provvedimenti di cui all’articolo 58 del Regolamento” mentre, in precedenza, solo l’interessato poteva così procedere nel rispetto di quanto indicato dalla lettera b) dell’art. 141 D.Lgs. n. 196/2003 (articolo anch’esso modificato dall’art. 13 lettera c) del Decreto in commento). Il procedimento sanzionatorio può essere avviato, sia nei confronti di soggetti privati sia di autorità pubbliche ed organismi pubblici, a seguito di reclami o di attività istruttoria d'iniziativa del Garante stesso. Entro trenta giorni dalla comunicazione del provvedimento, il trasgressore e gli obbligati in solido possono definire la controversia adeguandosi alle prescrizioni del Garante, ove impartite, e mediante il pagamento di un importo pari alla metà della sanzione irrogata. E' previsto che il Garante disciplini con proprio regolamento le modalità del procedimento sanzionatorio e i relativi termini, in conformità ai principi della piena conoscenza degli atti istruttori, del contraddittorio, della verbalizzazione, nonché della distinzione tra funzioni istruttorie e decisorie. Nell'ambito delle disposizioni transitorie e finali, l'articolo 20 del D.Lgs. n. 101/2018 prevede che i vigenti Codici di deontologia e buona condotta (allegati al Codice in materia di protezione dei dati personali) continuano a produrre effetti fino alla loro revisione, che dovrà essere effettuata entro termini prestabiliti e secondo apposite procedure; mentre l'articolo 21 affida al Garante il compito di individuare con provvedimento di carattere generale e previa consultazione pubblica le prescrizioni contenute in specifiche autorizzazioni generali già adottate a norma del Codice che risultano compatibili con il nuovo quadro giuridico, eventualmente aggiornandole. Si segnala, inoltre, che al comma 13, dell’art. 22, viene previsto che per i primi otto mesi dalla data di entrata in vigore del presente decreto (19 settembre 2018), il Garante per la protezione dei dati personali dovrà tener conto, ai fini dell'applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie. In altre parole, il Garante della privacy, in fase di verifica del corretto adempimento degli obblighi, dovrà considerare le difficoltà a imprese e professionisti dovranno far fronte per adeguarsi alle nuove disposizioni sulla base di specifici elementi di valutazione, ma questo non ci sembra voglia dire che ci sia una sospensione delle sanzioni. Quindi, a parere di tutti i commentarori, il Garante, laddove ci siano determinati presupposti, nei prossimi otto mesi, potrà non elevare sanzioni amministrative ma optare per l’applicazione delle misure di cui all’art. 58, paragrafo 2, lettere da a) ad h) e j) del Regolamento 2016/679 e precisamente: richiamare, ammonire o ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del regolamento in una determinata maniera ed entro un determinato termine. Al contrario è difficile immaginare che le sanzioni non siano elevate qualora il titolare o il responsabile del trattamento non abbiano fatto nulla per adeguarsi al Regolamento UE 2016/679. . Se vuoi scaricare il testo coordinato del Codice adeguato al Regolamento 2016/679 dal sito del Garante Privacy, clicca QUI. 8. 1° OTTOBRE 2018 - GDPR - Le FAQ del Garante Privacy sulla definizione agevolata dei procedimenti pendenti Con la pubblicazione delle FAQ, il Garante Privacy ha fornito indicazioni operative per chiarire a soggetti privati e pubblici le modalità di fruizione della definizione agevolata dei procedimenti sanzionatori pendenti prevista dal D.Lgs. n. 101/2018. Il D.Lgs. n. 101/2018, di adeguamento del codice privacy al Regolamento UE 2016/679, prevede infatti la possibilità, a partire dal 19 settembre 2018 (data di entrata in vigore del D.Lgs. n. 101/2018), di definire i procedimenti sanzionatori pendenti mediante il pagamento - entro il 18 dicembre 2018 - di una somma pari a due quinti del minimo edittale stabilito per la sanzione. Possono usufruire di tale procedura quanti abbiamo ricevuto, entro il 25 maggio 2018 (data di piena applicazione del Regolamento UE 2016/679), l’atto con il quale sono stati notificati gli estremi della violazione o l’atto di contestazione relativamente ai procedimenti sanzionatori riguardanti le violazioni di cui agli artt. 161, 162, 162-bis, 162-ter, 163, 164, 164-bis, comma 2, 33 e 162, comma 2-bis, del codice. Allo scopo di fornire indicazioni operative in tema di definizione agevolata dei procedimenti sanzionatori pendenti, il Garante Privacy ha pubblicato, sul proprio sito istituzionale, delle FAQ che spiegano a soggetti pubblici e privati come esercitare tale facoltà. Tra le istruzioni fornite dal Garante, vengono specificare le modalità di pagamento, l’importo ridotto per ciascuna violazione commessa ed i casi di esclusione dalle agevolazioni. . Se vuoi accedere allee FAQ, clicca QUI.

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA - DPS

1. Le finalità del documento L'adozione di un Documento Programmatico sulla Sicurezza (DPS) è un obbligo previsto dal D. Lgs. n. 196/2003 (artt. 33 e ss. e Allegato B), recante la normativa sulla protezione dei dati personali. L'obbligo esiste per tutte le aziende, liberi professionisti, enti o associazioni che trattano i dati personali, anche sensibili con strumenti elettronici. Il documento, a partire dal 31 marzo 2006 (ultima proroga concessa per mettersi definitivamente in regola) va predisposto ed aggiornato annualmente entro il 31 marzo, affinché si attesti la corretta adozione delle previste procedure che riguardano il trattamento dei dati personali. Il DPS è l'unico documento in grado di attestare l'adeguamento della struttura alla normativa sulla tutela dei dati personali. Il DPS è un manuale di pianificazione della sicurezza dei dati in azienda: descrive come si tutelano i dati personali di dipendenti, collaboratori, clienti, utenti, fornitori ecc. in ogni fase e ad ogni livello (fisico, logico, organizzativo) e come si tuteleranno in futuro (programmazione, implementazione misure, verifiche, analisi dei risultati ecc.). La sua mancata predisposizione o il suo inadeguato aggiornamento impediscono al titolare il trattamento dei dati. 2. I contenuti del documento I contenuti del documento sono elencati al punto 19 del Disciplinare tecnico in materia di misure minime di sicurezza e sono: 1. l'elenco dei trattamenti di dati personali; 2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; 3. l'analisi dei rischi che incombono sui dati; 4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; 5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento; 6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare; 7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare; 8. l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato, nel caso di dati personali idonei a rivelare lo stato di salute e la vita sessuale. 3. Le novità introdotte dal D.L. n. 112/2008, convertito dalla legge n. 133/2008 - DPS semplificato La disciplina del DPS, per effetto del disposto di cui all’art. 29 del D.L. 25 giugno 2008, n. 112, convertito, con modificazioni, dalla Legge 6 agosto 2008, n. 133, che ha inserito all’articolo 34 il comma 1-bis, ha suboto significative innovazioni su due differenti versanti: 1) l’autodichiarazione sostitutiva; 2) la semplificazione. In particolare, rispetto al primo profilo, per taluni casi, è stata prevista, in via innovativa, la possibilità di sostituire il DPS con un documento di autocertificazione. Mentre, in altri casi, è data la possibilità di redigerlo in via semplificata, in chiara deroga ai requisiti minimi fissati dalla legge. Rispetto invece al secondo profilo, l’art. 34 comma 1-bis ha attribuito al Garante Privacy il potere, sentito il Ministro per la semplificazione normativa, di individuare, con proprio provvedimento, da aggiornare periodicamente “... modalità semplificate di applicazione del disciplinare tecnico di cui all'Allegato B) in ordine all'adozione delle misure minime”. Attuando la norma, il Garante Privacy ha provveduto a emanare il provvedimento generale del 27 novembre 2008 per la “Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali”, fissando modalità semplificate per l’applicazione delle misure minime di sicurezza. Il provvedimento è stato pubblicato sulla Gazzetta Ufficiale n. 287 del 9 dicembre 2008. Dunque, ricorrendo i requisiti di legge, è possibile anche redigere un DPS semplificato, rispetto a quello “ordinario”, disciplinato dagli artt. 33 ss. del Codice. . Se vuoi scaricare il testo del provvedimento del 27 novembre 2008, clicca QUI. 4. I soggetti obbligati alla tenuta di DPS aggiornato A seguito dell’introduzione del comma 1-bis all’art. 34 del D.lg. 196/03, sono emerse rilevanti problematiche interpretative e applicative per i titolari del trattamento, tanto che si è posta in discussione anche la persistenza dell’obbligatorietà o meno della redazione del Documento Programmatico di Sicurezza (DPS). Per rispondere a questa inquietante domanda è necessaria un’analisi approfondita dell’art. 34 comma 1-bis del D. Lgs. n. 196/2003. In primis tale comma introduce il principio che: “… la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione …” solo per “… i soggetti che trattano … dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale …”. Per capire la portata di questa innovazione è, quindi, necessario soffermarsi sulla definizione di dato personale sensibile. Ai sensi dell’art. 4, comma 1, lett. d) del D.Lgs. n. 196/2003 sono, infatti, considerati dati sensibili tutti quei dati personali “ … idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”. Coordinando la definizione di dato personale sensibile con il nuovo principio introdotto dall’art. 34 comma 1-bis, possiamo, quindi, affermare con certezza che sono sicuramente soggetti alla tenuta di un aggiornato DPS i seguenti soggetti: a) i titolari che con strumenti elettronici trattano le seguenti categorie di dati personali sensibili: • origine razziale ed etnica di clienti, fornitori e dipendenti, • opinioni religiose, filosofiche o di altro genere di clienti, fornitori e dipendenti, • opinioni politiche, adesione a partiti, associazioni od organizzazioni a carattere religioso, filosofico e politico di clienti, fornitori e dipendenti, • stato di salute di clienti e fornitori, • stato di salute con indicazione della relativa diagnosi di dipendenti, • vita sessuale di clienti, fornitori e dipendenti; b) i titolari che trattano dati personali giudiziari con strumenti elettronici. Non sono, invece, soggetti a tale adempimento i titolari che trattano le seguenti categorie di dati, sempreché utilizzino strumenti elettronici: • dati personali “comuni” di clienti, fornitori e dipendenti; • dati personali “sensibili” di dipendenti relativi allo stato di salute o malattia (solo se senza indicazione della diagnosi); • dati personali “sensibili” di carattere sindacale. 5. Guide e modelli - Si riporta il testo della: . Guida Guida operativa per redigere il Documento Programmatico sulla Sicurezza (DPS). - Si riporta il: . Fac-simile di Documento Programmatico sulla Sicurezza (DPS).

PROBLEMATICHE DI CARATTERE PARTICOLARE

1. 11 LUGLIO 2011 - Trattamento dei dati genetici - Deliberazione del Garante della Privacy E' stata pubblicata, sulla Gazzetta Ufficiale n. 159 del 11 luglio 2011, la Deliberazione n. 258 del 24 giugno 2011, del Garante per la protezione dei dati personali, recante "Autorizzazione generale al trattamento dei dati genetici". Il Garante, autorizza ai sensi degli articoli 26, 40, 41 e 90 del Codice in materia di protezione dei dati personali (D. Lgs. n. 196/2003), il trattamento dei dati genetici da parte dei soggetti indicati, secondo precise prescrizioni. Il testo della deliberazione viene riportato nei riferimenti normativi. Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati per ridurre al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le stesse finalità possono essere realizzate con dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità. Per dato genetico si intende il risultato di test genetici o ogni altra informazione che, indipendentemente dalla tipologia, identifica le caratteristiche genotipiche di un individuo trasmissibili nell'ambito di un gruppo di persone legate da vincoli di parentela. La presente autorizzazione, limitatamente ai dati e alle operazioni indispensabili, è rilasciata ai seguenti soggetti: a) agli esercenti le professioni sanitarie, in particolare ai genetisti medici; b) agli organismi sanitari pubblici e privati, in particolare alle strutture cliniche di genetica medica; c) a laboratori di genetica medica; d) alle persone fisiche o giuridiche, agli enti o agli istituti di ricerca, alle associazioni e agli altri organismi pubblici e privati aventi finalita' di ricerca; e) agli psicologi, ai consulenti tecnici e ai loro assistenti, nell'ambito di interventi pluridisciplinari di consulenza genetica; f) ai farmacisti; g) ai difensori, anche a mezzo di sostituti, consulenti tecnici e investigatori privati autorizzati; h) agli organismi di mediazione pubblici e privati; i) agli organismi internazionali ritenuti idonei dal Ministero degli affari esteri e alle rappresentanze diplomatiche o consolari per il rilascio delle certificazioni ad esclusivi fini di ricongiungimento familiare. Possono essere trattati dati genetici e utilizzati campioni biologici inerenti finalità che non possano essere adempiute mediante il trattamento di dati o campioni anonimi o di dati personali non genetici; ad esempio: a) tutela della salute, con particolare riferimento alle patologie di natura genetica e alla tutela dell'identità genetica dell'interessato o di un terzo appartenente alla stessa linea genetica dell'interessato, con il suo consenso, salvo il caso in cui l'interessato non possa prestare il proprio consenso per incapacita' d'agire, impossibilita' fisica o incapacita' di intendere o di volere; b) ricerca scientifica e statistica, finalizzata alla tutela della salute dell'interessato, di terzi o della collettivita' in campo medico, biomedico ed epidemiologico, anche nell'ambito della sperimentazione clinica di farmaci, o ricerca scientifica volta a sviluppare le tecniche di analisi genetica (sempre che la disponibilita' di dati solo anonimi su campioni della popolazione non permetta alla ricerca di raggiungere i suoi scopi), da svolgersi con il consenso dell'interessato. La presente autorizzazione e' rilasciata anche quando il trattamento dei dati genetici sia indispensabile: a) per lo svolgimento da parte del difensore delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397 per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, anche senza il consenso dell'interessato eccetto il caso in cui il trattamento presupponga lo svolgimento di test genetici; b) per adempiere o per esigere l'adempimento di specifici obblighi o per eseguire specifici compiti previsti espressamente dalla normativa comunitaria, da leggi o da regolamenti in materia di previdenza e assistenza o in materia di igiene e sicurezza del lavoro o della popolazione, anche senza il consenso dell'interessato; c) per l'accertamento dei vinco li di consanguineita' per il ricongiungimento familiare di cittadini di Stati non appartenenti all'Unione europea, apolidi e rifugiati. I destinatari della presente autorizzazione conformano il prelievo e l'utilizzo dei campioni biologici e il trattamento dei dati genetici secondo modalita' volte a prevenire la violazione dei diritti, delle liberta' fondamentali e della dignita' degli interessati. La raccolta di dati genetici effettuata per l'esecuzione di test e di screening genetici e' limitata alle sole informazioni personali e familiari strettamente indispensabili all'esecuzione dell'analisi. (Fonte: Garante per la protezione dei dati personali). 2. 26 LUGLIO 2013 - Attività promozionali e contrasto alla SPAM – Nuovo provvedimento del Garante Privacy E' stato pubblicato, sulla Gazzetta Ufficiale n. 174 del 26 luglio 2013, il Provvedimento n. 330 del 4 luglio 2013, con il quale il Garante per la protezione dei dati personali detta le "Linee guida in materia di attività promozionale e contrasto allo spam". In materia di spamming (invio di comunicazioni promozionali e di materiale pubblicitario senza il consenso dei destinatari), il Garante con il provvedimento generale del 29 maggio 2003, ha dettato "Regole per un corretto uso dei sistemi automatizzati e l'invio di comunicazioni elettroniche", basato sulla normativa al tempo in vigore e, in particolare, sulla legge 31 dicembre 1996, n. 675. Successivamente è entrato in vigore il Codice (Decreto legislativo 30 giugno 2003, n. 196) che ha abrogato e sostituito la suddetta legge e le altre disposizioni in materia di protezione dei dati personali, ribadendone i principi nel mutato panorama normativo. Più recentemente, in particolare dal 2009 in poi, sono state effettuate varie modifiche del Codice che hanno inciso peraltro sulla sfera dei soggetti tutelati e sui diritti azionabili dai destinatari dello spam, determinando l'esigenza di intervenire nuovamente sul tema. Il Garante, dietro l'aumentare di segnalazioni, reclami e ricorsi relativamente alle tradizionali forme di spam tipizzate dal Codice, ha ravvisato la necessità di adottare le presenti linee guida con le seguenti finalità: • tenere conto del mutato quadro normativo attualmente vigente in materia, alla luce dell'entrata in vigore del Codice e delle modifiche normative successive, nonchè del diritto comunitario (direttive 2002/58/UE e 2009/136/UE), con l'ulteriore obiettivo di assicurare l'uniforme applicazione della stessa normativa e l'osservanza del fondamentale principio di certezza del diritto; • chiarire alcuni profili problematici relativi alle diverse modalità di spam, affinchè gli operatori del settore possano conformarsi alla disciplina sul trattamento dei dati personali; • inquadrare alcune nuove forme di spam, con l'intento di limitare i rischi connessi alle novità tecnologiche, pur nella necessaria consapevolezza del carattere parziale e non risolutivo dello strumento del diritto rispetto a tecnologie in continua evoluzione, peraltro sempre più avanzate e di rapida diffusione. 3. MAGGIO 2015 - COOKIE LAW - Dal 3 giugno 2015 in vigore le nuove regole per la gestione dei cookies Entro il 3 giugno 2015 (un anno a decorrere dalla pubblicazione sulla Gazzetta Ufficiale del provvedimento del Garante Privacy n. 229/2014) i gestori di siti internet comunitari devono attuare le disposizioni della legge, detta “Cookie Law”, approvata con i decreti legislativi 28 maggio 2012, n. 69, che ha recepito le direttive 2009/140/CE e 2009/136/CE, modificando il Codice in materia di protezione dei dati personali (D.Lgs. 30 giugno 2003, n. 196) e il Codice delle comunicazioni elettroniche (D.Lgs. 1 agosto 2003, n. 259), e n. 70, che costituisce il quadro normativo di riferimento in materia. L’Unione Europea, attraverso la direttiva 2009/136/CE del 25 novembre 2009, ha imposto l’ottenimento del consenso preventivo dell’interessato nel caso di raccolta di informazioni sensibili attraverso i cookie. In Italia la direttiva è stata recepita nel 2012 con i due citati decreti. Il Garante della Privacy, con il provvedimento n. 229 del 8 maggio 2014 (pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014), avente ad oggetto “Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie”, oltre a individuare le modalità semplificate per rendere l'informativa online agli utenti sull'archiviazione dei c.d. cookie sui loro terminali da parte dei siti Internet visitati, ha fornito idonee indicazioni sulle modalità con le quali procedere all'acquisizione del consenso degli stessi, laddove richiesto dalla legge. Successivamente, con delibera n. 161 del 19 marzo 2015, pubblicata sulla Gazzetta Ufficiale n. 103 del 6 maggio 2015, il Garante per la privacy ha emanato le “Linee guida in materia di trattamento dati personali per profilazione on line”. Le regole varate armonizzano e rendono più chiara la gestione delle attività di profilazione, ovvero la definizione di "profili" di utenti (sulla base di caratteristiche, comportamenti, scelte, abitudini) allo scopo di fornire servizi o promozioni personalizzate. Dovranno essere adottate da tutti i soggetti stabiliti su territorio nazionale che forniscono servizi on line, quali motori di ricerca, posta elettronica, mappe on line, social network, pagamenti elettronici, cloud computing. Quali dovrebbero essere i siti soggetti a questo regolamento? La risposta più semplice è: tutti i siti comunitari che fanno uso di cookie! Nel dettaglio, tutti i siti che utilizzano cookie non richiesti da un azione utente per soddisfarla correttamente. Quindi siti che utilizzano cookies di terze parti (social widgets come facebook o twitter, analytics, disqus, ecc.) o che utilizzano propri cookies per tracking, analisi o affiliati senza una diretta accettazione. Il Garante ha chiarito che i cookie che invece necessitano di un preventivo consenso dell’utente sono tutti i cookie non tecnici, inclusi: - cookie di profilazione pubblicitaria di prima o terza parte; - cookie di retargeting; - cookie di social network; - cookie di statistica gestiti completamente dalle terze parti. Le società dovranno tutelare la privacy sia degli utenti autenticati, cioè quelli che accedono ai servizi tramite un account (ad esempio per l'utilizzo della posta elettronica), sia di quelli che fanno uso dei servizi in assenza di previa autenticazione (utenti non autenticati), come in caso di semplice navigazione on line. L'informativa sul trattamento dei dati dovrà essere chiara, completa, esaustiva e resa ben visibile, già dalla prima pagina del sito. Qualunque attività di trattamento dei dati personali dell'utente per finalità di profilazione e diversa da quelle necessarie per la fornitura del servizio (ad esempio: i filtri antispam o antivirus, gli strumenti per consentire ricerche testuali, etc.) potrà essere effettuata esclusivamente con il consenso informato dell'utente. Pesanti le sanzioni previste per la mancata applicazione della normativa relativa ai cookie. In particolare: 1) per la omessa informativa o di informativa inidonea è prevista una sanzione amministrativa del pagamento di una somma compresa fra i 6.000 e 36.000 euro (art. 161 del Codice); 2) per l’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso comporta la sanzione del pagamento di una somma da 10.000 a 120.000 euro (art. 162, comma 2-bis, del Codice); 3) per l’omessa o incompleta notificazione al Garante viene applicata una sanzione con il pagamento di una somma da 20.000 a 120.000 euro (art. 163 del Codice). . Se vuoi scaricare il testo del provvedimento n. 229/2014, clicca QUI. . Se vuoi scaricare il testo della delibera n. 161/2015, clicca QUI.

RIFERIMENTI NORMATIVI

. DIRETTIVA 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Direttiva abrogata dal Regolamento 2016/679/UE del Parlamento europeo e del Consiglio del 27 aprile 2016). . D. Lgs. 30 giugno 2003, n. 196: Codice in materia di protezione dei dati personali. (Testo aggiornato con le modifiche apportate, da ultimo, dalla legge 4 novembre 2010, n. 183). . Se vuoi scaricare il testo aggiornato del D.Lgs. n- 196/2003 direttamente dal sito NORMATTIVA, clicca QUI. . Presidenza del Consiglio dei Ministri – Dipartimento della funzione pubblica – Direttiva n. 1/2005 del 11 febbraio 2005: Misure finalizzate all'attuazione nelle pubbliche amministrazioni delle disposizioni contenute nel decreto legislativo 30 giugno 2003, n. 196, recante Codice in materia di protezione dei dati personali, con particolare riguardo alla gestione delle risorse umane. . GARANTE PER LA PROTEZIONE DEI DATI PERSONALI - PROVVEDIMENTO del 1 marzo 2007: Trattamento di dati personali relativo all'utilizzo di strumenti elettronici da parte dei lavoratori. . GARANTE PER LA PROTEZIONE DEI DATI PERSONALI – Deliberazione n. 23 del 14 giugno 2007: Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico. . Garante per la protezione dei dati personali – Provvedimento del 19 giungo 2008: Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili - 19 giugno 2008. . DIRETTIVA 2009/136/CE del Parlamento europeo e del Consiglio del 25 novembre 2009 recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa a tutela dei consumatori. . Garante per la protezione dei dati personali – Deliberazione n. 258 del 24 giugno 2011: Autorizzazione generale al trattamento dei dati genetici. . DECRETO LEGISLATIVO 28 maggio 2012, n. 69: Modifiche al decreto legislativo 30 giugno 2003, n. 196, recante codice in materia di protezione dei dati personali in attuazione delle direttive 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e 2009/140/CE in materia di reti e servizi di comunicazione elettronica e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori. . Se vuoi scaricare il testo aggiornato del D.Lgs. n- 69/2012 direttamente dal sito NORMATTIVA, clicca QUI. . Garante per la protezione dei dati personali – Provvedimento n. 262 del 20 settembre 2012: Applicabilità alle persone giuridiche del Codice in materia di protezione dei dati personali a seguito delle modifiche apportate dal decreto-legge n. 201 del 6 dicembre 2011, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214. . REGOLAMENTO (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) . Si veda anche la: Rettifica del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), pubblicata sulla Gazzetta Ufficiale dell’Unione europea n. L 127/3 del 23 maggio 2018. . Se vuoi scaricare il testo della rettifica, clicca QUI. . DIRETTIVA (UE) 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativa alla protezione delle persone fisiche con riguardo al trattamen to dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio. Si veda anche la: Rettifica della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio, pubblicata sulla Gazzetta Ufficiale dell’Unione europea n. L 127/19 del 23 maggio 2018). . Se vuoi scaricare il testo della rettifica, clicca QUI. . DECRETO LEGISLATIVO 10 agosto 2018, n. 101: Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). (Testo pubblicato sull'edizione cartacea della Gazzetta Ufficiale). . DECRETO LEGISLATIVO 10 agosto 2018, n. 101: Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). (Testo pubblicato sull'edizione online della Gazzetta Ufficiale). . Se vuoi scaricare il testo coordinato del Codice adeguato al Regolamento 2016/679 dal sito del Garante Privacy, clicca QUI. . Se vuoi consultare tutta la normativa in materia di privacy, clicca QUI

Tutti i documenti elencati sono realizzati in formato PDF; per consultarli occorre installare sul proprio PC il software Adobe Reader

Copyright © by TuttoCamere.it All Right Reserved.

Pubblicato su: 2009-03-23 (11707 letture)