Nuovo provvedimento del Garante sulle misure di protezione dei dati personali

E’ stato pubblicato in Gazzetta Ufficiale n. 269 del 19 novembre 2018, il Provvedimento del Garante per la protezione dei dati personali n. 467 dell’11 ottobre 2018 con il quale si indicano le tipologie di trattamenti di dati personali per le quali viene richiesta la valutazione d’impatto sulla protezione dei dati, secondo quanto stabilito dall’articolo 35 comma 4 del Regolamento UE 679/2016 “GDPR”.

Nello specifico, i trattamenti in questione sono i seguenti:

  1. Trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati nonché lo svolgimento di attività predittive effettuate anche on-line o attraverso app, relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”.
  2. Trattamenti automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” oppure che incidono “in modo analogo significativamente” sull’interessato, comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un bene o di un servizio o di continuare ad esser parte di un contratto in essere (ad es. screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi).
  3. Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, nonché il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione inclusi servizi web, tv interattiva, ecc. rispetto alle abitudini d’uso e ai dati di visione per periodi prolungati. Rientrano in tale previsione anche i trattamenti di metadati ad es. in ambito telecomunicazioni, banche, ecc. effettuati non soltanto per profilazione, ma più in generale per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza etc.
  4. Trattamenti su larga scala di dati aventi carattere estremamente personale (v. WP 248, rev. 01): si fa riferimento, fra gli altri, ai dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull’esercizio di un diritto fondamentale (quali i dati sull’ubicazione, la cui raccolta mette in gioco la libertà di circolazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato (quali i dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti).
  5. Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti (si veda quanto stabilito dal WP 248, rev. 01, in relazione ai criteri nn. 3, 7 e 8).
  6. Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo).
  7. Trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimità come ad es. il wi-fi tracking) ogniqualvolta ricorra anche almeno un altro dei criteri individuati nel WP 248, rev. 01.
  8. Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche.
  9. Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment).
  10. Trattamenti di categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse.
  11. Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.
  12. Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.

Prossima entrata in vigore del nuovo Regolamento Europeo sulla “Privacy”

Uno studio del Censis del 2013 registrava come il 96% degli italiani ritenesse la riservatezza un “diritto inviolabile” del cittadino, e come il 93% degli italiani temesse di vedere attaccata la propria privacy on line. A tale preoccupazione, per il 53% degli intervistati si accompagnava una richiesta di regole di protezione più stringenti. Anche per soddisfare questa esigenza, il 4 maggio 2016 è stato pubblicato in Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679, che entrerà in vigore il 25 maggio 2018. Il Regolamento Europeo “GDPR” (General Data Protection Regulation), si inserisce all’interno di quello che è stato definito il “Pacchetto europeo protezione dati”. Il Regolamento Europeo, già vigente senza bisogno di recepimento da parte degli stati membri, aveva stabilito un periodo di due anni prima della sua piena entrata in vigore per consentire agli stati membri ed alle organizzazioni di adeguarsi alle nuove disposizioni. Il Regolamento Europeo riguarda tutte le aziende dell’UE che trattano dati personali, indipendentemente dal fatto che il trattamento sia effettuato nell’UE stessa.

Organizzazione del trattamento
Una delle novità di maggior rilievo è l’introduzione della nuova figura del “Data Protection Officer” (DPO), che va ad affiancarsi alle figure del “titolare”, del “responsabile” e dell’ “incaricato” del trattamento dei dati.
Il DPO dovrà essere individuato all’interno delle aziende pubbliche nonché in quelle ove i trattamenti comportano dei rischi specifici, come ad esempio quelle operanti su larga scala e quelle che trattano i c.d. “dati sensibili”.
Ogni azienda obbligata dovrà rendere noto il proprio DPO che dovrà essere contattabile da tutti gli “interessati” indicando i dati di contatto nell’ “informativa”; dati che dovranno essere trasmessi anche al locale “Garante per la protezione dei dati personali”.

Registro dei trattamenti
Altra novità è l’introduzione dell’obbligo di tenere un “registro delle attività di trattamento” svolte dalle organizzazioni, nonché quello di effettuare una “valutazione di impatto sulla protezione dei dati”. Quest’ultimo adempimento è necessario in caso di trattamenti automatizzati, compresa la “profilazione”, o con riguardo ai trattamenti su larga scala di categorie particolari di dati (sensibili), nonché relativamente ai dati ottenuti dalla sorveglianza sistematica, sempre su larga scala, di zone accessibili al pubblico.

Il Regolamento Europeo ha inoltre introdotto:

  • il “diritto all’Oblio”, ovvero le organizzazioni devono garantire la possibilità per gli interessati di decidere che i propri dati siano cancellati e non sottoposti ad ulteriormente trattamento.
  • il diritto alla “portabilità dei dati”, ovvero l’interessato ha il diritto di ricevere i dati personali che lo riguardano e deve poterli trasmettere a un altro titolare del trattamento senza impedimenti;
  • il principio di “accountability”, per il quale bisogna dimostrare di aver adottato delle politiche privacy e delle misure adeguate in conformità alle prescrizioni del Regolamento;
  • il principio della “privacy by design” per il quale devono essere attuate adeguate misure tecniche e organizzative nella progettazione e nell’esecuzione del trattamento dei dati;
  • il principio di “privacy by default” stabilendo che i dati vengano trattati solamente per le finalità previste e per il periodo strettamente necessario a tali fini;
  • la necessità di prevedere delle specifiche procedure di emergenza in caso di “data breach” ovvero nel caso in cui i dati trattati per fornire i servizi subissero gravi violazioni a seguito di attacchi informatici o di eventi avversi, come incendi o altre calamità, che possano comportare la perdita, la distruzione o la diffusione indebita di dati.

Sanzioni
Il Regolamento Europeo ha aumentato le sanzioni amministrative pecuniarie, che potranno arrivare fino ad un massimo di 20 milioni di Euro o fino al 4% del fatturato totale annuo dell’organizzazione, lasciando peraltro ciascuno Stato membro libero di adottare norme relative ad altre sanzioni.

Privacy Audit
Fermo restando che devono essere emanati ancora alcuni chiarimenti applicativi, si comunica che Linea Service può fornire un servizio di “Privacy audit”, ovvero un intervento tecnico a cura di personale specializzato nella sicurezza dei dati, allo scopo di fotografare lo stato di fatto della Vostra organizzazione ed implementare le necessarie misure per adeguarsi alle nuove prescrizioni del Regolamento Europeo. Qualora interessati al nostro servizio vi invitiamo a mettervi in contatto con lo studio.

Buon lavoro.