• Home
  • Privacy
  • Avvocato per la Tutela del Trattamento dei Dati Personali

Avvocato per la Tutela del Trattamento dei Dati Personali

Il nuovo Regolamento Europeo sulla Privacy 2016/679 (General Data Protection Regulation) abroga la Direttiva 95/46/CE, e sostituirà dunque il Codice della Privacy italiano introdotto con il D. Lgs. 196/2003. Gli Stati Membri hanno avuto fino al 25 maggio 2018 per consentire alle aziende di modificare le disposizioni finora adottate per adeguarle alla nuova legge sulla privacy che sarà applicata in maniera uniforme in tutti e ventisette gli Stati della UE.

Storicamente la nascita della privacy si attribuisce a due giuristi americani che intitolarono “The right to privacy” un loro articolo apparso su una rivista scientifica. L’articolo ha un enorme successo tanto che da allora in poi in tutti gli Stati Uniti si diffonde la presa di coscienza che l’individuo poteva vantare un vero e proprio diritto ad essere lasciato da solo, come veniva letteralmente definito il vocabolo.

Fuori dalla sua connotazione di riservatezza della sfera privata, il diritto alla privacy si adegua alla evoluzione dei tempi e si interseca sempre più nell’ambito della tecnologia, che può comportare la massima diffusione di informazioni e dati personali, a volte con un’estensione difficile da controllare.

Riservatezza e Monitoraggio delle scelte dell’utente-consumatore

Lo sviluppo di metodologie in grado di localizzare soggetti e monitorare le scelte che compiono attraverso i dispositivi tecnologici, la condivisone di immagini su piattaforme con milioni di utenti, sono solo alcune delle fasi nelle quali si realizza l’assottigliamento dei margini della riservatezza.

Come riporta uno studio dell’università belga di Leuven, siamo portati a pensare che il controllo dei cellulari avvenga attraverso gli operatori che gestiscono il traffico telefonico, mentre invece la maggior parte delle informazioni che ci appartengono sono raccolte e riutilizzate a fini commerciali dai gestori delle applicazioni che installiamo sugli smartphone e alle quali diamo il permesso di accedere a foto, microfono, contatti. In questo modo è come se concedessimo il consenso ad accedere ai nostri dati personali.

Anche gli operatori della sicurezza utilizzano le stesse tecnologie comunemente introdotte nei computer dai virus informatici, per tenere sotto controllo l’interessato a sua insaputa per esigenze di carattere pubblico. Durante le indagini la polizia può infatti legittimamente avvalersi di strumenti investigativi come i captatori informatici o i trojan, per penetrare nel sistema informatico del sospettato o accedere ad informazioni contenute in un cellulare criptato dal blocco della sicurezza.


Per ottenere assistenza legale in una controversia di diritto al trattamento dei dati personali puoi contattare un Avvocato dello Studio senza impegno.


La tutela della privacy e nuove tecnologie

Un fenomeno che parallelamente richiede una costante innovazione in termini di tutela dei diritti connessi alla privacy. Le aziende che si occupano di trattamento dei dati personali, tutte quelle cioè che ricevono informazioni dai propri clienti, devono rispettare degli standard di conservazione che garantiscano la tutela dei dati e la loro limitata accessibilità.

Proprio la necessità di mantenere la normativa al passo con i tempi ha portato gli organi legislativi europei a varare una disciplina uniformeper tutti gli Stati Membri che renda chiaro e comprensibile ad ogni cittadino europeo, in qualunque posto si trovi a dover consentire al trattamento dei suoi dati, quali sono i suoi diritti e i rischi di un tale trattamento.

Una tutela garantita anche in caso di permanenza negli Stati Uniti, i quali per arginare il pericolo delle fughe di notizie riservate provenienti dall’Europa hanno adottato il cosiddetto Privacy Shield che fornisce alcuni limiti al trattamento dei dati personali esportati per fini commerciali negli Stati Uniti.

Regolamento Europeo Trattamento Dati Personali

L’approvazione del Regolamento 2016/679 del Parlamento e del Consiglio europeo è avvenuta il 15 dicembre 2015. Il 4 maggio 2016 è stato pubblicato il testo definitivo in Gazzetta Ufficiale dell’Unione Europea ed il 25 maggio 2016 è entrato ufficialmente in vigore con termine fino al 25 maggio 2018 per l’adeguamento delle aziende che effettuano il trattamento dei dati personali. Il Regolamento è immediatamente esecutivo in tutti gli Stati Membri.

La prima versione del Regolamento risale al 2012 e di essa sono stati mantenuti alcuni presupposti: il diritto all’oblio, la portabilità dei dati, l’autorità unica di vigilanza, le notifiche di violazione agli utenti e alle autorità nazionali, le modalità di accesso ai propri dati personali.

Le novità riguardano principalmente le restrizioni nelle modalità di profiling, l’obbligo di consenso esplicito prima del trattamento, alcune facilitazioni previste per le piccole e medie imprese che devono adeguare la disciplina sulla privacy, quali la cessazione dell’obbligo di notifica alle autorità di vigilanza, la facoltatività del responsabile della protezione dati e della valutazione dell’impatto.

Il Regolamento introduce significative novità nel panorama normativo sulla privacy. Le imprese che effettuano il trattamento dei dati personali dovranno attenersi a tali cambiamenti a pena di sanzioni che possono arrivare anche fino al 4% del fatturato globale.

Categorie del dato personale: dati sensibili, giudiziari e dati relativi alla salute

Non muta la sostanza della definizione di dato personale già contenuta nel Codice della Privacy ma si arricchisce degli apporti provenienti dalla giurisprudenza europea (in particolare dalla sentenza C-582/14 nella quale la Corte di Giustizia europea stabilisce che un indirizzo IP dinamico identificabile diventa un dato personale oggetto di trattamento) e dal Gruppo di lavoro ex art. 29.

Infatti, ribadito che il dato personale è qualsiasi informazione riguardante una persona fisica identificata o identificabile, nel Regolamento si precisa che tale ultimo termine indica “la persona che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Gli identificativi online, prosegue il Regolamento, sono quelli “prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies), o identificativi di altro tipo, come i tag di identificazione a radiofrequenza” che, lasciando tracce e combinandosi ad altre informazioni ricevute dai server, contribuiscono a delineare il profilo dell’utente e identificarlo.

Non viene richiamata, inoltre, la definizione di dati sensibili e dati giudiziari. Tuttavia, ai primi corrispondo quelle che ora sono definite categorie particolari di dati personali, cioè informazioni sulla origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona fisica e ai secondi si riferiscono i dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza.

Viene invece introdotta la definizione di dati relativi alla salute, consistenti nei dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.

Ulteriore novità è che mentre prima la legge applicabile era quella del luogo dove aveva sede il titolare del trattamento dei dati,ora la normativa di riferimento è data dal luogo dove risiede il soggetto i cui dati sono raccolti. L’effetto è quello di sottoporre grandi centri di raccolta dati, come social network e motori di ricerca, alla normativa europea anche se le società di gestione – come Facebook o Google - hanno sede in uno Stato extra UE.

Responsabilità del titolare del trattamento dei dati

Viene introdotto il principio dell’accountability o della responsabilità verificabile per cui ogni trattamento dei dati effettuato deve essere documentato da tutti i soggetti che vi partecipano riportando i dati dell’interessato e del relativo trattamento in un apposito Registro. I soggetti designati dovranno essere sempre essere in grado di dimostrare di avere adottato tutte le misure utili a proteggere i dati.

La informativa sulla privacy subisce un alleggerimento nella terminologia e nella forma, diventando più comprensibile grazie ad un linguaggio più chiaro e con meno riferimenti normativi. La informativa deve obbligatoriamente essere fornita per iscritto a meno che l’interessato, la cui identità deve essere comunque verificata in altro modo, non abbia prestato esplicito consenso orale al trattamento.

Modalità di espressione del consenso dell’interessato

Si registrano alcune differenze riguardo le modalità di espressione del consenso come previste dalla Direttiva finora vigente e il nuovo Regolamento UE.

Il preventivo consenso per risultare valido deve essere libero, specifico, informato e inequivocabile; in aggiunta, per i dati sensibili e i trattamenti automatizzati come la profilazione, il consenso deve essere esplicito. Nella lettera del Regolamento, si utilizza infatti il termine consenso per tutti i dati in generale mentre si fa riferimento alla locuzione “consenso esplicito” per i dati sensibili.

Al di fuori delle suddette eccezioni non è necessaria la forma scritta per la sua espressione ma il titolare deve comunque essere in grado di dimostrare che l’interessato ha prestato liberamente il suo consenso al trattamento dei dati. Una modalità applicativa sul web potrebbe essere la comparsa di un testo con l’informativa e con la precisazione che proseguendo nella navigazione si accetta il trattamento dei dati. La raccomandazione è che esso sia sempre espresso mediante un atto positivo inequivocabile dell’interessato. Precedentemente, il consenso poteva essere implicito – non in Italia però – e in seguito revocato mediante procedura di opt-out.

La differenza maggiore tra vecchia e nuova normativa è rappresentata dalla indicazione di un limite di età al di sotto del quale è richiesto il consenso dei genitori: il Regolamento prevede infatti che il consenso dei minori si consideri valido solo a partire dai 16 anni.

Il consenso raccolto prima della entrata in vigore del Regolamento resterà comunque valido purché sia stato raccolto in maniera non difforme da quanto previsto dalle nuove disposizioni.


Per assistenza legale in una controversia relativa alla privacy e alla deindicizzazione puoi contattare un Avvocato dello Studio senza impegno.


Valutazione di impatto dei rischi

Le aziende erano tenute alla redazione di un documento, il Documento Programmatico sulla Sicurezza, che conteneva la valutazione d’impatto sulla protezione dei dati, richiesta quando un tipo di trattamento presenta rischi elevati per i diritti e la libertà delle persone fisiche.

Ora rimane lo stesso impegno ma il documento prende il nome di Privacy Impact Assessment e dovrà contenere obbligatoriamente l’analisi dei rischi, il piano di gestione corretta dei rischi, il controllo degli effetti degli interventi. Tale documento sostituirà l’obbligo di notificazione al Garante della Privacy cui erano tenute le aziende che trattavano dati per una particolare finalità.

Data Protection Officer

A livello terminologico il responsabile del trattamento ora è il Titolare del trattamento, ovvero chi determina le finalità e i mezzi del trattamento dei dati personali. L’incaricato del trattamento ora è il Responsabile del trattamento, ovvero chi tratta i dati personali per conto del Titolare.

Viene inoltre introdotta la figura del Data Protection Officer che opererà in tutti gli organismi, siano essi pubblici o privati, che effettuano trattamenti di dati, curando la gestione dei rischi. Tale soggetto sarà il referente del Garante sulla Privacy all’interno dell’azienda. Un’altra novità è data dal fatto che possono coesistere più titolari del trattamento.

Il Titolare e, per esso, il Responsabile, sono tenuti ad assicurare la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; a ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; a predisporre una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

In caso di violazione nel trattamento dei dati, le aziende sono obbligate ad informare il Garante e l’interessato in tempi brevi. A carico del trasgressore, sanzioni penali elevate i cui importi potranno essere coperti da una nuova clausola nei contratti di assicurazione, definita Data Breach.

Diritti a tutela dei dati personali dell’interessato

Cambiamenti anche nel settore dei diritti previsti a tutela dell’interessato. Innanzitutto le modalità per l’esercizio dei diritti dell’interessato prevedono che le risposte alle richieste dell’interessato pervengano in forma scritta e nel termine di un mese. Qualora dette richieste si rivelino infondate ed eccessive, il Titolare può richiedere un contributo.

Viene codificato il diritto alla portabilità dei dati. Tale forma di tutela prevede che il soggetto che effettua il trattamento su richiesta sia tenuto a memorizzare i dati personali su un supporto elettronico per consentire all’interessato di farne uso presso un altro fornitore, cancellando successivamente ogni informazione ad esso relativa.

L’interessato ha il diritto di accesso ai propri dati personali, che si concreta nel diritto di chiedere al Titolare di prendere visione o estrarre copia di tutti i documenti a lui riferibili e di avere conferma che è in corso un trattamento che lo riguarda, con la possibilità eventualmente di esercitare il diritto di rettifica, alla cancellazione, alla limitazione del trattamento, e il diritto di opposizione al trattamento.

Il diritto all'oblio nel Regolamento viene definito come il diritto dell’interessato alla cancellazione dei dati personali che lo riguardano e che sono nella disposizione del titolare del trattamento, esercitabile tranne nei casi in cui il trattamento dei dati è necessario per l'esercizio del diritto alla libertà di espressione e di informazione oppure per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.

La revoca del consenso al trattamento è sufficiente ai fini della cancellazione dei dati in possesso del titolare mentre se il consenso manca, i dati potranno essere cancellati solo se non siano più necessari rispetto alle finalità per le quali sono stati raccolti.

La richiesta di cancellazione comporta la rimozione dei dati presenti negli archivi del titolare e la comunicazione di rimozione dei dati ai soggetti terzi e titolari di differente trattamento dei medesimi dati.

L’interessato ha anche diritto di opposizione al trattamento dei propri dati, esercitabile in qualsiasi momento, per motivi connessi alla sua situazione particolare, con l’eccezione rappresentata dall'esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell'interessato oppure per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria con l'assistenza di un Avvocato per la tutela dei dati personali.

Il divieto di trattamento dei dati sensibili e le eccezioni previste dal Regolamento

Nel Nuovo Regolamento si trova infine codificato il divieto di trattamento di particolari categorie di datiche rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche e l'appartenenza sindacale dell'interessato, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale dell’interessato.

Il trattamento di tali dati è consentito nei casi in cui il consenso sia stato prestato esplicitamente e il trattamento sia necessario in materia di diritto del lavoro e della sicurezza sociale e protezione sociale o per tutelare un interesse vitale dell'interessato. È altresì consentito quando riguarda dati personali manifestamente pubblici o sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria.

L’impatto economico e culturale per le Imprese

Uno dei rischi che il Regolamento può presentare è l’impatto economico che il previsto adeguamento costerà alle aziende obbligate ad introdurre i nuovi sistemi di trattamento, che dovranno affidarsi alle prestazioni delle ditte che si occupano di profilazione dei dati e di gestione dei rischi.

Una rivoluzione non solo in termini organizzativi ma anche culturali. Per riprendere un concetto esplicitamente introdotto nel Nuovo Regolamento, quello della privacy by design, l’obiettivo è considerare la massima tutela della privacy come una politica standard e un punto di partenza: sarà poi l’interessato a scegliere se mantenere alti i livelli di tutela o accettare una digressione nelle modalità di gestione dei suoi dati.

Compila il modulo per richiedere informazioni, 

Riceviamo solo su appuntamento.

  Roma, via Magnagrecia 39

  Ariccia, Largo Savelli 14

  Latina

  06 89346494 - 349 40 98 660
segreteria@studiobuccilli.com
www.studiobuccilli.com
x

 chiamaci 06 89346494 - 349.40.98.660 | invia emailsegreteria@studiobuccilli.com | assistenza sediRoma - Ariccia - Latina

PRENDITI CURA DEI TUOI DIRITTI

x

Compila il modulo per una valutazione gratuita. 

Riceviamo solo su appuntamento.

 


Roma, via Magnagrecia 39

 Ariccia, Largo Savelli 14

  Latina

  06 89346494 - 349 40 98 660
segreteria@studiobuccilli.com
www.studiobuccilli.com