Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Linee guida del gruppo di lavoro Articolo 29

Linee guida sul Diritto alla portabilità dei dati (WP242)

L’articolo 20 del GDPR introduce un diritto di nuova matrice in capo all’interessato, ossia quello di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali che lo riguardano forniti a un Titolare del trattamento; in secondo luogo, ha il diritto di trasmettere tali dati a un altro Titolare del trattamento senza impedimenti. Per esercitare il diritto alla portabilità, è condizione necessaria che il trattamento sia effettuato con strumenti automatizzati (escludendo quindi gli archivi cartacei), riguardi i dati dell’interessato e solo da lui forniti e che tale richiesta non leda i diritti e le libertà altrui.

L’interessato verrà informato di tale diritto dal Titolare del trattamento “in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”; sarà onere del Titolare prevedere una procedura di autenticazione per stabilire con certezza l’identità dell’interessato che richiede i propri dati personali; il Titolare non potrà addebitare oneri all’interessato per adempiere alla sua richiesta.

Linee guida sul Responsabile della Protezione Dati (WP243)

L’articolo 37 del GDPR introduce una nuova importante figura: il Responsabile della Protezione dei Dati (RPD), conosciuto meglio nella sua versione inglese con l’acronimo DPO (Data Protection Officer).
Tale soggetto è designato dal Titolare o dal Responsabile del trattamento e assolve a funzioni di supporto, informazione, consulenza, sorveglianza relativamente all’applicazione del Regolamento; inoltre, coopera con l’Autorità di controllo (Garante Privacy) e funge da punto di contatto per essa in merito a questioni connesse al trattamento dei dati personali.
Alla figura del Responsabile della Protezione Dati non sono richieste attestazioni specifiche né l’iscrizione in appositi albi, tuttavia la sua nomina deve avvenire secondo criteri di approfondita conoscenza della normativa e della prassi in ambito privacy. Il nuovo soggetto dovrà agire in assoluta indipendenza e autonomia rispetto al Titolare e al Responsabile del trattamento, potendo essere anche un soggetto alle loro dipendenze, purché non sia in conflitto di interessi e venga designato mediante specifico atto scritto, comunicando in seguito all’Autorità di controllo il nominativo e i dati di contatto del RPD.

Linee guida sull’Autorità Capofila (WP244)

L’articolo 56 del GDPR, introducendo il principio dello “sportello unico” (One-Stop-Shop), dispone che, di norma, il controllo dei trattamenti transfrontalieri o che coinvolgono cittadini di più paesi dell’UE sia diretto da una sola Autorità di controllo: l’Autorità di controllo capofila, ossia l’organo cui spetta in prima battuta la gestione di un trattamento transfrontaliero, per esempio quando una società che effettua trattamenti in più Stati membri sia oggetto di indagine. L’Autorità di controllo capofila coordina le operazioni che coinvolgono le Autorità di controllo interessate, conformemente agli articoli dal 60 al 62 del Regolamento e presenta un progetto di decisione alle Autorità di controllo aventi un interesse nella questione.

Come individuare l’Autorità di controllo capofila? Occorre fare riferimento all’Autorità di controllo del Paese in cui si trova lo stabilimento principale dell’impresa. Se un’impresa ha un unico stabilimento nell’UE, ma il trattamento incide o probabilmente incide in modo sostanziale sugli interessati in più di uno Stato membro, l’Autorità di controllo capofila è l’Autorità del luogo in cui si trova lo stabilimento unico. Se un’impresa ha più stabilimenti nell’UE, di norma è considerato stabilimento principale il luogo dell’amministrazione centrale dell’impresa. Tuttavia, se le decisioni sulle finalità e i mezzi del trattamento sono prese in un altro stabilimento, che ha anche la facoltà di ordinare l’esecuzione di tali decisioni, quest’ultimo stabilimento diventa lo stabilimento principale. Spetta ai Titolari del trattamento stabilire chiaramente dove sono prese le decisioni sulle finalità e i mezzi del trattamento dei dati personali.

Il regolamento consente anche ai Responsabili del trattamento cui esso si applica e che hanno stabilimenti in più di uno Stato membro di beneficiare del meccanismo dello sportello unico. Lo stabilimento principale di questi soggetti è il luogo della loro amministrazione centrale nell’UE ovvero lo stabilimento nell’UE dove sono condotte le principali attività di trattamento. Tuttavia, l’Autorità di controllo capofila dovrebbe essere l’autorità capofila per il titolare del trattamento nei casi in cui in un trattamento siano coinvolti sia il titolare sia il responsabile del trattamento.

Linee guida sulla DPIA e casi di trattamento ad alto rischio (WP248)

Ai sensi dell’articolo 35 del nuovo Regolamento UE (“GDPR”), applicabile dal prossimo 25 maggio, “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali”.
Tale valutazione d’impatto (DPIA) è richiesta in casi particolari, quali ad esempio:

  • una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  • il trattamento su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati;
  • la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

La valutazione d’impatto dovrà contenere almeno:

  • una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento;
  • una valutazione della necessità e proporzionalità dei trattamenti;
  • una valutazione dei rischi per i diritti e le libertà degli interessati;
  • le misure previste per affrontare i rischi, ovvero le garanzie e le misure di sicurezza per garantire la protezione dei dati personali.

Con il termine rischio si intende “uno scenario descrittivo di un evento e delle relative conseguenze, stimate in termini di gravità e probabilità” per i diritti e le libertà.

Occorre precisare che il rischio non si riferisce al Titolare del trattamento, bensì ai soggetti interessati e che non bisogna confondere la gestione dei rischi, cioè “l’insieme delle attività coordinate volte a indirizzare e controllare un’organizzazione in relazione ai rischi”, con il tema delle misure di sicurezza.


Linee guida sui criteri di applicazione delle sanzioni (WP253)

L’articolo 83 del GDPR è dedicato al tema delle sanzioni amministrative pecuniarie, stabilite dalle Autorità di controllo di ciascuno Stato membro.

Occorre ricordare che la violazione del regolamento dovrebbe comportare l’imposizione di “sanzioni equivalenti”, e che tali sanzioni dovrebbero essere “effettive, proporzionate e dissuasive”, oltre che valutate “caso per caso” dall’Autorità di controllo competente.

Il testo del Regolamento precisa che, in fase di inflizione di una sanzione, occorre prendere in considerazione le seguenti circostanze:
– la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
– il carattere doloso o colposo della violazione;
– le misure adottate dal Titolare o dal Responsabile del trattamento per attenuare il danno subito dagli interessati;
– il grado di responsabilità del Titolare o del Responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto;
– eventuali precedenti violazioni pertinenti commesse dal Titolare o dal Responsabile del trattamento;
– il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
– le categorie di dati personali interessate dalla violazione;
– la maniera in cui l’autorità di controllo ha preso conoscenza della violazione;
– qualora siano stati precedentemente disposti provvedimenti nei confronti del Titolare o del Responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
– l’adesione ai codici di condotta o ai meccanismi di certificazione approvati;
– eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso.


Linee Guida sui processi decisionali automatizzati e profilazione (WP251)

Profilazione più trasparente, no a decisioni completamente automatizzate che possono produrre effetti giuridici per la persona o che incidano su di essa in modo significativo, pieno riconoscimento e tutela dei diritti e delle libertà degli utenti. Questi in sintesi i principi che ispirano le Linee guida su profilazione e decisioni automatizzate adottate di recente dalle Autorità di protezione dati europee alla luce del GDPR.

I sistemi di profilazione e i processi decisionali automatizzati trovano impiego in una gamma sempre più ampia di settori pubblici e privati e possono risultare utili per gli individui come pure per la società e l’economia nel suo complesso in termini di incremento di efficienza e risparmio delle risorse. Possono tuttavia comportare rischi significativi per i diritti e le libertà delle persone: oltre ad essere spesso poco trasparenti, questi trattamenti di dati possono confinare una persona all’interno di una determinata categoria limitandone le scelte o suggerendone altre sulla base di quelle già espresse, perpetuare stereotipi, dar luogo a previsioni inesatte, impedire l’accesso a servizi o prodotti e, in taluni casi, causare forme ingiustificate di discriminazione.

Nelle Linee guida le Autorità europee chiariscono le previsioni normative introdotte dal Regolamento in materia di profilazione e decisioni automatizzate, fornendo indicazioni a chi tratta i dati per mettersi in regola con la nuova normativa.

Le società dovranno innanzitutto improntare il trattamento dei dati ai principi di privacy by design e privacy by default e minimizzare il loro uso.

Dovranno poi porre particolare attenzione agli obblighi di trasparenza che il Regolamento Ue attribuisce loro nell’ambito delle decisioni automatizzate. Ciò significa che dovranno informare chiaramente gli utenti sull’attività di profilazione e garantire loro il diritto di conoscere quali dati e quali categorie di dati personali sono stati utilizzati. Per quanto riguarda le decisioni automatizzate i titolari dovranno informare gli utenti sull’esistenza e sulle conseguenze di processi decisionali totalmente automatizzati che possono produrre effetti giuridici per la persona o che incidano su di essa in modo significativo, come, ad esempio, l’eventuale esclusione dal credito sancita da un algoritmo. Alla persona interessata non occorrerà conoscere le formule alla base dell’algoritmo, quanto piuttosto, individuare, in maniera comprensibile i criteri e le modalità di aggregazione dei dati che hanno portato alla sua collocazione in una categoria predeterminata. In particolare, all’interessato dovrà essere sempre garantito il diritto di ottenere l’intervento umano nella valutazione e di poter contestare la decisione.

Una particolare attenzione è stata richiesta dalle Autorità europee per i trattamenti di dati che riguardano i minori a fronte della loro maggiore vulnerabilità rispetto a trattamenti particolarmente invasivi.