Privacy e GDPR

Introduzione

Il 24 maggio 2016 è entrato in vigore il Regolamento UE 679 del 2016 (GDPR) in materia di protezione dei dati personali che ha trovato piena attuazione solo a partire dal 25 maggio 2018.

Gli Stati membri, sebbene il Regolamento sia direttamente applicabile, hanno dunque avuto a disposizione due anni per adeguare le proprie normative interne in materia di tutela dei dati personali, andando anche a disciplinare, eventualmente, tutti quegli ambiti per i quali il GDPR concedeva alle singole normative nazionali un certo margine di manovra.

A tal proposito, in Italia, l’8 agosto è stato adottato il d.lgs. n. 101 del 2018, con l’obiettivo di adeguare la normativa nazionale al GDPR. Il testo è entrato in vigore il 19 settembre 2018 riformando il d.lgs. n. 196 del 2003 (Codice Privacy) e adeguando le norme del Codice a quelle del Regolamento Europeo, introducendo anche alcune novità. Il decreto adegua il Codice soprattutto nei settori dove il trattamento dei dati è particolarmente complesso e delicato (dati sulla salute, ad esempio), integrando in alcuni casi le norme del GDPR.

La disciplina del GDPR ha posto al centro la tutela della persona e dei suoi diritti fondamentali, anche a fronte dello sviluppo tecnologico e dei nuovi rischi che possono configurarsi rispetto alla violazione dei propri dati personali.

Tra le novità principali introdotte dal GDPR vi è la centralità del consenso dell’interessato e delle altre basi giuridiche che legittimano il trattamento dei dati, l’ampliamento della categoria dei dati particolari, la previsione di nuovi diritti azionabili dall’interessato, la figura del DPO e i principi di responsabilizzazione e accountability del titolare del trattamento.

È prevista per la prima volta, inoltre, la tenuta di un registro delle attività di trattamento, ove ciascun titolare dovrà annotare tutte le tipologie di trattamento svolte all’interno della propria organizzazione aziendale e le relative informazioni, nonché la gestione di una valutazione d’impatto sulla protezione dei dati (DPIA), nel caso in cui il titolare intenda porre in essere dei trattamenti che potrebbero presentare un rischio elevato per i diritti e le libertà degli interessati.

Principi generali

Il GDPR è ispirato, in ogni sua parte, ad alcuni principi generali, che devono essere rispettati da tutti i titolari in ogni operazione di trattamento.

Tali principi sono:

  • Liceità, correttezza e trasparenza

I titolari devono assicurarsi che le loro attività di raccolta dei dati personali non infrangano la legge e che non nascondano nulla agli interessati.
Per fare ciò, è ecessario mettere a loro disposizione l’informativa sulla privacy, che contenga ogni informazione relativa al trattamento degli stessi (ad es. da chi saranno trattati, per quanto tempo, con quali modalità, ecc.), in un’ottica di completa trasparenza.n

  • Limitazione delle finalità

Le aziende dovrebbero raccogliere i dati personali solamente per uno scopo preciso, scopo che va indicato in modo chiaro nell’informativa sulla privacy. Tali dati non possono dunque essere utilizzati per ulteriori finalità che non sono state rese note all’interessato.
Inoltre, tali dati vanno conservati solo per il tempo necessario a completare lo scopo per cui sono stati raccolti.

  • Minimizzazione dei dati

I titolari del trattamento possono elaborare solo i dati personali strettamente necessari al raggiungimento della finalità per i quali sono trattati. Per esempio, se il titolare ha bisogno di conoscere solo nome, cognome e numero di telefono della persona che intende partecipare a un evento, è inutile che chieda anche la data ed il luogo di nascita.

  • Esattezza

L’accuratezza dei dati personali è parte integrante della loro protezione. Il GDPR afferma che “devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti”. Gli interessati hanno il diritto di chiedere che i propri dati personali inesatti o incompleti vengano cancellati o rettificati (articoli 16 e 17).

Limitazione della conservazione

I titolari del trattamento devono eliminare i dati personali quando non sono più necessari al raggiungimento della finalità perseguita.

Nella maggior parte dei casi, tuttavia, il limite di tempo massimo consentito per la conservazione di dati personali è imposto da una specifica normativa, generale o di settore. Ad esempio, in ambito sanitario, vi sono numerose leggi che indicano i periodi di conservazione, che devono essere rispettati obbligatoriamente.

Alcuni esempi:

i. conservazione delle cartelle cliniche che, unitamente ai relativi referti, vanno conservate illimitatamente (Circolare del Ministero della Sanità del 19 dicembre 1986 n. 900 2/ AG454/260).

ii. documentazione iconografica radiologica, che deve essere conservata per un periodo non inferiore a 10 anni (art. 4, D.M. 14 febbraio 1997).

In Regione Lombardia, inoltre, un utile strumento per stabilire il periodo di conservazione è rappresentato dal “Titolario e Massimario del Sistema Sociosanitario lombardo, già Sistema Sanitario e Sociosanitario di Regione Lombardia”, che viene periodicamente aggiornato ed è liberamente consultabile su internet.

  • Integrità e riservatezza

Il GDPR afferma che i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.

È importante, dunque, che il titolare adotti un sistema di accessi alle banche dati con diversi privilegi, sulla base delle informazioni che ciascun incaricato/autorizzato del trattamento è tenuto a trattare, in base alle mansioni che gli sono state affidate.

Ambito di applicazione

Il Regolamento si applica solo al trattamento dei dati personali delle persone fisiche. Sono dunque esclusi i dati relativi a persone giuridiche (imprese, pubbliche amministrazioni, enti), come la denominazione e la forma della persona giuridica, o i suoi dati di contatto.

Cosa sono i dati personali?

Sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc…Esempi:

i. i dati che permettono l’identificazione diretta (dati anagrafici, immagini) e i dati che permettono l’identificazione indiretta (codice fiscale, numero di telefono, numero di targa, ecc.).

ii. I dati rientranti in categorie particolari, c.d. “sensibili” (dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose, filosofiche o l’appartenenza sindacale, oltre che dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute, alla vita sessuale o all’orientamento sessuale della persona).

iii. I dati relativi a condanne penali e reati o a connesse misure di sicurezza, c.d. “giudiziari” (dati che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale).

Assumono rilevanza ai sensi del GDPR anche i dati personali relativi alle comunicazioni elettroniche (via internet, via telefono, via fax, ecc.) e quelli che consentono la geolocalizzazione dell’interessato.

Cos’è un trattamento di dati personali?

“Trattamento” è qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Qualche esempio: raccolta di dati personali dei pazienti all’accettazione, consultazione di referti medici o cartelle cliniche, invio di mail contenenti dati personali, distruzione di un documento contente risultati di un esame clinico, ecc…

I soggetti del trattamento

  • L’Interessato

L’interessato è la persona fisica (identificata o identificabile) alla quale si riferiscono i dati personali. Esempi: pazienti, infermieri, medici, specializzandi, ecc…

  • Titolare del trattamento

Il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Esempi: un ospedale, il medico di uno studio privato, una farmacia, un’università, una casa di cura, ecc…

Se più titolari determinano insieme le modalità o finalità di un trattamento, sono detti “contitolari”.

  • Responsabile del trattamento

Il responsabile del trattamento è la persona fisica o giuridica, esterna alla struttura organizzativa del titolare, alla quale il titolare affida specifici e definiti compiti di gestione e controllo, per suo conto, del trattamento dei dati. Il titolare, in ogni caso, stabilisce le modalità di trattamento di dati a cui il responsabile deve attenersi.

Esempi: uno studio esterno di gestione paghe e contributi, un centro esterno che esegue analisi per conto di un ospedale, ecc…

Data Protection Officer (DPO) / Responsabile della protezione dei dati personali (RPD)

Il DPO/RPD è una figura volta a garantire l’attuazione del GDPR da parte del titolare.

Tale figura (che deve rispondere ai requisiti di indipendenza, autorevolezza e competenza manageriale) deve, tra l’altro, sensibilizzare e formare il personale in merito agli adempimenti privacy, nonché sorvegliare sulla valutazione d’impatto del trattamento (se necessaria). Il DPO/RPD, inoltre, funge da punto di contatto tra il titolare e gli interessati (ad esempio, nella gestione delle richieste di esercizio di diritti privacy) e tra il titolare e il Garante per la protezione dei dati personali (ad esempio, in caso di ispezioni).

L’informativa

L’articolo 13 del GDPR prevede che, in base alla finalità del trattamento, il titolare debba fornire agli interessati, prima del trattamento medesimo, le informazioni richieste dalla normativa, in un’ottica di trasparenza, attraverso l’informativa. Quest’ultima è una comunicazione rivolta all’interessato finalizzata ad informarlo sulle finalità e le modalità del trattamento dei dati operata dal titolare del trattamento, e anche a permettere che l’interessato possa rendere un valido consenso, se necessario.

L’informativa rappresenta dunque lo strumento atto a legittimare e a rendere trasparente la raccolta e l’utilizzo di dati personali.

  • L’informativa, concisa, trasparente, intellegibile e accessibile, deve necessariamente contenere:

i. L’identità e i dati di contatto del titolare.

ii. I dati di contatto del DPO, ove esistente.

iii. La base giuridica del trattamento.

iv. L’interesse legittimo, se costituisce la base giuridica del trattamento.

v. Se i dati sono trasferiti in Paesi terzi e attraverso quali strumenti.

vi. Il periodo di conservazione dei dati o i criteri per stabilire tale periodo.

vii. Gli eventuali destinatari o categorie di destinatari dei dati.

viii. I diritti dell’interessato.

ix. In caso di processi decisionali automatizzati, compresa la profilazione, l’indicazione della logica di tali processi e delle conseguenze per l’interessato.

L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico, deve essere fornita all’interessato prima di effettuare la raccolta dei dati o, se questi non sono raccolti direttamente presso l’interessato, entro un termine ragionevole che non può superare un mese dalla comunicazione.

Il Consenso

Il consenso rappresenta una delle basi giuridiche a fondamento del trattamento e non è sempre necessario.

Ad esempio, in ambito sanitario, il Garante Privacy ha chiarito che:

non è necessario il consenso dell’interessato per i trattamenti che sono essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute e sono effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza.

  • Il consenso è sempre necessario, invece, per:

i. la consultazione del fascicolo sanitario elettronico;

ii. la consegna di referti online;

iii. l’utilizzo di app mediche;

iv. la fidelizzazione della clientela;

v. finalità promozionali o commerciali;

vi. finalità elettorali.

Il consenso deve essere, in tutti i casi, libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito o presunto (sono vietate, per questo motivo, caselle pre-spuntate su un modulo).

Deve essere inoltre manifestato attraverso una “dichiarazione o azione positiva inequivocabile” (ad esempio, la spunta di una casella, una firma, una conferma scritta, ecc.).

Il consenso privacy deve essere distinto dal consenso informato al trattamento sanitario. Quest’ultimo, infatti, è sempre necessario per poter sottoporre un paziente a un trattamento sanitario e costituisce fondamento di liceità dell’attività sanitaria, in assenza del quale l’attività stessa costituisce reato.

Il GDPR prevede inoltre che, in relazione all’offerta diretta di servizi della società dell’informazione, il consenso dei soggetti di età inferiore a 14 anni debba essere necessariamente prestato dal genitore (o dal soggetto che detiene la potestà genitoriale).

I diritti dell’interessato

Ai sensi degli articoli 15-22 del GDPR, gli interessati godono di una serie di diritti volti a tutelare i loro dati personali.

  • I principali diritti esercitabili dall’interessato:

i. Diritto d’accesso: il diritto a ricevere una copia dei dati personali oggetto di trattamento, nonché l’indicazione del periodo di conservazione previsto o, se non è possibile prevederlo, dei criteri utilizzati per definire tale periodo e le garanzie applicate in caso di trasferimento dei dati verso paesi terzi.

ii. Diritto di cancellazione (diritto all’oblio): il diritto di chiedere, in presenza di almeno una delle condizioni indicate dal GDPR, la cancellazione dei dati personali in forma rafforzata. I titolari hanno l’obbligo, se hanno reso pubblici tali dati, di informare della richiesta di cancellazione altri titolari che trattano i dati personali oggetto dell’istanza.

iii. Diritto di limitazione del trattamento: il diritto di ottenere la limitazione del trattamento da parte del titolare, in caso di violazione dei presupposti di liceità del trattamento e nel caso in cui l’interessato richieda la rettifica dei suoi dati o si opponga al trattamento, in attesa della valutazione di tale opposizione da parte del titolare.

iv. Diritto alla portabilità dei dati: il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che riguardano l’interessato forniti a un titolare del trattamento, oltre al diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare che li detiene.

Tale diritto può essere esercitato solo se il trattamento in questione è basato sul consenso o su un contratto e sia effettuato con mezzi automatizzati.