Il Regolamento UE 2016/679 in tema di Privacy dal prossimo 25 maggio porta con sè nuovi adempimenti per le AGENZIE VIAGGI che dovranno porre misure idonee e adeguate per il corretto trattamento dei dati personali dei propri clienti.ù

Trattiamo questo argomento con 3 corpose circolari, nelle quali daremo tutti i riferimenti utili per chi vuole comprendere le novità introdotte nella normativa e gli obblighi da rispettare.

In questo primo intervento trattiamo le NOVITAà, i PRINCIPI APPLICABILI al trattamento dei dati personali e il TRATTAMENTO DI DATI PARTICOLARI.

Nel prossimo articolo tratteremo di CONSENSO E INFORMATIVA, del TITOLARE, RESPONSABILE ESTERNO e INCARICATI AL TRATTAMENTO DEI DATI.

Nel terzo e ultimo articolo tratteremo di RISCHIO e MISURE DI SICUREZZA, del REGISTRO DEI TRATTAMENTI e DELLE MODALITA’ DI TENUTA, RESPONSABILITA’ e SANZIONI.

Introduzione

Il Regolamento UE 2016/679 (di seguito GDPR) del 27 aprile 2016, pubblicato sulla Gazzetta Ufficiale UE del 4 maggio 2016, sarà pienamente esecutivo dal 25 maggio 2018, abrogando la Direttiva del ‘95 sulla protezione dei dati personali che è stata recepita dalla normativa nazionale attuale.

Pur essendo il GDPR direttamente applicabile e vincolante per gli Stati membri, il Legislatore italiano con l’articolo 13, L. 163/2017 (c.d. “Legge di delegazione europea 2016-2017”) ha delegato il Governo ad adottare uno o più decreti legislativi, entro il 21 maggio 2018, al fine di adeguare il quadro normativo nazionale alle disposizioni ivi contenute prevedendo:

  • l’espressa abrogazione delle disposizioni del codice incompatibili con quelle contenute nel Regolamento;
  • la modifica del codice stesso limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel Regolamento;
  • il coordinamento delle disposizioni vigenti in materia di protezione dei dati personali con quelle recate dal Regolamento (UE) 2016/679.

In tale prospettiva il Consiglio dei Ministri ha approvato, in esame preliminare, un decreto legislativo che introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del citato Regolamento europeo. Ne deriva che a far data dal 25 maggio 2018 il vigente codice in materia di protezione dei dai personali sarà abrogato e la nuova disciplina in materia sarà rappresentata principalmente dalle disposizioni del suddetto Regolamento immediatamente applicabili e da quelle recate dallo schema di decreto volte ad armonizzare l’ordinamento interno al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy.

In questo contesto il Cndcec, con il recente documento di aprile 2018, ha emanato le checklist di base per gli studi professionali atte a verificare che l’impianto di regole e documenti adottato sia sufficiente ad adempiere agli obblighi del GDPR in tema di dati trattati, di diritti degli interessati, di modalità di trattamento, di finalità di trattamento, di tempi di conservazione e di cancellazione, di sistemi di sicurezza, di requisiti di trasparenza.

 

Le novità del GDPR

La principale novità del GDPR riguarda il principio di accountability del titolare posto alla base della nuova normativa, cioè la responsabilizzazione del titolare rispetto alle misure, organizzative e tecniche, poste in essere per conformarsi al GDPR. In base a questo principio, al titolare è riconosciuto un certo livello di discrezionalità nel processo di adeguamento a fronte del quale è posto, però, l’obbligo di documentare le scelte fatte e le ragioni che le hanno motivate nell’ottica dell’adeguamento alla norma.

Vi sono poi alcune importanti misure che innovano la materia, le più importanti delle quali sono rispettivamente:

  • nuovi diritti riconosciuti agli interessati e una particolare attenzione alla tutela dei minori;
  • redazione e aggiornamento del Registro dei trattamenti, cioè dell’elenco delle operazioni (trattamenti) effettuate dal titolare che prevedono l’utilizzo di dati personali;
  • obbligo di definire a priori i termini di conservazione dei dati personali trattati e di dichiarare tale termine nell’informativa comunicata all’interessato;
  • nuovi obblighi posti in capo al titolare, tra cui:
  • obbligo di notifica al Garante delle violazioni di sicurezza relative a dati personali e comunicazione della violazione agli interessati, se necessario;
  • obbligo di tenere conto della data protection fin dalla progettazione, in caso di sviluppo di nuovi servizi o per la revisione di quelli esistenti;
  • obbligo di procedere a una analisi approfondita dell’impatto sui diritti e le libertà degli interessati quando l’innovazione comporti rischi particolari anche in virtù delle tecnologie innovative utilizzate;
  • riaffermazione della necessità di basare le misure di sicurezza su un’attenta analisi dei rischi;
  • ridisegno dei rapporti fra il titolare e i fornitori di servizi che trattano dati personali per conto del titolare stesso, con la previsione, a determinate condizioni, della responsabilità solidale dei 2 soggetti per i danni eventualmente provocati;
  • nuova figura del data protection officer finalizzata a facilitare la corretta applicazione del GDPR da parte del titolare.

 

Limiti di applicazione del GDPR

Il presupposto fondamentale per l’applicazione del Regolamento è che l’impresa o il professionista debba trattare dati personali. Più precisamente l’articolo 4 del GDPR qualifica come dato personale ”qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”. Del pari, l’articolo 2 del GDPR stabilisce che il Regolamento si applica al trattamento “interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali [che siano] contenuti in un archivio o destinati a figurarvi”. Peraltro, lo stesso considerando 14 precisa come sia “opportuno che la protezione prevista dal presente Regolamento si applichi alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali”.

Sul punto giova osservare come detti obblighi non sussistano quando:

  • il trattamento riguarda dati che non sono personali bensì anonimi (ad esempio, dati aggregati o statistici);
  • il trattamento riguarda i dati di enti/persone giuridiche.

Peraltro, è lo stesso considerando 14 a precisare che il Regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare quelli delle imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto.

Ne deriva che saranno escluse dal perimetro di applicazione del GDPR le persone giuridiche quali società di capitali, fondazioni o consorzi: in questo contesto i dati dei bilanci, della sede o i dati di contatto non saranno ricompresi negli adempimenti del Regolamento.

Si ricorda che nella vigenza del codice della privacy il trattamento dei dati relativi a persone giuridiche, enti e associazioni ha dovuto tener conto della parziale abrogazione, di cui all’articolo 40, comma 2, D.L. 201/2011, convertito con L. 214/2011, di alcune delle disposizioni contenute nella parte prima del D.Lgs. 196/2003. Infatti, a seguito delle richiamate abrogazioni, per dato personale si è dovuto intendere “qualunque informazione relativa a persona fisica” e per interessato esclusivamente “la persona fisica cui si riferiscono i dati personali” (cfr. rispettivamente l’articolo 4, comma 1, lettere b) e i) del codice della privacy); in altri termini, la portata applicativa di tutte le disposizioni del codice che riguardano gli interessati ovvero il trattamento di dati personali è stata limitata in via esclusiva alle persone fisiche ed ai trattamenti di informazioni personali che vi si riferiscono, con esclusione di persone giuridiche, enti e associazioni.

Pur tuttavia, le disposizioni del GDPR potrebbero trovare applicazione con riferimento al trattamento dei dati personali del rappresentante legale delle imprese ovvero delle persone che vi lavorano.

Per vero sono da ricomprendersi tra i dati personali le informazioni personali di contatto quali nome, indirizzo di casa, telefono di casa o numero di cellulare, numero di fax, indirizzo email e password; informazioni riguardanti la famiglia, lo stile di vita e le circostanze sociali tra cui età, data di nascita, stato civile; particolarità riguardanti l’occupazione, lo stipendio e altri benefici, prestazione di lavoro, formazione/qualificazione, numeri di identificazione, ID univoco raccolto da dispositivi mobili, vettori di rete o provider di dati, indirizzi IP e dati sul comportamento e sugli interessi online.

Sul punto giova osservare come per arrivare all’identificabilità di una persona sia opportuno considerare tutti i mezzi di cui si dispone, compresa l’individuazione, di cui il titolare del trattamento o un terzo può avvalersi per identificare detta persona fisica direttamente o indirettamente. “Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici.”

Peraltro il nuovo Regolamento non trova applicazione anche per i trattamenti di dati personali effettuati:

  • da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico;
  • da autorità di pubblica sicurezza;
  • in casi particolareggiati e specificati nell’articolo 2 del GDPR (ad esempio autorità competenti per fini di prevenzione, indagine, accertamento, esecuzione di sanzioni penali, etc.).

In relazione all’ambito territoriale l’articolo 3 del Regolamento ne stabilisce l’applicazione al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione Europea, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione Europea. In altri termini si guarda se i titolari del trattamento e i responsabili del trattamento siano stabiliti nell’Unione Europea, a prescindere dalla circostanza che il trattamento sia o meno ivi concretamente effettuato e a prescindere dalla nazionalità o dal luogo di residenza dei soggetti.

Peraltro gli adempimenti fissati dal GDPR saranno comunque dovuti nel caso di trattamento dei dati personali di interessati che si trovano nell’Unione Europea, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione Europea, quando le attività di trattamento riguardano:

  • l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione Europea, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
  • oppure il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione Europea.

Il Regolamento si applica infine al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione Europea, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.

 

Principi applicabili al trattamento dei dati personali

Il GDPR conferma che ogni trattamento deve trovare fondamento in un’idonea base giuridica; l’articolo 5, §1 del Regolamento prevede infatti che i dati personali siano:

  • trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”);
  • raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, § 1, considerato incompatibile con le finalità iniziali (“limitazione della finalità”);
  • adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”);
  • esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (“esattezza”);
  • conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, § 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente Regolamento a tutela dei diritti e delle libertà dell’interessato (“limitazione della conservazione”);
  • trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità e riservatezza”)”.

I fondamenti di liceità del trattamento sono indicati all’articolo 6 del Regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal codice della privacy – D.Lgs. 196/2003 (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati).

Sul punto giova rilevare come il trattamento sia lecito solo qualora e nella misura in cui ricorra almeno una delle seguenti condizioni:

  • l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
  • il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
  • il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
  • il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
  • il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  • il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

Il trattamento, oltre che lecito, deve essere corretto e trasparente, laddove il considerando 39 del GDPR precisa che trasparente dovrebbero essere le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati i dati personali. Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro.

 

Trattamento di dati particolari

Anche il nuovo Regolamento tratta con disposizioni speciali le c.d. “particolari categorie di dati personali” che sono concretamente speculari a quelli che nel D.Lgs. 196/2003 sono qualificati come dati sensibili.

In particolare le categorie particolari di dati comprendono specifiche categorie di dati personali che rivelino: l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale nonché dati genetici e/o biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

Secondo il GDPR i trattamenti delle categorie particolari di dati personali, necessari per motivi di interesse pubblico rilevante, sono ammessi qualora siano previsti dal diritto dell’Unione Europea ovvero, nell’ordinamento interno, da disposizioni di legge o di Regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante. Tali disposizioni devono, in ogni caso, assicurare:

  • che il trattamento sia proporzionato alla finalità perseguita;
  • che sia salvaguardata l’essenza del diritto alla protezione dei dati;
  • che siano previste misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

Per questi dati viene contemplato in via generale un divieto di trattamento fatto salvo che l’interessato abbia prestato il proprio consenso esplicito per finalità specifiche o sia necessario trattarli per:

  • assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale;
  • tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
  • accertare, esercitare o difendere un diritto in sede giudiziaria.

Sul punto l’emandando decreto prevederà che in ogni caso si dovranno considerare compiuti per motivi di interesse pubblico rilevante i trattamenti effettuati in ambiti identificati o in altri espressamente individuati dalla legge, tra cui:

  • attività dei soggetti pubblici dirette all’applicazione, anche tramite i loro concessionari, delle disposizioni in materia tributaria e doganale;
  • attività di controllo e ispettive;
  • concessione, liquidazione, modifica e revoca di benefici economici, agevolazioni, elargizioni, altri emolumenti e abilitazioni;
  • rapporti tra i soggetti pubblici e gli enti del Terzo settore;
  • attività sanzionatorie e di tutela in sede amministrativa o giudiziaria;
  • trattamento dati idonei a rivelare lo stato di salute da parte di esercenti professioni sanitarie e organismi sanitari;
  • compiti del Ssn e degli altri organismi sanitari, nonché igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità fisica;
  • istruzione e formazione in ambito scolastico, professionale, superiore o universitario;
  • trattamenti effettuati per scopi storici, concernenti la conservazione, l’ordinamento e la comunicazione dei documenti detenuti negli archivi di Stato negli archivi storici degli enti pubblici, o in archivi privati dichiarati di rilevante interesse storico, per scopi scientifici, nonché da soggetti che fanno parte del sistema statistico nazionale (Sistan);
  • instaurazione, gestione ed estinzione di rapporti di lavoro e di altre forme di impiego, materia sindacale, occupazione e collocamento obbligatorio, previdenza e assistenza, tutela delle minoranze e pari opportunità.

Giova precisa che per il trattamento di dati relativi a condanne penali e reati o a connesse misure di sicurezza ai sensi dell’articolo 6, § 1, del GDPR, che non avviene sotto il controllo dell’autorità pubblica sarà consentito solo se autorizzato da disposizioni di legge o di regolamento, che prevedano garanzie appropriate per i diritti e le libertà degli interessati.

In questo ambito tali trattamenti saranno consentiti se autorizzati da disposizioni di legge o di Regolamento riguardanti, in particolare:

  • l’adempimento di obblighi e l’esercizio di diritti da parte del titolare o dell’interessato in materia di diritto del lavoro o comunque nell’ambito dei rapporti di lavoro;
  • l’adempimento degli obblighi previsti da disposizioni di legge e Regolamento in materia di mediazione finalizzata alla conciliazione delle controversie civili e commerciali;
  • la verifica o accertamento dei requisiti di onorabilità, requisiti soggettivi e presupposti interdittivi nei casi previsti dalle leggi e dai regolamenti;
  • l’accertamento di responsabilità in relazione a sinistri o eventi attinenti alla vita umana, nonché per la prevenzione, accertamento e contrasto di frodi o situazioni di concreto rischio per il corretto esercizio dell’attività assicurativa, nei limiti di quanto previsto dalle leggi e dai regolamenti in materia;
  • l’accertamento, esercizio o difesa di un diritto in sede giudiziaria;
  • l’esercizio del diritto di accesso ai dati e ai documenti amministrativi;
  • l’esecuzione di investigazioni o ricerche o per la raccolta di informazioni per conto di terzi ai sensi dell’articolo 134 del Testo unico delle leggi di pubblica sicurezza;
  • l’adempimento di obblighi previsti da disposizioni di legge in materia di comunicazioni e certificazioni antimafia o in materia di prevenzione della delinquenza di tipo mafioso e di altre gravi forme di manifestazione di pericolosità sociale, nei casi previsti da leggi o dai regolamenti, o per la produzione della documentazione prescritta dalla legge per partecipare a gare d’appalto;
  • l’accertamento del requisito di idoneità morale di coloro che intendono partecipare a gare d’appalto, in adempimento di quanto previsto dalle vigenti normative in materia di appalti;
  • l’attuazione della disciplina in materia di attribuzione del rating di legalità delle imprese ai sensi dell’articolo 5-ter, D.L. 1/2012;
  • l’adempimento degli obblighi previsti dalle normative vigenti in materia di prevenzione dell’uso del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo.
Share Button