SPECIALE PRIVACY - Seconda parte: CONSENSO E INFORMATIVA, il TITOLARE, RESPONSABILE ESTERNO e INCARICATI AL TRATTAMENTO DEI DATI

Il Regolamento UE 2016/679 in tema di Privacy dal prossimo 25 maggio porta con sè nuovi adempimenti per le AGENZIE VIAGGI che dovranno porre misure idonee e adeguate per il corretto trattamento dei dati personali dei propri clienti.ù

Trattiamo questo argomento con 3 corpose circolari, nelle quali daremo tutti i riferimenti utili per chi vuole comprendere le novità introdotte nella normativa e gli obblighi da rispettare.

Nel precedente primo intervento abbiamo trattato le NOVITA, i PRINCIPI APPLICABILI al trattamento dei dati personali e il TRATTAMENTO DI DATI PARTICOLARI, a questo link.

In questo articolo tratteremo di CONSENSO E INFORMATIVA, del TITOLARE, RESPONSABILE ESTERNO e INCARICATI AL TRATTAMENTO DEI DATI.

Nel terzo e ultimo articolo tratteremo di RISCHIO e MISURE DI SICUREZZA, del REGISTRO DEI TRATTAMENTI e DELLE MODALITA’ DI TENUTA, RESPONSABILITA’ e SANZIONI.

Consenso e informativa

Ai sensi dell’articolo 4 del nuovo Regolamento il consenso viene definito come una “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

In questo ambito appare sussistere la possibilità che la dichiarazione di consenso non risulti necessariamente da una documentazione resa per iscritto, purché tale dichiarazione sia stata prestata in maniera inequivocabile.

Il considerando 32 specifica che “il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale (principio di libertà delle forme). Potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso”.

Il Regolamento, all’articolo 12, prevede che il titolare del trattamento adotti misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento.

Più precisamente il Regolamento stabilisce che le informazioni contenute all’interno dell’informativa vengano fornite in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro; le stesse sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato e il fatto di aver dato le informazioni.

Secondo la nuova disciplina il consenso non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è la modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per i dati sensibili); inoltre, il titolare deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento.

Invero, il consenso dei minori è valido a partire dai 16 anni (il limite di età può essere abbassato fino a 13 anni dalla normativa nazionale); prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.

Per i dati “particolari” (quelli sensibili ex articolo 9, Regolamento) il consenso deve essere “esplicito”; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – articolo 22).

Giova precisare come il consenso raccolto precedentemente al 25 maggio 2018 resti valido se ha tutte le caratteristiche individuate dal Regolamento. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il Regolamento, se si vuole continuare a fare ricorso a tale base giuridica.

In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato, per esempio all’interno di modulistica e prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara.

In tale prospettiva si osserva come i contenuti dell’informativa siano elencati in modo tassativo negli articoli 13, § 1, e 14, § 1, Regolamento e in parte siano più ampi rispetto al codice vigente. In particolare, il titolare deve sempre specificare:

l’identità e i dati di contatto del titolare del trattamento e del RPD-DPO (Responsabile della protezione dei dati – data protection officer), ove esistente;
le finalità del trattamento e la base giuridica;
le categorie di dati personali che tratta;
gli eventuali destinatari o categorie di destinatari dei dati;
se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, etc.).

Peraltro, il Regolamento prevede anche ulteriori informazioni da fornire in aggiunta nel momento in cui i dati personali sono ottenuti, in quanto necessarie per garantire un trattamento corretto, tra cui:

periodo di conservazione dei dati personali o criteri per determinarlo;
diritti dell’interessato (accesso, rettifica, portabilità dei dati, etc.);
laddove previsto, l’esistenza del diritto di revocare il consenso in qualsiasi momento;
diritto di proporre reclamo a un’autorità di controllo;
se obbligo legale o contrattuale oppure requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze;
esistenza di un processo decisionale automatizzato, compresa la profilazione.

Sono, inoltre, parzialmente diversi i requisiti che il Regolamento fissa per l’esonero dall’informativa (si veda articolo 13, § 4 e articolo 14, § 5 del Regolamento, oltre a quanto previsto dall’articolo 23, § 1, di quest’ultimo), anche se occorre sottolineare che spetta al titolare, in caso di dati personali raccolti da fonti diverse dall’interessato, valutare se la prestazione dell’informativa agli interessati comporti uno sforzo sproporzionato (si veda articolo 14, § 5, lettera b ) – a differenza di quanto prevede il codice della privacy.

È utile precisare che l’informativa deve essere fornita all’interessato prima di effettuare la raccolta dei dati (se raccolti direttamente presso l’interessato – articolo 13 del Regolamento).

Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente.

Invero, se i dati non sono raccolti direttamente presso l’interessato (articolo 14 del Regolamento), l’informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento ed essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato). In tali casi, per come specificato nella norma ex articolo 14, comma 2, GDPR, il titolare dovrebbe fornire all’interessato ulteriori informazioni al fine di garantire un trattamento corretto e trasparente quali:

il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
qualora il trattamento si basi sull’articolo 6, § 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano e di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
qualora il trattamento sia basato sull’articolo 6, § 1, lettera a), oppure sull’articolo 9, § 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca;
il diritto di proporre reclamo a un’autorità di controllo;
la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico;
l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, § 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

Appare utile ricordare che quanto previsto nell’articolo 14, GDPR non si applica se:

l’interessato dispone già delle informazioni;
comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato;
l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione applicabile;
i dati personali debbano rimanere riservati conformemente a un obbligo di segreto professionale.

Va, infine, rilevato come, qualora il professionista effettui il trattamento dei dati personali sulla base di un contratto con il cliente, il consenso non sia necessario. Del pari non è obbligatorio ottenere il consenso anche nei casi in cui il trattamento si renda necessario per adempiere a un obbligo normativo o per legittimo interesse ovvero per l’adempimento di un obbligo di legge (in questo ambito potrebbero essere ricompresi i dati trattati ai fini della normativa antiriciclaggio). Si rende, invece, certamente obbligatorio il consenso specifico in caso di trattamento di particolari categorie di dati (ad esempio dati giudiziari o particolari categorie di dati, come quelli desumibili dalla documentazione attestante il sostenimento di spese mediche consegnate dal cliente al professionista ai fini della relativa detrazione fiscale).

Il titolare, i responsabili esterni e gli incaricati

Il titolare viene qualificato nel Regolamento come: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.

Tale definizione introduce anche la nuova disciplina della contitolarità del trattamento (articolo 26) e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente. Ne deriva che nel contratto intercorrente tra contitolari dev’essere configurata una chiara ripartizione delle responsabilità ai sensi del GDPR, compresi i casi in cui un titolare del trattamento stabilisca le finalità e i mezzi del trattamento congiuntamente con altri titolari del trattamento o quando l’operazione di trattamento viene eseguita per conto del titolare del trattamento.

Il titolare e/o i contitolari sono tenuti a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività che compiono sui dati con il GDPR, compresa l’efficacia delle misure di sicurezza che adottano. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.

Il GDPR prevede poi anche la figura del responsabile ossia “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. Al riguardo il Regolamento fissa più dettagliatamente (rispetto al codice) le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto e deve disciplinare tassativamente almeno le materie riportate al § 3 dell’articolo 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” – quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, e categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel Regolamento.

In realtà saranno sussistenti obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari (tenuta del registro dei trattamenti svolti, adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti, designazione di un DPO). Peraltro è consentita la nomina di sub-responsabili del trattamento da parte di un responsabile, per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; ne deriva che quest’ultimo risponderà dinanzi al titolare dell’inadempimento dell’eventuale sub responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento.

In merito, va rilevato che, come indicato anche dal Cndcec, i rapporti di approvvigionamento (responsabile trattamento dati, responsabile protezione dei dati, servizi cloud, etc.) dovranno essere regolati tramite un contratto firmato intuitu personae. All’uopo sarà sicuramente utile:

richiedere al fornitore di inoltrare la sua politica di sicurezza dei sistemi informativi insieme a tutti i documenti di supporto delle sue certificazioni di sicurezza delle informazioni e allegare tali documenti al contratto e verificare che le misure siano conformi alla propria politica di sicurezza e alle raccomandazioni dell’autorità Garante;
determinare e fissare in modo dettagliato, su base contrattuale, le operazioni che il responsabile del trattamento potrà eseguire sui dati personali, tra cui:
i dati a cui avrà accesso o che gli saranno trasmessi;
le operazioni che deve eseguire sui dati;
la durata per la quale può memorizzare i dati;
tutti i destinatari a cui il responsabile del trattamento potrà trasmettere i dati;
le operazioni da eseguire al termine del servizio (cancellazione permanente dei dati o restituzione dei dati nel contesto della reversibilità quindi distruzione di dati);
gli obiettivi di sicurezza stabiliti dal titolare del trattamento;
determinare, su base contrattuale, la ripartizione delle responsabilità in merito ai processi legali volti a consentire agli interessati di esercitare i propri diritti;
vietare o regolare l’utilizzo di fornitori di secondo livello;
chiarire nel contratto che il rispetto degli obblighi di protezione dei dati è un requisito vincolante del contratto e prevedere specifiche clausole di responsabilità.

Il Regolamento non prevede espressamente la figura dell’incaricato, richiamando invece le c.d. “persone autorizzate al trattamento” sotto l’autorità diretta del titolare o del responsabile.

Sul tema l’emanando decreto attuativo indicherà espressamente che il titolare o il responsabile del trattamento possano disciplinare nell’ambito del proprio assetto organizzativo che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche espressamente designate che operano sotto la loro autorità. In concreto, il titolare o il responsabile del trattamento hanno la possibilità di individuare, con le modalità più opportune, le persone che operano sotto la propria autorità diretta per autorizzarle al trattamento dei dati personali.

SPECIALE PRIVACY – Seconda parte: CONSENSO E INFORMATIVA, il TITOLARE, RESPONSABILE ESTERNO e INCARICATI AL TRATTAMENTO DEI DATI

Post correlati

LA DURATA MINIMA CONTRATTUALE DEI LEASING PER LA DEDUZIONE FISCALE DEI COSTI

IL TRATTAMENTO FISCALE DELLE SPESE DI RAPPRESENTANZA

NOVITÀ IN TEMA DI RITENUTE D’ACCONTO

L’APPROVAZIONE DEL BILANCIO DELL’ESERCIZIO 2023

CHIUSURA DEI BILANCI 2023: OPERATIVA LA SOSPENSIONE DEGLI AMMORTAMENTI