GDPR

GDPR: scopi, definizioni e ambito di applicazione del Regolamento (UE) 2016/679

345 0

Il Regolamento (UE) 2016/679, in sintesi GDPR, è applicabile dal 25maggio 2018 e rappresenta la disciplina europea in materia di protezione dei dati personali. In questo articolo, tratto dal volume di EPC Editore dal titolo “PROTEZIONE DEI DATI PERSONALI E SICUREZZA INFORMATICA, esaminiamo scopi, ambito di applicazione, definizioni e principi fondamentali del GDPR.

Cos’è il GDPR, il Regolamento (UE) 2016/679

Il Regolamento (UE) 2016/679, GDPR si compone di 99 articoli e di una serie di considerando che assumono notevole valore, in quanto concretizzano i principi generali, oltre che molte delle disposizioni, contenuti negli stessi articoli.

Il GDPR abroga la previgente Direttiva 95/46/CE, recepita in Italia dapprima con la L. 675/1996 e, successivamente, con il D.Lgs. 196/2003 (c.d. “Codice della Privacy”, di seguito il “Codice”), mentre non incide sulla Direttiva 2002/58/CE (sui servizi di comunicazione elettronica).

Scopi del GDPR (art. 1)

Lo scopo del GDPR è duplice:

  • affermare chiaramente come il diritto alla protezione dei dati personali sia un diritto fondamentale (art. 1.2),
  • vietare ogni restrizione alla libera circolazione dei dati per motivi di protezione delle persone con riguardo al trattamento dei dati stessi.

L’art. 1 precisa che il diritto alla protezione dei dati è riconosciuto esclusivamente alla persona fisica (quindi, anche alle ditte individuali), non alle persone giuridiche. Sono escluse, pertanto, le società di capitali, mentre permarrebbero dubbi sulle società di persone.

GDPR: ambito di applicazione materiale (art. 2)

Fermo restando il principio “di necessità”, secondo cui ogni qualvolta sia ragionevolmente possibile svolgere la propria attività senza utilizzare dati personali, non devono essere raccolti e trattati (per cui non si applica il GDPR), il Regolamento non si applica:

– alle Istituzioni europee;

– ai trattamenti effettuati dagli Stati membri per attività di politica estera e sicurezza comune;

– in caso di attività escluse dal diritto dell’Unione;

– ai trattamenti effettuati dalle autorità competenti per finalità di prevenzione, indagine, accertamento e repressione dei reati ed esecuzione delle sentenze/condanne.

In tutti i restanti casi, a prescindere dallo strumento utilizzato (c.d. “neutralità tecnologica”), cioè dal fatto che si utilizzino strumenti automatizzati (elettronici, informatici), o meno (cartacei, manuali), si applica il GDPR.

Tutto ciò, eccettuate le seguenti situazioni:

il trattamento sia effettuato da una persona fisica per finalità personali (non professionali o commerciali) o domestiche (nell’ambito della propria cerchia familiare ed amicale più ristretta);

il trattamento sia effettuato senza alcun tipo di strumento automatizzato e i dati non confluiscano, o non siano destinati a confluire, in un archivio (da intendersi un elenco strutturato, ovvero organizzato secondo criteri determinati, anche se decentralizzato).

GDPR: ambito di applicazione territoriale (art. 3)

Per comprendere quale sia l’ambito geografico entro cui si applica il GDPR è necessario prendere le mosse dal concetto di “stabilimento” (come chiarito dal C. 22 e già definito nel parere WP 56): un’organizzazione stabile, permanentemente dotata di uomini e mezzi, che esercita un’attività effettiva.

La sentenza della CGUE C-230/14 (“Weltimmo”) permette di concludere come anche una sede secondaria, una filiale, una succursale, uno studio legale, o un mero “Rappresentante” (ex art. 27) possano assumere tale specifica connotazione.

Ciò premesso, il GDPR si applica al:

1) Titolare/Responsabile stabilito in un Paese della UE, qualora il trattamento avvenga nel contesto delle attività dello stabilimento ed a prescindere da dove sia concretamente effettuato;

2) Titolare/Responsabile non stabilito in UE, ma che tratta dati di interessati che si trovano in UE:
(A) per l’offerta (gratuita o meno) di beni o servizi, oppure
(B) per il relativo monitoraggio.

In merito al caso sub (A), le Linee Guida 3-2018 dell’EDPB precisano come non basti l’accessibilità (da un Paese membro) ad un indirizzo e-mail o ad un sito web, essendo necessario che si manifesti l’intenzione del Titolare/Responsabile di volersi rivolgere a quella specifica platea in UE: elementi rivelatori possono essere la lingua e/o la moneta utilizzata, oppure un sito web dedicato, ovvero un nome di dominio di primo livello sito in UE (ad es., .it, .de, .fr);

3) Alle sedi diplomatiche (ambasciate, consolati) dei Paesi membri.

Definizioni (art. 4)

Di seguito vengono analizzati alcuni concetti:

Dato Personale

Per “dato personale” s’intende qualsiasi informazione concernente, direttamente o indirettamente, la persona fisica. Di conseguenza, anche un numero di matricola, un indirizzo IP, o un codice identificativo, ovvero sigle o numeri che si riferiscano univocamente (che possano essere associati) ad un determinato soggetto, sono qualificabili come dati personali.

Dato biometrico

Il “dato biometrico” è quello ottenuto attraverso un trattamento tecnico specifico relativo alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale, la voce, o i dati dattiloscopici.

Interessato

L’“Interessato” è la persona fisica a cui si riferisce il dato ed a cui, quindi, è riconosciuto l’esercizio dei diritti previsti dal GDPR; ai sensi dell’art. 2-terdecies del Codice, i diritti del deceduto sono esercitati dai familiari, o da colui che agisce a tutela dell’interessato, ovvero ancora da chi abbia un interesse proprio.

Titolare del trattamento

Per “Titolare del trattamento” deve intendersi la persona fisica o giuridica che determina (decide) le finalità ed i mezzi del trattamento.

Salvo casi particolari, il Titolare è l’entità nel suo complesso; di conseguenza, ogni ufficio o articolazione di cui si compone un ente, o un’azienda, è parte del Titolare stesso.

Il tratto maggiormente caratterizzante e distintivo del Titolare, rispetto al “Responsabile del trattamento”, consiste nel potere di decidere le finalità del trattamento.

Operazioni

Operazioni” del trattamento sono quelle, compiute con o senza l’ausilio di processi automatizzati, di seguito indicate: raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica, estrazione, consultazione, uso, (comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione), raffronto o interconnessione, limitazione, cancellazione o distruzione.

Sin dal 2005, il Garante ha espresso la necessità di porre particolare attenzione alle operazioni più rischiose, quali: comunicazione, diffusione, interconnessione e raffronto.

Comunicazione e diffusione

La definizione di “comunicazione” e di “diffusione” non è disciplinata dal GDPR, bensì dal Codice (art. 2-ter): laddove, nel primo caso, i dati sono resi noti ad uno o più soggetti determinati ed individuabili, nel secondo i dati sono conosciuti da un’indistinta platea.
Ai fini di una distinzione tra le due operazioni in esame, ciò che conta è la “potenzialità di conoscenza”: l’affissione di un documento contenente dati personali alla bacheca condominiale (sia pur internamente al palazzo) deve qualificarsi come “diffusione”, anche qualora ci si intenda rivolgere ai soli condomini, per la potenziale agevole conoscibilità da parte di terzi visitatori.

Profilazione

Per “profilazione” ci si riferisce ad una forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati per valutare determinati aspetti relativi a una persona fisica, in particolare per analizzare o prevedere il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti della persona stessa.

Destinatario

Il “Destinatario” rappresenta colui che riceve i dati, sia nella veste di Responsabile (che conosce i dati in ragione del proprio ruolo), che quale “Terzo” (che riceve, quindi, una comunicazione, assumendo spesso la qualità di Titolare autonomo).

Le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari. Il trattamento di tali dati da parte delle suddette autorità è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento.

Amministratore di sistema

L’“Amministratore di sistema”, infine, è la persona fisica professionalmente preposta alla manutenzione o gestione di un sistema di elaborazione, o di sue componenti.

La figura dell’amministratore, quindi, può assumere concretamente molteplici profili (amministratore di rete, di server, di database, ecc.).

Principi fondamentali del GDPR (art. 5)

Sono principi del trattamento quelli di seguito elencati.

Liceità

Liceità (cioè, conformità del trattamento alla disciplina privacy e alla base giuridica che lo prevede), correttezza (ovvero, buona fede contrattuale) e trasparenza (in altri termini, il linguaggio utilizzato deve essere semplice, comprensibile, non prolisso, ma esauriente).

Limitazione della finalità

Le finalità devono essere legittime, esplicite (esteriorizzate) e specifiche (non individuate genericamente) al fine di evitare il c.d. “function creep” (trattamento dei dati per finalità differenti rispetto a quelle dichiarate).

Nella finalità indicata possono intendersi implicitamente ricomprese quelle secondarie ed accessorie, ma non quelle diverse; è possibile (fermo quanto previsto all’art. 13.3) trattare i dati per ulteriori finalità se consentito dalla legge, o se è rilasciato uno specifico consenso, ovvero ancora se le finalità sono compatibili (sono tali, quelle di archiviazione nel pubblico interesse o di ricerca storica, o statistica, o scientifica).

Per la valutazione di compatibilità, il cui onere resta in capo al Titolare, l’art. 6.4 del GDPR richiama quanto già previsto dal parere WP 203 del Gruppo di Lavoro Art 29, in ordine agli elementi da

considerare:

(a) il contesto (rapporto tra Titolare ed interessato, per comprendere quanto possa essere stato prevedibile il trattamento per altra finalità);
(b) il nesso tra le due finalità;
(c) i dati personali trattati (più sono delicati più si restringe “l’area di compatibilità”);
(d) i rischi di danno/pregiudizio agli interessati;
(e) le misure e garanzie adottate per prevenire, impedire o limitare tali danni.

Limitazione della conservazione

I dati devono essere cancellati (distrutti) non appena raggiunta (esaurita) la finalità, fatto salvo anzi citate). Misure ragionevoli devono essere adottate, anche per impostazione predefinita (privacy by default), per cancellare o rendere anonimi i dati alla scadenza prestabilita. Periodicamente, quindi, è necessario valutare se i dati siano ancora necessari.

Minimizzazione

I dati devono essere pertinenti e non eccedenti, ovvero devono essere raccolti e trattati soltanto quelli strettamente necessari alla finalità. Il principio è sviluppato all’art. 25 (oltre ai dati, devono essere ridotti le operazioni, i soggetti che possono conoscere i dati stessi ed i relativi tempi di conservazione).

Esattezza

I dati devono essere (proattivamente) corretti e, se necessario, integrati (i dati incompleti) e aggiornati (i dati obsoleti).

Misure di sicurezza

Misure di sicurezza tecniche ed organizzative, adeguate ed efficaci (v. artt. 24, 28 e 32): le misure sono finalizzate a prevenire o a limitare il rischio di pregiudizi ai diritti e libertà degli interessati.

Sono state soppresse le c.d. “misure minime”, di cui ai previgenti artt. 33 e ss. del Codice.

L’art. 5.2 sancisce il principio di accountability (di responsabilità): grava sul Titolare l’onere di dimostrare la conformità ai citati principi in ogni fase del trattamento. Codici di condotta e meccanismi di certificazione, per quanto non attenuino la responsabilità, possono contribuire a fornire prova della corretta esecuzione del trattamento.

Consulta anche i seguenti articoli:

Protezione e trattamento dei dati personali: i profili professionali
Dati sensibili: quali sono e la normativa in materia di privacy
Privacy: definizione e aggiornamenti
La definizione di sicurezza informatica e le linee guida per proteggere i dati sensibili

Per saperne di più consulta il volume di EPC Editore

Consulta altri volumi di EPC editore

Redazione InSic

Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell'ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore