Il nuovo regolamento comunitario sulla privacy

Il nuovo regolamento comunitario sulla privacy

Nel maggio del 2016 è entrato in vigore il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio sulla privacy ed, in particolare, sul trattamento dei dati personali delle persone fisiche, della loro protezione e della circolazione di tali dati. Con il nuovo regolamento viene abrogata la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati GDPR - General Data Protection Regulation).

 

Il regolamento entrerà operativamente in vigore il prossimo 25 maggio 2018 in tutti i Paesi dell’Unione Europea. Relativamente all’Italia, a suo tempo era stata emanata la legge n. 675 del 31 dicembre 1996 in attuazione della direttiva 95/46/CE, poi successivamente vi sono stati altri interventi normativi come il D.P.R. n. 318 del 28 luglio 1999, con il quale sono state individuate le misure minime di sicurezza per i dati personali oggetto di trattamento, e il D.Lgs. n. 467 del 28 dicembre 2001, che apportava sostanziali modifiche alla disciplina sulla privacy.

 

Tutta la materia è confluita nel D.Lgs. n. 196 del 30 giugno 2003 (Codice in materia dei dati personali), in vigore dal 1° gennaio 2004, che ha abrogato la disciplina previgente e che è stato oggetto di diversi aggiornamenti e modifiche.

Nonostante la diretta applicabilità e i vincoli previsti dal regolamento europeo, in Italia l’art. 13 della Legge n.163 del 25 ottobre 2017 (Legge di delegazione europea 2016-2017) ha delegato il Governo ad adottare uno o più decreti legislativi, entro il 21 maggio 2018, al fine di adeguare il quadro normativo nazionale alle disposizioni ivi contenute.

Secondo quanto previsto dalla legge di delegazione europea, il Codice in materia di trattamento dei dati personali, dovrà prevedere:

  • l’abrogazione delle disposizioni del codice incompatibili con quelle contenute nel regolamento;
  • la modifica del Codice per dare attuazione alle disposizioni del regolamento non direttamente applicabili;
  • il coordinamento delle disposizioni vigenti in materia di protezione dei dati personali con quelle recate dal regolamento (UE) 2016/6791.

 

In Italia, in attuazione dell’articolo 13 della citata legge di delegazione, sono state introdotte alcune disposizioni per l’adeguamento della normativa nazionale al regolamento europeo, nello specifico per la protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.

 

Dal prossimo 25 maggio 2018, le disposizioni di diritto europeo, prevarranno sulle vigenti norme in materia di protezione dei dati personali, le nuove disposizioni previste dal Regolamento saranno immediatamente applicabili, e si farà anche riferimento alle norme recate dallo schema di decreto volte ad armonizzare l’ordinamento interno al nuovo quadro normativo dell’Unione Europea.

La legge di delegazione abilita il Governo italiano a prevedere specifici provvedimenti attuativi e integrativi adottati dal Garante per la protezione dei dati personali, nell’ambito e per le finalità previste dal regolamento.

 

Inoltre, già con la recente Legge di bilancio 2018 (Legge n. 205 del 27 dicembre 2017), in vista dell’applicazione del nuovo regolamento, sono stati attribuiti al Garante della Privacy, a tutela dei diritti fondamentali e delle libertà dei cittadini, alcuni poteri di carattere regolamentare, di vigilanza e inibitori, in più sono previste delle modifiche ed innovazioni per quanto concerne la protezione dei dati personali ed il loro trattamento.

 

Ambito di applicazione del regolamento

Il regolamento sulla protezione dei dati, disciplina la tutela del trattamento dei soli dati personali, con lo scopo di assicurare la protezione dei diritti e delle libertà delle persone fisiche in maniera equivalente in tutti gli Stati membri e la libera circolazione dei dati, ordinando i principi e le condizioni per procedere al legittimo trattamento degli stessi.

Sono, dunque, esclusi dall’ambito di applicazione delle suddette disposizioni il trattamento dei dati relativi alle persone giuridiche.

Il dato personale

Il regolamento europeo adotta una definizione ampia di dato personale, in particolare secondo l’art. 4 per dato personale si deve intendere qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato). Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Estensione dell’ambito di applicazione

Gli obiettivi che il regolamento persegue richiedono una estensione dell’ambito di applicazione delle sue disposizioni. L’art. 2 del regolamento, sull’ambito di applicazione materiale, specifica che le disposizioni si applicano al trattamento “interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi”.

In più, secondo quanto indicato dallo stesso articolo, il regolamento non trova applicazione con riguardo al trattamento dei dati:

  • effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;
  • effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, TUE;
  • effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico;
  • effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.

 

Quanto all’ambito di applicazione territoriale, viene accolto come criterio generale il cd. principio di stabilimento.

 

NB! - Lo stabilimento implica l’effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile. A tale riguardo, non è determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica.

 

Il regolamento si applica ai trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento stabiliti nel territorio dell’Unione europea, a prescindere dalla circostanza che il trattamento sia o meno ivi concretamente effettuato, e a prescindere dalla nazionalità o dal luogo di residenza dei soggetti interessati cui si riferiscono i dati personali trattati.

Il regolamento (all’art. 3 secondo comma del regolamento) rende vincolanti le norme anche al trattamento effettuato da titolari del trattamento e responsabili del trattamento non stabiliti nell’Unione europea, in due casi:

  • quando le attività di trattamento riguardano l’offerta di beni o la prestazione di servizi nell’Unione europea, indipendentemente dall’obbligatorietà di un pagamento da parte dell’interessato;
  • quando il trattamento è riferito al monitoraggio del comportamento degli interessati nella misura in cui tale comportamento ha luogo all’interno dell’Unione europea.

 

Principi applicabili al trattamento dei dati personali

Nel regolamento europeo vengono ribaditi i principi (liceità, correttezza e trasparenza del trattamento, minimizzazione, limitazione della conservazione, finalità del trattamento) che dovranno trovare applicazione al trattamento dei dati personali, parte dei quali risultano ben noti e definiti, in quanto già previsti sia dall’attuale Codice privacy sia dalla direttiva 95/46/CE.

Tali principi sono individuati anche grazie alle indicazioni emerse dalla prassi e dalla giurisprudenza, che nel tempo si sono occupate della materia, rafforzandone la portata.

A questi ultimi principi si aggiunge, il principio previsto dall’articolo 5 del regolamento, ovvero quello di “responsabilizzazione” o “accountability”, in forza del quale il titolare del trattamento è tenuto a porre in essere tutte le misure tecniche e organizzative adeguate per garantire e dimostrare che il trattamento dei dati personali degli interessati è effettuato nel rispetto di determinati principi individuati proprio nell’articolo 5 e da altre norme del regolamento.

 

Nello specifico secondo i principi individuati, i dati personali devono essere:

  • trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
  • raccolti per finalità determinate, esplicite e legittime, e trattati in un modo che non sia incompatibile con tali finalità;
  • adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
  • esatti e se necessario, aggiornati (adottando tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti);
  • conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
  • trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione, con misure tecniche e organizzative adeguate.

 

Relativamente alla conservazione, i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal regolamento a tutela dei diritti e delle libertà dell’interessato.

 

NB! - Una apposita sezione del regolamento (Diritti dell’Interessato) regola l’attuazione concreta dei principi sopra esposti.

 

Trattamento dei dati

Il regolamento conferma la regola per cui, ai fini della sua validità, ogni trattamento deve trovare fondamento in un’idonea base giuridica che, oltre al consenso dell’interessato, è individuata nella sussistenza delle seguenti condizioni:

  • il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
  • il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del medesimo;
  • il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
  • il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  • il trattamento è necessario per il perseguimento del legittimo interesse del titolare del medesimo o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

In merito alle suddette condizioni il Codice delle Privacy in Italia prevede alcune “basi giuridiche” in particolare all’articolo 24 il quale individua i casi in cui può essere effettuato il trattamento dei dati senza consenso.

In particolare, secondo il citato articolo, il consenso non è richiesto, oltre che nei casi previsti nella Parte II, quando il trattamento:

  • è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;
  • è necessario per eseguire obblighi derivanti da un contratto del quale è parte l’interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato;
  • riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati;
  • riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale;
  • è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo;
  • con esclusione della diffusione, è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale;
  • con esclusione della diffusione, è necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell’interessato;
  • con esclusione della comunicazione all’esterno e della diffusione, è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente e rese note agli interessati;
  • è necessario, in conformità ai rispettivi codici di deontologia per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell’articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati;
  • riguarda dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis;
  • con esclusione della diffusione e fatto salvo quanto previsto dall’articolo 130 del codice, riguarda la comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell’articolo 2359 c.c. ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili, come definite all’articolo 34, comma 1-ter, e purché queste finalità siano previste espressamente.

 

Consenso dell’interessato

Con l’entrata in vigore del nuovo regolamento, assume anche rilievo la definizione prevista dallo stesso di consenso dell’interessato, ovvero qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.

 

NB! - Tale definizione apre la strada alla possibilità che la dichiarazione di consenso non risulti necessariamente da una documentazione resa per iscritto, se sia stata resa in maniera inequivocabile.

 

Il regolamento specifica che il consenso deve essere espresso tramite un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio, mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale (principio di libertà delle forme).

Per fare questo si potrebbe prevedere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in un determinato contesto che l’interessato accetta il trattamento proposto.

Non determina consenso il silenzio, l’inattività o la preselezione di caselle.

Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.

 

Altro aspetto interessante riguarda la libera espressione del consenso. Il regolamento esclude che lo stesso possa essere ritenuto liberamente espresso se l’interessato non è in grado di operare una scelta libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio.

Su tale aspetto il regolamento è in linea con gli orientamenti espressi dal Garante in tema di libera espressione del consenso.

Altro requisito attiene alla specificità del consenso elemento che viene già richiesto dal Codice della privacy.

Tale requisito è soddisfatto nel momento in cui il consenso è applicato a tutte le attività di trattamento svolte per la stessa o le stesse finalità, al contrario se il trattamento viene effettuato per la realizzazione di più finalità, il consenso dovrebbe essere prestato per ciascuna di esse.

Relativamente alle condizioni per la prestazione del consenso queste sono specificate dall‘articolo 7 del regolamento.

Secondo quanto previsto dalla norma il titolare del trattamento deve essere sempre in grado di dimostrare che l’interessato ha inequivocabilmente prestato il proprio consenso al trattamento dei suoi dati personali, ed è necessario porre particolare attenzione a tale onere probatorio quando il consenso non viene acquisto per iscritto.

Se, invece, il consenso viene concesso nell’ambito di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso deve essere ben distinta dalle altre materie trattate sul documento in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.

Quando il trattamento è basato sul consenso, l’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento.

Tuttavia, la revoca non è idonea a pregiudicare la liceità del trattamento già effettuato e basato sul consenso precedentemente prestato.

Il diritto di revocare il consenso prestato deve essere indicato nell’informativa comunicata all’interessato prima di esprimere il consenso medesimo, infine il consenso è revocato con la stessa facilità con cui è accordato.

Nel valutare se il consenso sia stato liberamente prestato, si tiene in considerazione l’eventualità che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.

 

La privacy e le professioni economico-giuridiche

Il nuovo regolamento europeo sul trattamento dei dati personali è stato oggetto di studio da parte del Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili e della Fondazione Nazionale dei Dottori Commercialisti, tramutatosi in un documento che tra gli altri aspetti risulta utile ad una prima autovalutazione del livello di adeguamento degli studi professionali alla nuova disciplina.

Il documento oltre a sviluppare i principali aspetti normativi del nuovo regolamento, tratta anche la materia come opportunità professionale in quanto rientrante tra le competenze delle professioni economiche giuridiche.

In più vengono fornite indicazioni operative sia a livello di formazione, che per quanto riguarda l’adeguamento degli studi professionali ai nuovi obblighi.

Dal punto di vista dei professionisti, il regolamento UE 2016/679 impone un cambiamento culturale nell’approccio al modello di gestione della Privacy, che deve essere adeguatamente affrontato anche per evitare l’assoggettamento a gravi sanzioni.

Con specifico riferimento alla professione dei Dottori Commercialisti, oltre all’esperienza maturata già a partire dalla Legge 675/96 e con il D.lgs. 196/03, la stessa privacy rientra tra le materie oggetto della formazione professionale continua a cura degli Ordini territoriali e degli altri enti accreditati.

Attualmente non sono previsti specifici requisiti professionali e/o obblighi formativi da assolvere per i soggetti che intendano fornire consulenza in materia di privacy o assumere l’incarico di Data Protection Officer (DPO) ovvero di una figura dotata di particolari qualità professionali, in specie di conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati personali, nonché di capacità di assolvere all’adempimento di specifici compiti previsti dalla norma.

 

NB! - Il DPO si caratterizza per la sua indipendenza ed autonomia nell’assolvimento dell’incarico ad esso affidato, ancorché possa trattarsi di un dipendente del titolare del trattamento o di un soggetto ad esso legato da un rapporto di prestazione di servizi.

 

Bisognerà quindi attendere che la disciplina trovi una sua compiuta determinazione, grazie all’emanazione dei necessari decreti delegati e che il Garante elabori eventuali ulteriori indicazioni.

Nell’attesa gli stessi commercialisti ritengono che gli iscritti all’Albo possano proseguire la propria attività di consulenza in materia di privacy e, in forza delle specifiche competenze maturate, ricoprire in questa fase di iniziale applicazione del regolamento, l’incarico di DPO per società ed enti.

 

Quadro normativo

Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016

Legge n. 675 del 31 dicembre 1996

D.Lgs. n.196 del 30 giugno 2003

Legge n.163 del 25 ottobre 2017

GDPR, documento Cndcec - Fnc

DirittoProtezione dei dati personali (Privacy)