Supporto
Cliens Privacy - Domande Frequenti

L’obbligo di avere questo documento riguarda enti

  • con più di 250 dipendenti;
  • con meno di 250 dipendenti ma che effettuano un tipo di trattamento che possa presentare un rischio per i diritti e le libertà dell'interessato, quando questo trattamento non sia occasionale o includa il trattamento delle categorie particolari di dati o dati relative a condanne o reati. Tuttavia il Garante per la protezione dei dati personali, per agevolare l’identificazione e l’analisi dei dati trattati, la valutazione dei rischi, l’adozione di misure adeguate a proteggere i dati e aumentare la consapevolezza e la responsabilità dei soggetti coinvolti, ritiene che la tenuta di un registro delle attività di trattamento sia “uno strumento fondamentale non soltanto ai fini dell'eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all'interno di un’azienda”. In caso di controllo sarà quindi il documento dal quale partire per dimostrare di essersi adeguati alla normativa.

Se prima dell’inizio del trattamento dati, si era provveduto a fornire informativa e raccogliere consenso ai sensi della 196/2003 non occorre per nessuna ragione cancellare i dati.
Se l’informativa era incompleta (ad esempio: mancava l’indicazione della data retention del dato, oggi indicazione obbligatoria, oppure del data protection officer, se presente), alla prima occasione basta integrare l’informativa.
Per quanto riguarda la necessità di raccogliere un nuovo consenso, questa attività NON E’ NECESSARIA Di seguito alcune precisazioni del garante:

  • Il regolamento conferma che ogni trattamento deve trovare fondamento in un'idonea base giuridica; i fondamenti di liceità del trattamento sono indicati all'art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice privacy - d.lgs. 196/2003
  • Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate (vedi pagina http://www.garanteprivacy.it/regolamentoue/fondamenti-di-liceita-del-trattamento) In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento, se si vuole continuare a fare ricorso a tale base giuridica.
  • In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all'interessato (art. 7.2), per esempio all'interno di modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara (art. 7.2). I soggetti pubblici non devono, di regola, chiedere il consenso per il trattamento dei dati personali (si vedano considerando 43, art. 9, altre disposizioni del Codice: artt. 18, 20).
Per approfondimento: http://www.garanteprivacy.it/regolamentoue/informativa http://www.garanteprivacy.it/regolamentoue/fondamenti-di-liceita-del-trattamento

Premessa: non è sempre facile ed evidente. Vediamo cosa dice la normativa.

  • Il titolare del trattamento (data controller) è la persona fisica o la persona giuridica che ha concretamente il potere di decidere finalità e modalità del trattamento.
  • Se ci sono più soggetti che condividono effettivamente queste decisioni riguardo finalità e modalità del trattamento si chiamano contitolari (joint controller).
  • Il responsabile (data processor) è il soggetto esterno che effettua per conto del titolare del trattamento un’attività di trattamento.
  • Gli altri soggetti che accedono ai dati personali agendo sotto l’autorità del titolare o del responsabile sono chiamati autorizzati (nella precedente normativa erano definiti incaricati).
  • Se un trattamento non viene svolto né per conto né sotto l’autorità di un altro soggetto, avremo un titolare autonomo. Il titolare autonomo ha gli obblighi previsti dalla normativa ma, ad esempio, non deve rendere nuovamente l’informativa se l’interessato (il soggetto a cui si riferiscono i dati) dispone già delle informazioni informazioni sul trattamento.

Secondo la normativa italiana “comunicazione", è il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. Quindi non è una forma di comunicazione l’accesso al dato da parte del responsabile del trattamento (data processor). D'altronde l'art. 13.1.d del Codice Privacy prevedeva che nell'informativa ci fosse l'indicazione dei: "soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi". Il Regolamento UE n. 2016/679, cosi come la precedente Direttiva UE n. 1995/46, parla di “destinatari” (art. 4 n.9) dei dati, ossia di soggetti che accedono ai dati e tali soggetti possono essere anche soggetti terzi. Per soggetto “terzo” si intende (art. 4 n. 10) un soggetto che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento di dati personali sotto l’autorità diretta del titolare o del responsabile. Il responsabile è quindi soggetto che non viene considerato terzo dalla normativa. Il termine comunicazione quindi ha un solo significato tecnico che è accesso al dato da parte di soggetti che non sono stati nominati responsabili o incaricati.

Il consenso al trattamento dei dati deve essere raccolto in forma scritta? Il Garante ricorda che il consenso "non deve essere necessariamente documentato per iscritto, né è richiesta la forma scritta”. Vedi: http://www.garanteprivacy.it/regolamentoue/fondamenti-di-liceita-del-trattamento Il consenso deve essere libero, specifico, informato ed inequivocabile, manifestato attraverso una dichiarazione o un'azione positiva inequivocabile. Per questo raccogliere un consenso in forma scritta può essere comunque opportuno in quanto considerata una modalità che rende il consenso inequivocabile e, soprattutto, specifico rispetto ad un determinato trattamento.

Il responsabile del trattamento è il soggetto che tratta dati personali per conto del titolare del trattamento. E', in poche parole, il fornitore di servizi che tratta i dati per conto del suo cliente. In inglese la terminologia è più chiara:
data controller - titolare;
data processor - responsabile.

Il responsabile del trattamento, dunque, non è e non deve essere confuso con il responsabile per la protezione dei dati (che in inglese è data protection officer). Sono soggetti completamente diversi che hanno compiti diversi.

L'art. 28 GDPR obbliga il titolare del trattamento (data controller) a ricorrere solo a fornitori di servizi - ossia responsabili del trattamento (data processor) che presentino garanzie sufficienti di adottare misure organizzative (policy) e tecniche (sicurezza informatica e fisica) adeguate al trattamento dei dati che gli viene affidato.

Tra titolare e responsabile del trattamento deve esserci un contratto o altro atto che prevede alcuni elementi specificati all'art. 28 comma 3 del GDPR. Se non tratta dati personali è ovvio che non deve qualificarsi come responsabile del trattamento e non ci sarà bisogno di nessun atto o contratto.

Quindi, se un fornitore di servizi non vuole firmare il data processing agreement/nomina a responsabile, occorre che quanto meno dichiari - meglio per iscritto, dato che verba volant - di non trattare dati personali. Se vuole proporre un suo modello di atto o di contratto, occorre controllare che tale atto o contratto contenga i requisiti previsti all'art. 28 comma 3 del GDPR.