Privacy nel condominio
General
Data
Protection
Regulation
GDPR - General Data Protection Regulation
Il regolamento generale sulla protezione dei dati (General Data Protection Regulation), ufficialmente regolamento (UE) n. 2016/679 e meglio noto con la sigla GDPR, è un regolamento dell'Unione europea in materia di trattamento dei dati personali e di privacy.
Con questo regolamento, la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini dell'Unione europea e dei residenti nell'Unione europea , sia all'interno che all'esterno dei confini dell'Unione europea (UE).
Il testo, adottato il 27 aprile 2016, è stato pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno; è operativo a partire dal 25 maggio 2018.
Il testo affronta anche il tema dell'esportazione di dati personali al di fuori dell'UE e obbliga tutti i titolari del trattamento dei dati (anche con sede legale fuori dall'Unione europea) che trattano dati di residenti nell'Unione europea ad osservare e adempiere agli obblighi previsti. Gli obiettivi principali della Commissione europea nel GDPR sono quelli di restituire ai cittadini il controllo dei propri dati personali e di semplificare il contesto normativo che riguarda gli affari internazionali unificando e rendendo omogenea la normativa privacy dentro l'UE. Dalla sua entrata in vigore, il GDPR ha sostituito i contenuti della direttiva sulla protezione dei dati (Direttiva 95/46/CE) e, in Italia, ha abrogato le norme del codice per la protezione dei dati personali (d. lgs. n. 196/2003) con esso incompatibili.
Informativa Privacy
Per prendere visione dell'informativa privacy del Suo condominio La invitiamo ad utilizzare il pulsante qui sotto:
Sommario
Riepilogo
"Il regime di protezione dei dati proposto per l'UE estende gli obiettivi della legge europea sulla protezione dei dati a tutte le imprese estere che trattano dati di residenti europei a prescindere dal luogo nel quale le trattano e dalla loro sede legale. Permette di armonizzare le diverse normative sulla protezione dei dati in tutta l'UE, facilitando così l'osservanza delle norme da parte delle imprese non europee; tuttavia, questo è stato ottenuto a costo di un regime che prevede una severa disciplina di protezione dei dati, con rigide sanzioni che possono raggiungere il 4% del volume globale di affari." A seguito di negoziazioni nel dialogo a tre tra Parlamento Europeo, Commissione europea e Consiglio dei Ministri, si è raggiunto un consenso generale sulla formulazione del GDPR e sulle sanzioni finanziarie per la mancata osservanza.
Contenuto
La proposta per il regolamento generale sulla protezione dei dati presentava alcuni passaggi poi non confermati nella versione definitiva. Considerava, invece, favorevolmente l'introduzione della privacy by design (la privacy va tutelata anche in fase di elaborazione del software), la privacy by default (le misure privacy devono essere attuate per impostazione predefinita) e quella del principio del carattere personale dell'indirizzo IP).
Come premessa all'esposizione degli articoli di legge il regolamento contiene un lungo elenco di considerando, anch'essi numerati in sequenza, e citati con "C" seguito dal numero del considerando.
Ambito
Il regolamento si applica al trattamento dei dati personali, ed al trattamento non automatizzato dei dati conservati in un "archivio", definito (artt. 2 e 4) in modo simile all'espressione "banca di dati", presente nel codice della privacy italiano (l'Italia si è adeguata alla normativa europea tramite il decreto legislativo n. 101 del 10 agosto 2018). Inoltre, a differenza dell'attuale direttiva, il regolamento si applica anche a imprese ed enti, organizzazioni in generale, con sede legale fuori dall'UE che trattano dati personali di residenti nell'Unione Europea. Ciò anche a prescindere dal luogo o dai luoghi ove sono collocati i sistemi di archiviazione (storage) e di elaborazione (server). Il regolamento non riguarda la gestione di dati personali per attività di sicurezza nazionale o di ordine pubblico ("le autorità competenti per gli scopi di prevenzione, indagine, individuazione e persecuzione di reati penali o esecuzione di provvedimenti penali"). Secondo la Commissione Europea "i dati personali sono qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale o pubblica. Può riguardare qualunque dato personale: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer."
Il regolamento disciplina il trattamento di dati personali solo delle persone fisiche (ivi compresi quelli di persone fisiche trattati in ambito professionale o associativo o situazioni similari ovvero nei rapporti tra imprese, enti e associazioni) e pertanto i dati di identificazione o di contatto e simili di soggetti aventi personalità giuridica (società di capitali, aziende ed enti pubblici, associazioni e fondazioni) sono esclusi dall'applicazione del codice (questo non vale per le ditte individuali perché identità personale e professionale coincidono). In pratica, il campo di applicazione riguarda i dati personali di persone fisiche trattati in qualsiasi attività (professionale, economica, di interesse pubblico, associativa, ecc.) a esclusione delle sole attività della vita personale o domestica (eccezion fatta per la pubblicazione on line di dati personali di persone fisiche, anche se nell'ambito personale o domestico, in quanto si tratta di divulgazione indistinta).
I dati personali forniti o comunicati non sono solo quelli dell'interessato ma possono essere relativi a persone fisiche terze (rispetto all'interessato e al titolare del trattamento) oppure trattati da soggetti terzi (rispetto all'interessato e titolare oppure rispetto due titolari). Il GDPR definisce terzo "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile". Per il trattamento di dati relativi a terzi o forniti a terzi (comunicazione a destinatari) occorre che l'informativa lo precisi e siano definite le responsabilità nonché attestata la conformità del trattamento da parte dei titolari coinvolti.
In base al principio di stabilimento le sue norme si applicano ai trattamenti di dati personali posti in essere da titolari e responsabili stabiliti nell'Unione Europea, senza alcun rilievo per il luogo in cui si effettua il trattamento stesso o per il luogo in cui si trova il data subject.
Dati
Vengono ampliate e caratterizzate le definizioni sui dati presenti nella corrente direttiva e aggiunte di nuove. Quindi, oltre al dato personale, troviamo dati genetici, biometrici e relativi alla salute, comunque tutte informazioni che consentono l'identificazione univoca o l'autenticazione di una persona fisica.
· Dato personale (art. 4 paragrafo 1): informazioni relative a persona fisica identificata o identificabile. La novità risiede proprio nel criterio di identificazione, la persona può essere identificata direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
· Dati sensibili (art. 9 paragrafo 1): si considerano i dati personali come l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, dati relativi alla vita sessuale o all'orientamento sessuale della persona, nonché:
o Dati genetici: ereditati o acquisiti, ottenuti tramite analisi di DNA ed RNA da un campione biologico della persona fisica in questione.
o Dati biometrici: come l’immagine facciale, grazie ai quali è possibile identificare una ed una sola persona fisica.
o Dati sulla salute: sia fisica che mentale, passata, presente o futura, ma anche informazioni su servizi di assistenza sanitaria, laddove presenti, indipendentemente dalla fonte, quale, ad esempio, un medico.
· Dati personali relativi a condanne penali o reati (art.10): il trattamento dei dati personali relativi a reati o condanne deve avvenire sotto il controllo dell'autorità pubblica o se è autorizzato dal diritto dell'Unione.
Nota bene.
1. Non qualsiasi informazione riservata relativa ad una persona fisica è "dato personale", sebbene a volte sia superficialmente creduto. Solo informazioni che possono o potrebbero rilevare l'identità di una persona sono dati personali. Ad esempio: l'importo dello stipendio di un lavoratore, reso anonimo, non è un dato personale.
2. Come sopra riportato, il GDPR e in generale la privacy si applicano solo ai dati personali di persone fisiche: invocare norme privacy per la protezione di informazioni segrete o dati riservati relativi a persone giuridiche e/o imprese/enti (in generale, organizzazioni) è totalmente infondato (materia regolamentata da altre discipline del diritto).
Insieme unico di regole e sportello unico
A tutti gli stati membri UE si applicherà un insieme unico di regole. Ciascuno stato membro istituirà un'autorità sovrintendente indipendente per dare udienza ai reclami, effettuare indagini, sanzionare le infrazioni amministrative, ecc. Le autorità sovrintendenti in ciascuno stato membro collaboreranno con le altre, fornendo assistenza reciproca e organizzando operazioni congiunte. Qualora una ditta abbia più stabilimenti nell'UE, avrà un'unica autorità sovrintendente come propria "autorità principale", sulla base dell'ubicazione del proprio "stabilimento principale" (ossia il posto dove hanno luogo le principali attività di gestione). L'autorità principale agirà quale "sportello unico" per supervisionare tutte le attività di gestione dati di quella ditta nell'UE (Articoli 46 - 55 del GDPR). Il Comitato europeo della protezione dati (EDPB, European Data Protection Board) coordinerà le autorità sovrintendenti. L'EDPB andrà a sostituire il gruppo di lavoro dell'Articolo 29.
Vi sono eccezioni nel caso di dati elaborati in un contesto di impiego e di dati elaborati a scopo di sicurezza nazionale, che potrebbero ancora essere soggetti ai regolamenti delle singole nazioni (Articoli 2(2)(a) e 82 del GDPR).
Responsabilità
Il principio di responsabilità legato al trattamento dei dati personali resta ancorato (come nel Codice per la protezione dei dati personali) ad un concetto di responsabilità per esercizio di attività pericolosa con una valutazione ex ante in concreto ed una sostanziale inversione dell'onere della prova. Per non rispondere del danno commesso derivante dal trattamento dei dati personali occorre sostanzialmente provare di aver fatto tutto il possibile per evitarlo. Il Regolamento aggancia e sviluppa questo tipo di responsabilità verso il concetto di Responsabilizzazione (art. 5 co. 2). Occorre osservare i principi applicabili al trattamento dei dati personali di cui all'articolo 5 adempiendo alle relative obbligazioni ed essere in grado di comprovarlo. In particolare, secondo l'articolo 5, il trattamento dei dati deve essere lecito (5.a), con finalità determinate (come archiviazione, ricerca scientifica, statistica, 5.b), limitato all'uso ("minimizzazione dei dati", 5.c) ed esatto, aggiornato (5.d).
Similmente al precedente Codice 196/03 rimane la possibilità per il titolare di condividere le responsabilità o le funzioni di trattamento tra:
· incaricato (vecchia dizione della 196 che sul GDPR è presente come "persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile");
· responsabile (anche esterno);
· con-titolare;
· altro titolare autonomo.
La scelta tra i casi di responsabile esterno, contitolare o titolare autonomo talvolta non è agevole (alcune situazioni sono oggettivamente complesse, al di là delle semplici definizioni di legge e vi sono linee interpretative diverse tra gli esperti) e determinano situazioni di disaccordo tra organizzazioni.
La definizione di responsabilità tra due titolari o tra titolare e responsabile (in particolare se esterno) è importante per tutelare i dati personali di terzi (cioè persone fisiche terze rispetto al rapporto tra i due soggetti, tipicamente organizzazioni) che si scambiano dati (o qualsiasi altra operazione di trattamento) di persone fisiche (cioè gli interessati).
Obblighi
I requisiti per le informative agli interessati rimangono e in parte sono ampliati. Essi devono includere il tempo di mantenimento dei dati personali e occorre fornire i contatti di chi controlla i dati e del funzionario preposto alla protezione dei dati.
È stato introdotto il diritto di contestazione delle decisioni automatizzate, compresa la profilazione (Art. 22). I cittadini hanno ora il diritto di contestare e contrastare decisioni che hanno impatto su di loro e che sono state realizzate unicamente in base ai risultati di un algoritmo.
Tale diritto, fatta eccezione per dati personali intesi ad identificare in modo univoco una persona fisica (Art. 9 comma 1), non si applica nel caso in cui la decisione:
· sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento;
· sia autorizzata dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa inoltre misure adeguate a tutela dei diritti, della libertà e dei legittimi interessi dell'interessato;
· si basi sul consenso esplicito dell'interessato.
I principi di Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (Art. 25) richiedono che la protezione dei dati faccia parte del progetto di sviluppo dei processi aziendali per prodotti e servizi.
Le impostazioni di privacy sono configurate su un livello alto in modo predefinito.
Le valutazioni dell'impatto della protezione dei dati (Articolo 35) devono essere effettuate nei casi in cui si verifichino rischi specifici per i diritti e le libertà dei soggetti dei dati. La valutazione e la riduzione del rischio sono richieste insieme ad un'approvazione preventiva da parte delle autorità per la protezione dei dati (DPA, Data Protection Authority) per rischi elevati. I Responsabili per la protezione dei dati (Art. 37), quindi, sono scelti per la conoscenza specialistica della normativa in materia di dati personali e sono tenuti a verificare l'osservanza delle norme del Regolamento da parte dei titolari e nel caso di valutazioni di impatto, se richiesto dal titolare, sono tenuti a consultarsi con esso.
Altro obbligo per il responsabile (art. 29) è provvedere all'addestramento di "... chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento..." (in pratica gli incaricati). Ovviamente, il titolare deve dimostrare di aver provveduto alla formazione.
Consenso
Un valido consenso deve essere esplicitamente dato per la raccolta dei dati e per i propositi per i quali sono usati (Art. 7; definito in Articolo 4). Pertanto se la richiesta viene inserita nell'ambito di altre dichiarazioni essa va distinta e formulata con linguaggio semplice e chiaro (Art. 7). Condizione di validità del consenso è che le finalità per cui viene richiesto siano esplicite, legittime, adeguate e pertinenti (Art. 5). Nel caso in cui il consenso al trattamento dei propri dati personali per una o più specifiche finalità sia stato espresso da minori esso è valido solo se il minore ha almeno 16 anni. L’età viene ridotta a 13 anni solo se lo stato membro ha previsto con legge una diversa età purché non inferiore a questa. Qualora il minore abbia un'età inferiore ai 16 o 13 anni (scelta che spetta allo Stato purché non si scenda sotto i 13 anni), il consenso al trattamento deve essere dato da un genitore o da chi eserciti la potestà, e deve essere verificabile (Art. 8). I controllori dei dati devono essere in grado di provare il consenso ("opt-in") e il consenso può essere ritirato o modificato con l’introduzione di limitazioni nel trattamento (Art. 18).
Articolo 6 - Liceità del trattamento
Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) L'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b) Il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) Il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d) Il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;
e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.
Articolo 7 - Condizioni per il consenso
1- Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali.
2- Se il consenso dell'interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante.
3- L'interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l'interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato.
4- Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l'eventualità, tra le altre, che l'esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all'esecuzione di tale contratto.
Sicurezza dei dati
La sicurezza dei dati raccolti è garantita dal titolare del trattamento e dal responsabile del trattamento chiamati a mettere in atto misure tecniche e organizzative idonee per garantire un livello di sicurezza adeguato al rischio. A tal fine il titolare e il responsabile del trattamento garantiscono che chiunque acceda ai dati raccolti lo faccia nel rispetto dei poteri da loro conferiti e dopo essere stato appositamente istruito, salvo che lo richieda il diritto dell'Unione o degli Stati membri (Articolo 32). A garanzia dell’interessato il Regolamento UE 2016/679 regolamenta anche il caso di trasferimento dei dati personali verso un paese terzo o un'organizzazione internazionale (Articolo 44 e ss) e prevede che l’interessato venga prontamente informato in presenza di una violazione che metta a rischio i suoi diritti e le sue libertà (Articolo 33).
Misure tecniche di sicurezza suggerite
Le misure per garantire la sicurezza dei dati personali sono presentate nell'art. 32:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Il responsabile e il titolare del trattamento hanno l'onere di dimostrare la conformità dei sistemi al regolamento europeo. Possono aderire a codici di condotta, oppure della certificazione di conformità. La certificazione non riduce la responsabilità del titolare del trattamento o del responsabile, né i poteri e compiti delle authority (art. 42, par. 4), ed ha durata massima di cinque anni (art. 43, par.4).
Codici di condotta, certificazione
Associazioni o altri organismi di categoria, possono elaborare un codice di condotta cui i membri aderiscono su base volontaria.
Il codice di condotta deve preventivamente essere approvato dall'authority, ed è specificamente previsto che sia registrato e pubblicamente accessibile (art. 40, par. 6). Se il trattamento interessa più di uno Stato membro, il codice è sottoposto all'approvazione di un comitato di coordinamento delle authority dei Paesi coinvolti.
L'authority accredita e revoca gli organismi che possono verificare la conformità dei sistemi di trattamento dei dati personali ai codici di condotta. La valutazione rileva grado di competenza, grado di indipendenza, e assenza di conflitti di interessi, fatti salvi i compiti e i poteri dell'autorità di controllo competente di intervento diretto (art. 41, parr. 1 e 4).
L'authority e un organismo nazionale di accreditamento hanno il compito di accreditare o revocare gli organismi di certificazione che verificano la conformità del trattamento dei dati personali al regolamento europeo. I requisiti sono i medesimi previsti per gli organismi che esercitano la valutazione di conformità del codice di condotta al regolamento.
Portabilità dei dati
Il diritto alla portabilità è sancito dall'Articolo 20 del GDPR. "L'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti". Una persona deve essere in grado quindi di trasferire i propri dati personali da un sistema di elaborazione elettronico ad un altro senza impedimenti. Inoltre, i dati devono essere forniti dal controllore in un formato leggibile da un elaboratore di dati e in nessun modo di tipo cartaceo. Non ci sono indicazioni sul formato ma un documento come un PDF non è sufficiente non essendo elaborabile.
Quando una persona decide di esercitare il diritto alla portabilità, il titolare interpellato deve adempiere a quanto richiesto in tempo ragionevoli in base al contesto e alla specifica situazione (in generale entro un mese dalla richiesta).
Gli esperti legali vedono nella versione finale di questa misura la creazione di un "nuovo diritto" che "si estende oltre l'ambito della portabilità dei dati tra due controllori, così come stipulato dall'Articolo 18".
L'obiettivo di questo diritto è di agevolare il passaggio e lo scambio di dati evitando fenomeni di "lock-in" tecnologici e promuovendo la libera circolazione dei dati stimolando la concorrenza tra i titolari del trattamento. Questi dati devono rispettare delle condizioni affinché il diritto possa essere esercitato: devono essere "dati personali" e non anonimi. Questi dati devono essere stati forniti consapevolmente e in modo attivo dall'interessato. Il diritto si estende anche ai dati generati dalle attività dell'interessato come i dati di localizzazione, storia delle ricerche..), non sono compresi invece i dati generati dal titolare sulla base dei dati raccolti o ottenuti da terze parti.
Può capitare che, come nel caso dei gestori di telefonia, i dati personali dell'interessato siano collegati a dati di terzi (come i numeri dei contatti telefonici), in questo caso l'interessato ha il diritto di riceverli ma se dovesse trasferirli ad altro fornitore, quest'ultimo ha l'obbligo di non processare tali dati di terzi.