Stefano Nanni, avvocato, è esperto nelle materie convenzionalmente ricomprese nella legal compliance dell’attività d’impresa (privacy, salute e sicurezza sui luoghi di lavoro, 231, igiene alimentare, antiriciclaggio) e diritto delle nuove tecnologie; è Certified Data Protection Pratictioner certificato dalla Irish Computer Society; è relatore in seminari a titolo divulgativo e formativo in dette materie. Tommaso Coretto, avvocato, è esperto in materia privacy e responsabilità amministrativa degli enti (D.Lgs. 231/01).
euro 14,00 www.sefeditrice.it
Regolamento Generale sulla Protezione dei Dati
Il nuovo regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 è prossimo a entrare in vigore. Secondo gli intenti dichiarati, questo nuovo regolamento generale guarda al passato perché consolida l’esperienza maturata anche a livello delle singole nazioni nella comprensione degli interessi e dei diritti fondamentali della persona; ma al tempo stesso guarda avanti allo scopo di offrire un alveo solido per lo sviluppo legittimo di nuove iniziative di conoscenza e valorizzazione economica di questa nuova risorsa rappresentata dai dati e dalla loro interconnessione. Il testo vuole essere un compagno di viaggio, se non tascabile, almeno a portata di mano per chiunque si trovi, nella propria postazione di lavoro o a casa, a doversi interrogare su quali siano i diritti, le facoltà, gli strumenti per farli valere, gli obblighi e gli oneri da tenere in considerazione nel momento in cui si trattano dati personali.
Regolamento Generale sulla Protezione dei Dati Normativa e alcune Note a cura di
Stefano Nanni Tommaso Coretto
Regolamento Generale sulla Protezione dei Dati Normativa e alcune Note
a cura di
Stefano Nanni Tommaso Coretto
SocietĂ
Editrice Fiorentina
Š 2018 Società Editrice Fiorentina via Aretina, 298 - 50136 Firenze tel. 055 5532924 info@sefeditrice.it www.sefeditrice.it isbn 978-88-6032-467-2 Proprietà letteraria riservata Riproduzione, in qualsiasi forma, intera o parziale, vietata
in collaborazione con
Studio legale Cavera Nanni via Traversa Fiorentina, 10 59100 Prato tel. 0574 546349 info@caverananni.it www.caverananni.it
Indice
XI Introduzione XVII Nota di edizione Capo I Disposizioni generali 4 Articolo 1 Oggetto e finalità 7 Articolo 2 Ambito di applicazione materiale 9 Articolo 3 Ambito di applicazione territoriale 11 Articolo 4 Definizioni Capo II Principi 18 Articolo 5 Principi applicabili al trattamento di dati personali 19 Articolo 6 Liceità del trattamento 24 Articolo 7 Condizioni per il consenso 26 Articolo 8 Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione 27 Articolo 9 Trattamento di categorie particolari di dati personali 31 Articolo 10 Trattamento dei dati personali relativi a condanne penali e reati 31 Articolo 11 Trattamento che non richiede l’identificazione Capo III Diritti dell’interessato 33 Sezione 1 Trasparenza e modalità 33 Articolo 12 Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato 35 Sezione 2 Informazione e accesso ai dati personali 35 Articolo 13 Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato 37 Articolo 14 Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato 40 Articolo 15 Diritto di accesso dell’interessato
41 Sezione 3 Rettifica e cancellazione 41 Articolo 16 Diritto di rettifica 42 Articolo 17 Diritto alla cancellazione («diritto all’oblio») 44 Articolo 18 Diritto di limitazione di trattamento 45 Articolo 19 Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento 45 Articolo 20 Diritto alla portabilità dei dati 47 47 48
Sezione 4 Diritto di opposizione e processo decisionale automatizzato relativo alle persone fisiche Articolo 21 Diritto di opposizione Articolo 22 Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione
50 Sezione 5 Limitazioni 50 Articolo 23 Limitazioni Capo IV Titolare del trattamento e responsabile del trattamento 53 Sezione 1 Obblighi generali 53 Articolo 24 Responsabilità del titolare del trattamento 54 Articolo 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita 56 Articolo 26 Contitolari del trattamento 57 Articolo 27 Rappresentanti di titolari del trattamento o dei responsabili del trattamento non stabiliti nell’Unione 58 Articolo 28 Responsabile del trattamento 61 Articolo 29 Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento 62 Articolo 30 Registri delle attività di trattamento 64 Articolo 31 Cooperazione con l’autorità di controllo 64 Sezione 2 Sicurezza dei dati personali 64 Articolo 32 Sicurezza del trattamento 65 Articolo 33 Notifica di una violazione dei dati personali all’autorità di controllo 67 Articolo 34 Comunicazione di una violazione dei dati personali all’interessato 69 Sezione 3 Valutazione d’impatto sulla protezione dei dati e consultazione preventiva 69 Articolo 35 Valutazione d’impatto sulla protezione dei dati 72 Articolo 36 Consultazione preventiva 74 Sezione 4 Responsabile della protezione dei dati 74 Articolo 37 Designazione del responsabile della protezione dei dati 76 Articolo 38 Posizione del responsabile della protezione dei dati 77 Articolo 39 Compiti del responsabile della protezione dei dati
78 Sezione 5 Codici di condotta e certificazione 78 Articolo 40 Codici di condotta 80 Articolo 41 Monitoraggio dei codici di condotta approvati 81 Articolo 42 Certificazione 83 Articolo 43 Organismi di certificazione Capo V Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali 86 Articolo 44 Principio generale per il trasferimento 87 Articolo 45 Trasferimento sulla base di una decisione di adeguatezza 91 Articolo 46 Trasferimento soggetto a garanzie adeguate 93 Articolo 47 Norme vincolanti d’impresa 96 Articolo 48 Trasferimento o comunicazione non autorizzati dal diritto dell’Unione 96 Articolo 49 Deroghe in specifiche situazioni 99 Articolo 50 Cooperazione internazionale per la protezione dei dati personali Capo VI Autorità di controllo indipendenti 101 Sezione 1 Indipendenza 101 Articolo 51 Autorità di controllo 102 Articolo 52 Indipendenza 103 Articolo 53 Condizioni generali per i membri dell’autorità di controllo 104 Articolo 54 Norme sull’istituzione dell’autorità di controllo 105 105 106 108 110 113
Sezione 2 Competenza, compiti e poteri Articolo 55 Competenza Articolo 56 Competenza dell’autorità di controllo capofila Articolo 57 Compiti Articolo 58 Poteri Articolo 59 Relazioni di attività
Capo VII Cooperazione e coerenza 114 Sezione 1 Cooperazione 114 Articolo 60 Cooperazione tra l’autorità di controllo capofila e le altre autorità di controllo interessate 116 Articolo 61 Assistenza reciproca 118 Articolo 62 Operazioni congiunte delle autorità di controllo 119 119 120 122 123 124
Sezione 2 Coerenza Articolo 63 Meccanismo di coerenza Articolo 64 Parere del comitato europeo per la protezione dei dati Articolo 65 Composizione delle controversie da parte del comitato Articolo 66 Procedura d’urgenza Articolo 67 Scambio di informazioni
124 124 125 125 128 128 129 129 129 130
Sezione 3 Comitato europeo per la protezione dei dati Articolo 68 Comitato europeo per la protezione dei dati Articolo 69 Indipendenza Articolo 70 Compiti del comitato Articolo 71 Relazioni Articolo 72 Procedura Articolo 73 Presidente Articolo 74 Compiti del presidente Articolo 75 Segreteria Articolo 76 Riservatezza
Capo VIII Mezzi di ricorso, responsabilità e sanzioni 131 Articolo 77 Diritto di proporre reclamo all’autorità di controllo 132 Articolo 78 Diritto a un ricorso giurisdizionale effettivo nei confronti dell’autorità di controllo 133 Articolo 79 Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento 134 Articolo 80 Rappresentanza degli interessati 135 Articolo 81 Sospensione delle azioni 136 Articolo 82 Diritto al risarcimento e responsabilità 137 Articolo 83 Condizioni generali per infliggere sanzioni amministrative pecuniarie 141 Articolo 84 Sanzioni Capo IX Disposizioni relative a specifiche situazioni di trattamento 142 Articolo 85 Trattamento e libertà d’espressione e di informazione 143 Articolo 86 Trattamento e accesso del pubblico ai documenti ufficiali 144 Articolo 87 Trattamento del numero di identificazione nazionale 144 Articolo 88 Trattamento dei dati nell’ambito dei rapporti di lavoro 145 Articolo 89 Garanzie e deroghe relative al trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici 148 Articolo 90 Obblighi di segretezza 149 Articolo 91 Norme di protezione dei dati vigenti presso chiese e associazioni religiose Capo X Atti delegati e atti di esecuzione 151 Articolo 92 Esercizio della delega 152 Articolo 93 Procedura di comitato
Capo XI Disposizioni finali 153 Articolo 94 Abrogazione della direttiva 95/46/CE 153 Articolo 95 Rapporto con la direttiva 2002/58/CE 154 Articolo 96 Rapporto con accordi precedentemente conclusi 154 Articolo 97 Relazioni della Commissione 155 Articolo 98 Riesame di altri atti legislativi dell’Unione in materia di protezione dei dati 155 Articolo 99 Entrata in vigore e applicazione 157 Note Appendici 161 Appendice 1 Tabella di corrispondenza/articolo 163 Appendice 2 Giurisprudenza comunitaria: alcuni casi 175 Appendice 3 GDPR/Codice Privacy: cosa cambia e cosa non cambia
Introduzione
Con l’entrata in vigore, ormai prossima, del nuovo Regolamento Europeo sulla protezione dei dati si fissano gli argini all’interno dei quali è legittimo sperare che il fiume delle idee scorra con crescente portata e velocità. Non si tratta, come è noto, del primo atto normativo sull’argomento. Anzi, nel biennio trascorso dalla pubblicazione del nuovo Regolamento, molti dei suoi commentatori si sono soffermati sulle problematiche di raccordo tra legislazione esistente (prevalentemente nazionale) e questa nuova di marca europea. Si tratta, non solo per gli intenti dichiarati dall’alto, ma anche da un’esame fatto dal basso della pratica in cui chi scrive si trova coinvolto, di un significativo passo in avanti nella comprensione del fenomeno, sia in fatto che in diritto. La frontiera di un’adeguata tutela degli interessi e dei diritti in gioco, quando si parla di privacy e protezione dati, è costantemente da riposizionare, se non altro per la rapidità del processo tecnologico. Ma la normativa, come ogni nuova regola, consolida la comprensione cui si è pervenuti fornendo la base per l’interpretazione nel momento in cui essa è richiesta. La tutela degli interessi e dei diritti in materia di dati personali ha da prenderli in esame sotto un duplice profilo che, con un perdonabile gioco di parole, potrebbero essere così definiti: “dati come risorsa” e “dati come riserva”. Che siano una “risorsa” cruciale per lo sviluppo culturale, sociale ed economico, oggi come nel prossimo futuro, è ormai pacifico. Le potenzialità di questa risorsa, sebbene i suoi confini siano ancora tutti da esplorare, appaiono già chiare, tanto da rappresentare uno dei segni distintivi del “cambiamento d’epoca”, anziché dell’epoca di cambiamento, che stiamo vivendo. Al contempo, i dati popolano una “riserva” racchiusa entro linee di confine anch’esse mobili, tanto quanto lo è la dimensione che, giorno dopo giorno, stiamo scoprendo abbia il diritto alla riservatezza delle persone.
XII | Introduzione
Di tale diritto, è noto che non si trovi esplicito riferimento nella nostra carta costituzionale, a differenza di quelle di altri paesi europei. Si debbono perciò all’elaborazione interpretativa, frutto di singoli casi giurisprudenziali, le prime conquiste nel percorso di comprensione ed emersione di questo specifico e fondamentale diritto della persona. Non a caso si ricorda che ex facto oritur jus. Sia per le aspettative di cui si è dichiaratamente fatto carico, sia per lo spessore dell’impegno profuso e del contributo ricevuto dalle singole autorità nazionali dei paesi membri, nonché per l’emergenza delle criticità sulle quali alcuni fatti di cronaca hanno fatto aprire gli occhi, il GDPR è destinato a rappresentare un riferimento ineludibile per tante attività d’impresa nelle quali siano coinvolti i dati personali. Sarà, il GDPR, l’argine non solo a protezione dei comportamenti illeciti ma anche a supporto dello sviluppo di nuovi trattamenti: una nuova base di conoscenza a disposizione degli imprenditori che vogliano esplorare nuove attività (moltiplicatori di nuove idee e nuove start up) così come dei responsabili delle funzioni aziendali più tradizionali, in tutti i settori, dagli addetti al marketing, al commerciale, all’amministrazione del personale e della finanza, giuristi e legali. Grazie alle tecnologie disponibili, infatti, chiunque nel contesto di un’attività d’impresa, sebbene si possa ordinare in una graduatoria la sensiblità dei trattamenti, può accedere al trattamento di dati personali. Dalla casa di cura alla palestra di fitness, dal negozio della catena di grande distribuzione al museo, dalla compagnia di assicurazioni alla casa farmaceutica, a proposito di settori; e, a proposito di funzioni, dal responsabile marketing (per le campagne promozionali) al direttore risorse umane (tanto per i dati dei dipendenti fino ai cv degli aspiranti), dall’ufficio legale fino, per i pionieri che già l’abbiano, al responsabile data science interno. Probabilmente è venuto il momento di considerare la cultura e la formazione in materia privacy un requisito che accompagni qualsiasi job description. Né più né meno di quanto accade, ad esempio, per la sicurezza sui luoghi di lavoro, perché basta frequentare quel luogo di lavoro, calcandone i pavimenti o subendone l’illuminazione o l’impatto acustico, piuttosto che respirandone l’aria, per essere coinvolto nei rischi che lì sono presenti. Sarà capitato a molti, all’ingresso di certi campus industriali, di ricevere, da parte del gentile personale dell’accettazione, un piccolo pamphlet inserito nell’apposita custodia, con la preghiera di mantenerlo al collo durante tutta la permanenza nel sito. In quel documento vi si possono leggere le indicazioni sui referenti sicurezza, sulle vie di esodo o sul piano emergenza per il caso incendio, ecc. Di norma, malgrado l’importanza vitale che in certe situazioni di pericolo quelle informazioni potrebbero assumere per molti, pochi po-
Introduzione | XIII
trebbero averle lette. Da questo punto di vista, né più né meno, è ciò che avviene al momento di scorrere un’informativa privacy all’atto di registrarsi per entrare nella comunità di una piattaforma social piuttosto che in quella cui mi ha abilitato a utilizzare il cliente o il fornitore, senza perciò consapevolezza dei rischi e dei comportamenti da avere in caso di pericolo attuale o di danno ormai avvenuto. Questo casuale accostamento delle prassi in materia di privacy con quelle pertinenti altre aree facenti parte della così detta legal compliance suggerisce un altro paragone, più specifico, grazie al quale emerge uno dei fondamentali tratti innovativi del GDPR. Nel campo dell’antinfortunistica, era il 1994 l’anno in cui entrava in vigore la legge “626”. Essa segnò una vera rivoluzione nell’approccio del legislatore al tema della prevenzione degli infortuni e delle malattie sui luoghi di lavoro. La normativa previgente sull’argomento, risalente agli anni ’50, approcciava il tema della tutela secondo un modello prescrittivo di stampo predefinito: era il legislatore, in altre parole, a dettare cosa fare e come comportarsi. Con la 626 si modificava radicalmente questo approccio: al datore di lavoro, inteso come vertice dell’organizzazione (CdA o AD/CEO o DG) e gerente in concreto del processo produttivo, veniva a essere attribuito non solo e soltanto l’onere di approntare le misure di tutela sul campo ma, prima e soprattutto, l’individuazione dei pericoli e la valutazione dei rischi che egli, nel suo ruolo (ancora oggi indelegabile ad altri), meglio di chiunque altro (sebbene con molti ruoli a supporto) avrebbe potuto comprendere e stimare. Nasceva così il “DVR”, documento di valutazione rischi, primo e fondamentale atto ancora oggi, per l’organizzazione, gestione e controllo della salute e sicurezza su qualunque luogo di lavoro. Dunque, sono oltre 20 anni che il legislatore ha eletto il vertice dell’impresa (il datore di lavoro, appunto) come il ruolo migliore cui attribuire l’onere di rispondere alla domanda: quali attività del processo produttivo comportano pericoli, e in caso, quali sono i rischi per l’integrità psico-fisica del lavoratore? E non solo questo è il bene di cui viene richiesta tutela: anche la protezione della comunità e dell’ambiente circostante il luogo di lavoro formano l’oggetto della stessa valutazione dei rischi. Solo due anni dopo, con il D.Lgs. 494/96, lo stesso approccio veniva utilizzato nel riscrivere la nuova normativa sulla sicurezza nei cantieri. La complessità di quello specifico luogo di lavoro fece sì che i ruoli di garanzia fossero diversamente specificati e distribuiti, dal committente fino all’ultimo dei subappaltatori presenti. Ma anche in questo caso, non venne meno la volontà di mantenere valore propedeutico alla valutazione dei rischi quale driver per tutte le conseguenti misure di preven-
XIV | Introduzione
zione. Ecco perciò la figura del coordinatore per la sicurezza, cui veniva ed è tuttora demandata una complessa attività che, documentalmente, si traduce nella redazione e gestione dinamica dell’atto noto come “PSC”, il Piano per la Sicurezza e Coordinamento del singolo cantiere. Identico approccio è quello che è stato utilizzato in altri ambiti, sempre a proposito di legal compliance. Si pensi alla sicurezza ed igiene dei prodotti alimentari che, secondo lo standard preso a riferimento dall’insieme dei regolamenti UE noti come “pacchetto igiene” del 2004, ossia l’Haccp, parimenti attribuisce al vertice aziendale (in quel caso denominato OSA, Operatore del Settore Alimentare) l’onere di farsi carico della valutazione dei rischi, dell’individuazione dei punti critici che lungo il processo produttivo meritano controlli di routine o meno per prevenirli, fino all’obbligo di attivare meccanismi di allerta al momento in cui siano ravvisati pericoli concreti per la salute, dell’individuo e della collettività. E ancora, almeno in italia, nel trattare la materia della prevenzione degli illeciti compiuti nell’interesse o a vantaggio delle società (D.Lgs. 231/2001), viene replicato lo stesso approccio, dato che al vertice (i.e. CdA) della società, per salvarla dalle sanzioni altrimenti contro di essa applicabili, viene assegnato l’onere di predisporre un modello organizzativo, di gestione e controllo interno, alla cui base sta la valutazione del rischio che le attività d’impresa possano scivolare nel compimento di taluni reati, da quelli di corruzione, all’ambiente, all’antinfortunistica, ecc. Da lì, la chiave di volta di tale modello esimente, sarà l’insieme di procedure e protocolli interni che la stessa società ha l’onere di definire affinché possa dar prova di aver adottato misure adeguate e idonee alla prevenzione di illeciti. Il filo rosso che lega i contesti normativi appena citati è la protezione di beni giuridici di alto rilievo (salute, imparzialità della Pubblica amministrazione, ambiente e riservatezza) che per mano del legislatore viene, di fatto, a essere attribuita all’organizzatore e gestore dell’attività d’impresa. Nel presupposto che esso sia il miglior soggetto in grado di individuare i pericoli e valutare i rischi che questa attività (in sé pacificamente lecita) comporta per la salvaguardia di beni giuridici (prevenendone l’illecito pregiudizio). Analisi e valutazioni in ragione – e solo per effetto – delle quali, si perviene alla definizione delle misure di prevenzione e protezione. Non più misure definite a-priori, dal legislatore o da altro ramo della autorità pubblica: al loro posto si sostituiscono le misure scelte dal vertice dell’impresa (datore di lavoro, OSA, o titolare) ossia, quelle “adeguate”, secondo un criterio di ragionevole idoneità. Il che significa, proseguendo nella logica di questo approccio, averne appena messo in evidenza il secondo tratto distintivo. A divenire obbligatoria, in pratica, non è più l’adozione di “certe” misure, magari “minime”, ma comunque riconducibili a un set pre-
Introduzione | XV
definito dalla legge. Piuttosto, ciò che viene richiesto, è l’adozione di misure “idonee” e “adeguate”, ossia tutte quelle che il ruolo di vertice dell’organizzazione e gestione dell’attività ha ritenuto tali. Dunque, la valutazione dei rischi, in primis, e la definizione di misure adeguate e idonee a prevenire o proteggere certi beni giuridici, in secundis, sono l’accoppiamento cardine sul quale ruotano le norme nelle materie suddette, da oltre 20 anni. Tutto ciò, per la privacy, potrebbe dirsi un nuovo approdo e, dal prossimo 25 maggio, data di entrata in vigore del GDPR, un nuovo inizio. Infatti, tanto nella prima edizione del Codice della Privacy del 1996 (ossia due anni dopo il D.Lgs. 626/94 e lo stesso anno del D.Lgs. 494/96), quanto nella seconda del 2003 (due anni dopo il D.Lgs. 231/2001 e un anno prima i regolamenti del c.d. “Pacchetto igiene 2004”), la tutela della riservatezza aveva mantenuto un approccio diverso. Curiosa, in questo senso, è stata la storia del DPS, il Documento Programmatico di Sicurezza, soppresso con il decreto legge “semplifica Italia” n. 5/2012. Istituitone l’obbligo di redazione nel Codice Privacy del 2003, il DPS rappresentava il documento nel quale, entro il 31 marzo di ciascun anno, il vertice della società o dell’ente aveva l’onere di mettere nero su bianco quali trattamenti riteneva rilevanti e quali misure di protezione, fisica e logica, si proponeva di approntare al riguardo. Una via intermedia tra una mera politica d’intenti e un piano di misure coerente con un’analitica valutazione dei rischi, come tale, appunto, non richiesta dal DPS. Probabilmente, fu la sua natura “né carne né pesce” a farne decretare l’inutilità, ma è pur vero che la sua abrogazione non fu accompagnata dalla sua sostituzione, in materia di privacy, con qualcosa di paragonabile al DVR in materia antinfortunistica, Piano di Autocontrollo in ambito Haccp, o MOG in campo D.Lgs. 231/01. Restava in piedi l’Allegato B del Codice Privacy, termine di riferimento per qualunque titolare del trattamento fosse chiamato a cimentarsi con l’individuazione delle misure di sicurezza da adottare internamente alla propria impresa o ente. Malgrado il Codice non escludesse di ampliarne il novero, quelle indicate nell’Allegato B erano le “misure minime” e, di fatto, esse divennero e sono rimaste la soglia salvacondotto. Con il nuovo GDPR, invece, l’accoppiamento tra “valutazione rischi” e “individuazione misure adeguate di prevenzione-protezione” diventa il cardine su cui ruota in concreto, come negli altri contesti, anche la tutela in materia di riservatezza e protezione dei dati personali. Non solo. Se prima, ad esempio, un trattamento di “profilazione” dava adito ad una notifica al Garante che implicava la necessità di dichiarare la conformità normativa del titolare di quello specifico trattamento rispetto alle misure minime di sicurezza, in futuro ciò non sarà
XVI | Introduzione
più sufficiente. Anzi, di questo schema che subordinava lo specifico trattamento a una previa “dichiarazione”, sotto la responsabilità del titolare, dell’aver prima adottato tutte le misure minime prescritte dal Codice, esponendosi così a un eventuale e successivo controllo da parte dell’Autorità Garante sulla verità dei fatti dichiarati, verrà a mancare il presupposto e, quindi, il senso. Con la Valutazione d’impatto (Privacy Impact Assessment), infatti, un trattamento dati che implichi la profilazione di dati personali dovrà essere oggetto di un più sistematico approccio, inclusivo della valutazione dell’entità del rischio e della adeguatezza delle misure di mitigazione preventivamente elaborate dal titolare nello specifico. E di tutto ciò sarà formato un fascicolo da notificare al Garante sottoponendone i contenuti al suo esame. Dietro queste norme, fa capolino anche il principio della c.d. accountability: non è importante solamente prendere decisioni adeguate, ma altrettanto lo è documentare i criteri seguiti per giungervi. E allora, il sindacato sulla PIA da parte del Garante, così come glielo avrà squadernato il titolare, non avrà più a riferimento il raggiungimento di una soglia minima (presupposto che è venuto meno) quanto piuttosto la ragionevolezza del percorso svolto per intero. È una sfera di responsabilità, nelle valutazioni, e, si potrebbe dire, di creatività, nelle soluzioni, quella in cui si dovrà muovere il titolare. Nell’interesse di chi? Dell’interessato (o data subject). E sarà certamente interessante, nel percorso che avrà inizio il prossimo 25 maggio, verificare cosa ne sarà dell’interpretazione dei ruoli garanti e, quindi, dei distinti livelli di responsabilità che saranno rinvenuti in capo ai diversi soggetti dell’organigramma aziendale, tanto del data controller che del data processor. Per non parlare del DPO, il data processor officer, le cui analogie con l’RSPP (antinfortunistica), l’OdV (231/01), RPCT (anticorruzione e trasparenza) saranno oggetto di stimolanti dibattiti, teorici e pratici. Questa pubblicazione ha lo scopo di essere uno strumento e compagno di viaggio, se non proprio tascabile, almeno a portata di mano, sulla scrivania di coloro – e sono tanti – che, per realizzare gli obiettivi della propria job description, si troveranno a consultare, raccogliere, leggere, archiviare, la nuova risorsa dell’epoca tecnologica: i dati personali. Stefano Nanni 3 aprile 2018
Nota di edizione
Il testo del Regolamento Generale sulla Protezione dei Dati UE/675/2016 (“GDPR”) è pubblicato in questo libro secondo un ordine diverso da quello utilizzato nella sua versione originale, con l’intento di facilitarne la comprensione per ogni singolo argomento. Al termine di ciascuno degli articoli, mantenuti nel loro ordine, vengono riportati i “considerando” pertinenti. I “considerando” del GDPR forniscono in modo sintetico e chiaro la descrizione dei presupposti e delle finalità di tutte le norme contenute negli articoli, talvolta esemplificandone l’attuazione più corretta ovvero anticipandone le possibili criticità interpretative. Per tale motivo è stato ritenuto che il loro valore, lungi dall’essere quello di una mera articolazione di premesse, potesse essere apprezzato dal lettore che abbia necessità di consultarli appresso alle singole disposizioni. Al termine del singolo articolo sono richiamate le sanzioni previste in caso di violazione del precetto ivi contenuto. Altre note in calce al singolo articolo sono di riferimento ai contenuti dell’Appendice (casistica giurisprudenziale e schede esplicative). Infine, per quanto riguarda le Note che il testo ufficiale già contiene al proprio interno, sia nei considerando che negli articoli, esse sono pubblicate al termine del testo anziché al piede della pagina dove si trova il rimando che, in ogni caso, ha mantenuto la numerazione originale.
Ringraziamenti L’idea di questo libro nasce nell’ambito della collaborazione con i colleghi di GPA Academy; a Sofia Gouveia Pereira e João Gabriel, alla loro professionalità ed entusiasmo, va dunque un sincero grazie da parte dei curatori.