FAQ - domande frequenti

Da tempo in Italia sono attive le cosiddette “autorità amministrative indipendenti”. Si tratta di enti chiamati a svolgere attività di regolazione e vigilanza in settori ritenuti particolarmente delicati e che, per questo, richiedono un elevato livello di autonomia. Tra queste, rientra anche il garante per la protezione dei dati personali, meglio noto come garante della privacy.

Il Garante per la Protezione dei Dati Personali è un’autorità indipendente che svolge il ruolo di Autorità di Controllo in materia di protezione dei dati.

Il Garante si occupa di:
• ordinare ispezioni presso il titolare dei dati
• verificare la conformità alla legge dei trattamenti e prescrivere ai titolari le misure da adottare
• esaminare i reclami
• limitare, sospendere o vietare i trattamenti in violazione delle norme
• irrogare sanzioni correttive
• Promuovere codici di condotta
• Segnalare al governo nuove proposte normative
• predisporre una relazione annuale sull'attività svolta da presentare al Governo e al Parlamento

Il DPO (Data Protection Officer) è una nuova figura prevista dal GDPR, una figura di raccordo tra il Titolare e il Garante, ed è il responsabile della protezione dei dati all’interno dell’azienda.

Il DPO è obbligatorio per le amministrazioni e gli enti pubblici, Se l'attività principale svolta dal titolare o dal responsabile del trattamento consiste nel trattamento di dati che per la loro natura, oggetto o finalità, richiedono il controllo regolare e sistematico degli interessati su larga scala, oppure se le attività principali del titolare riguardano categorie particolari di dati.

I compiti del DPO sono: • Informare e fornire consulenza al titolare, al responsabile o agli addetti al trattamento • Sorvegliare l’osservanza del GDPR • Fornire pareri • Cooperare con l’autorità di controllo (il Garante per la Protezione dei Dati)

In sintesi, il DPO è una figura esterna all’azienda che collabora con il titolare fornendo pareri e supervisionando la sua attività, ma è anche una figura di mediazione nel rapporto interessato-titolare-Garante.

L’interessato, infatti, può contattare il responsabile per la protezione dei dati in qualsiasi momento per far valere i propri diritti e, il Garante, può fare lo stesso per svolgere la propria attività di ispezione.

Il titolare, per rispettare il principio di Accountability, deve adottare tutte le misure tecniche e organizzative idonee per rendere il trattamento dei dati il più sicuro possibile. Questo significa che un’azienda che tratta dati su larga scala, o dati di tipo particolare, dovrà attuare misure più stringenti rispetto ad un’azienda con un bacino di utenza minore che tratta dati di tipo comune. Per misure tecniche si intendono tutte quelle operazioni che rendono sicuri i dati praticamente, come ad esempio installare degli antivirus sui pc aziendali, avere dei firewall che proteggano la rete, fare dei backup periodici in un server esterno o in un cloud, ecc. Sono, in pratica, tutte quelle misure di sicurezza che impediscano violazioni (data breach). Con misure organizzative, invece, si intendono tutti quelli adempimenti che conformino l’azienda al GDPR, che rispettino il principio di “Accountability”, come ad esempio il registro trattamenti, la valutazione dei rischi, l’organigramma aziendale, la formazione degli addetti, ecc. Ma cosa significa “Accountability”? Per Accountability si intende l’obbligo di responsabilizzazione che grava in capo al titolare del trattamento, il quale deve adottare tutte le misure tecniche e organizzative per rendere il trattamento dei dati sicuro e a norma. Il titolare deve sempre essere in grado di dimostrare di aver fatto tutto il possibile per massimizzare la protezione dei dati trattati e di essere in conformità con quanto disposto dal GDPR. Quindi, in conclusione, il legislatore non ha voluto redigere un elenco di misure tecniche e organizzative standard ma, al contrario, intende lasciare libera scelta al titolare ponendo l’attenzione non tanto sui mezzi, ma sul fine, ovvero la protezione dei dati. Ogni titolare può agire come meglio crede, l’importante è che venga rispettato il principio di accountability e che il rischio per i dati sia basso.

I cookie sono frammenti di dati memorizzati sul computer e utilizzati per tracciare l’attività online degli utenti e si dividono in Cookie tecnici e non tecnici. I cookie tecnici servono a garantire il corretto funzionamento del sito, non richiedono il consenso dell’interessato ma vanno comunque indicati nell’informativa. I cookie non tecnici, invece, si dividono in: • Cookie di profilazione, che permettono di creare un profilo personale del navigatore sulla base dei suoi comportamenti e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete. • Cookie di terze parti, sono i cookie installati su un determinato sito, ma utilizzano dei sistemi informatici di cui non si ha il controllo diretto e per scopi e modalità di trattamento sulle quali allo stesso modo non si ha controllo diretto Con il provvedimento n. 231 del 10 giugno 2021, pubblicato sulla Gazzetta Ufficiale n.163 del 9 luglio 2021, Il Garante per la Protezione dei Dati Personali ha enunciato i principi a cui tutti i titolari dei siti internet dovranno conformarsi entro il 10/01/2022. Per essere conforme alle nuove Linee guida il banner dei cookie dovrà essere ben visibile sulla pagina web e dovrà offrire la possibilità agli utenti di proseguire la navigazione senza essere tracciati cliccando sulla X in alto a destra. Per quanto riguarda la gestione dei consensi, viene confermato l'obbligo di sola informativa per quanto riguarda i cookie tecnici, mentre resta necessaria la richiesta del consenso per i cookie di profilazione.

Il GDPR, dall’articolo 15 all’articolo 23, elenca tutti i diritti dell’interessato. Oltre al diritto di essere informato (e quindi l’obbligo di informativa da parte del titolare), esistono numerosi diritti per l’interessato che sono direttamente legati agli obblighi del titolare. Il primo diritto citato dal Regolamento è il diritto di accesso, ovvero il diritto dell’interessato di ottenere dal titolare la conferma che sia o meno in corso un trattamento di dati che lo riguardano e, in tal caso, di ottenere l’accesso a tutte le informazioni inerenti al trattamento. Altri due diritti fondamentali sono il diritto di rettifica e il diritto alla cancellazione (o diritto all’oblio). Per quanto riguarda il primo, l’interessato può sempre ottenere dal titolare la rettifica dei dati inesatti che lo riguardano. Stesso diritto vale per la cancellazione, alla quale provvede il titolare senza ingiustificato ritardo. Per diritto all’oblio si intende il diritto alla cancellazione di dati resi pubblici, come ad esempio notizie o articoli di giornale. Ulteriori diritti dell’interessato sono il diritto di limitazione di trattamento, il diritto alla portabilità dei dati e il diritto di opposizione. Il titolare ha il dovere di fare in modo che l’interessato possa esercitare i propri diritti senza alcun impedimento.

Per “dato personale” si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile. I dati possono essere di tipo comune, particolare o giudiziario.

I dati di tipo comune sono i dati che permettono l’identificazione della persona fisica, per esempio nome e cognome, indirizzo di casa, luogo e data di nascita, indirizzo e-mail, indirizzo IP se collegato ad altri dati, numero del documento di identità ecc.

Sono considerati dati particolari i dati in grado di rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, l’orientamento sessuale e lo stato di salute.

L’articolo 9 del GDPR vieta il trattamento dei dati particolari, salvo alcune eccezioni, ovvero quando i dati particolari vengono trattati:

• Con consenso espresso dell’interessato • In materia di diritto del lavoro o protezione sociale • Per salvaguardare un interesse vitale • Quando l’interessato li ha resi pubblici • Per far valere un diritto in sede giudiziaria • Per salvaguardare un interesse pubblico o la sanità pubblica • In ambito di medicina preventiva o medicina del lavoro • Per una ricerca scientifica o per un pubblico interesse superiore I dati di tipo giudiziario sono quelli che riguardano le condanne penali e reati e possono essere trattati solo sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dalla legge (art.10 GDPR).

Il titolare del trattamento stabilisce le finalità e le modalità del trattamento dei dati personali e nomina all’interno dell’azienda gli addetti al trattamento, che sono coloro che materialmente effettuano le operazioni sui dati.
Non è sufficiente che gli addetti vengano nominati, infatti è necessario che questi ultimi ricevano anche un’adeguata formazione da parte del titolare.

Il responsabile del trattamento, invece, tratta i dati personali solo per conto del titolare del trattamento ed è, di solito, un terzo esterno all’azienda. Gli obblighi del responsabile del trattamento nei confronti del titolare del trattamento devono essere specificati in un contratto o in un altro atto giuridico, come ad esempio un atto di nomina. Il titolare, nel rispetto del principio di accountability, deve verificare che il Responsabile del trattamento presenti garanzie adeguate in materia di protezione dei dati.

Il consenso è l’autorizzazione fornita dall’interessato necessaria per determinati tipi di trattamento, ad esempio l’invio di comunicazioni pubblicitarie o altre attività di marketing.

L’informativa, invece, è una comunicazione rivolta all’interessato sulle modalità e finalità del trattamento adottate dal titolare.

L’informativa indica tutti i trattamenti che verranno effettuati, i tipi di dati trattati, le finalità del trattamento, per quanto verranno conservati i dati e le modalità con cui l’interessato può esercitare i propri diritti.

L’informativa deve essere resa disponibile all’interessato prima del trattamento, o al più tardi nel momento in cui il trattamento ha inizio e può essere redatta in forma scritta oppure, in alcuni casi, può essere resa oralmente.

In sintesi, mentre il consenso è una delle condizioni per far sì che un trattamento sia lecito, l’informativa è il mezzo tramite cui si finalizza il principio di trasparenza del trattamento.

Il titolare esaurisce i suoi obblighi di informare l’interessato circa i trattamenti che lo riguardano, e l’interessato vede concretizzato il proprio diritto ad essere informato su tutto ciò che riguarda i suoi dati.

Concludendo, per i trattamenti che prevedono come condizione di liceità il consenso, esso va richiesto e deve essere espresso, libero e inequivocabile affinché possa essere autorizzato il trattamento. Per i trattamenti che appartengono alla sfera delle altre condizioni di liceità, per le quali non è richiesto il consenso (obbligo contrattuale, adempimento legale, legittimo interesse, ecc), è obbligatorio comunque rendere disponibile un’informativa completa per l’interessato.

l titolare è il soggetto che effettua il trattamento e stabilisce le finalità e le modalità dello stesso, non viene attribuito con un atto formale, è semplicemente colui idetermina le finalià e i mezzi del trattamento. .

Ad esempio, un imprenditore è sia titolare dell’impresa e sia titolare dei trattamenti che riguardano i suoi dipendenti, i clienti, i fornitori.

L’interessato, invece, è la persona fisica a cui si riferiscono in dati personali oggetto del trattamento.
v Nell’esempio precedente la categoria degli interessati è rappresentata dai dipendenti, dai clienti, dai fornitori, ovvero coloro i quali subiscono il trattamento da parte del titolare.

Se, per esempio, una persona fisica, navigando in rete, accede ad un sito internet e si registra inserendo i propri dati per fare acquisti, il proprietario del sito diventa il titolare del trattamento, mentre l’utente diviene l’interessato.

In conclusione, però, bisogna sottolineare il fatto che il titolare e l’interessato non siano gli unici soggetti presenti in trattamento di dati, ma esistono altre figure, come i responsabili e il DPO, che partecipano attivamente durante il trattamento. Queste figure verranno analizzate nelle prossime FAQ.

Per "trattamento" si intende ogni tipo di operazione svolta sul dato personale. Anche la semplice consultazione viene considerata un “trattamento”. Sono considerati trattamenti tute le seguenti operazioni: Leggere un dato Scrivere un dato Modificare un dato Comunicare un dato Diffondere un dato Un esempio di trattamento dei dati può essere la conservazione in un registro di nomi e di numeri di telefono dei clienti o dei contatti; chiunque acceda a questi dati effettua un trattamento. Il GDPR (Art. 5), definisce i princìpi che devono essere considerati durante un trattamento dei dati personali: i dati devono essere trattati in modo lecito, corretto e trasparente. MA COSA SIGNIFICA TRATTARE DEI DATI IN MODO LECITO? Erroneamente si crede che per trattare i dati ci sia bisogno del consenso. In realtà, il consenso, è solo una delle basi giuridiche che rendono lecito un trattamento. In sintesi, esistono quattro condizioni di liceità che ci consentono di trattare il dato senza ricorrere al consenso: OBBLIGO CONTRATTUALE, ovvero un trattamento è lecito se necessario per l’esecuzione di un contratto tra le parti. Ad esempio la gestione dei dati durante il processo di vendita di un bene o servizio. OBBLIGO DI LEGGE , ovvero un trattamento è lecito quando è necessario per adempiere ad un obbligo di legge, ad esempio la conservazione dei dati di fatturazione di un cliente o i dati di salute e sicurezza nei luoghi di lavoro. LEGITTIMO INTERESSE per il perseguimento di un legittimo interesse del titolare del trattamento (colui che effettua il trattamento). ad esempio per il controllo di qualità INTERESSE PUBBLICO o VITALE ovvero quando il trattamento è necessario per la salvaguardia di interessi vitali, per l’esecuzione di un compito di interesse o salute pubblica. Se è presente una di queste condizioni, allora il trattamento è lecito ANCHE SENZA RICHIEDERE IL CONSENSO. MA COSA SIGNIFICA TRATTARE DEI DATI IN MODO CORRETTO E TRASPARENTE? Trattare i dati in maniera corretta significa trattare i dati nel rispetto dell’interessato, ovvero il “proprietario” di quei dati. Per “trasparente”, invece, si intende la possibilità dell’interessato di avere tutte le informazioni sul trattamento dei dati che lo riguardano. In conclusione, ogniqualvolta venga fatta un’operazione di qualsiasi tipo su dei dati personali, si effettua un trattamento e, ogni trattamento, deve essere “autorizzato” da una delle condizioni di liceità. Inoltre, il titolare, deve trattare i dati correttamente e in modo trasparente. Tutti i trattamenti devono essere elencati e descritti nel registro dei trattamenti.