Il GDPR e gli enti del terzo settore Parte II

Autore: Marco del Fungo

9- Dati Giudiziari dopo paragrafo dati particolari

Il GDPR regola i dati giudiziari all’art. 10, stabilendo che “il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati.

Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell’autorità pubblica”.

Condizioni di Liceità del trattamento

In merito alle basi giuridiche del trattamento deve necessariamente richiamarsi il disposto dell’art. 2 sexies del decreto n. 101/2018 (XV) nel quale espressamente sono citati tra le materie per le quali “si considera rilevante l’interesse pubblico relativo a trattamenti inerenti le “attività socio-assistenziali a tutela dei minori e soggetti bisognosi, non autosufficienti e incapaci” e i “rapporti tra gli enti pubblici e quelli del Terzo Settore”.

L’impatto della nuova disposizione è decisamente significativo consentendo il trattamento delle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

La norma considera rilevante l’interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri nelle seguenti materie inerenti le “attività socio-assistenziali a tutela dei minori e soggetti bisognosi, non autosufficienti e incapaci” e i “rapporti tra gli enti pubblici e quelli del Terzo Settore”.

Al di la’ di quelli che potranno essere gli effetti della nuova base giuridica di trattamento di cui al citato art, 2 sexies il Codice Privacy stabilisce che se l’ente non profit tratta i dati personali comuni e sensibili dei soci per gli scopi statutari e non li comunica a terzi e non li diffonde, non ha l’obbligo di acquisire il consenso / autorizzazione dei soci.

Questa esenzione deve considerarsi esistente anche in base al GDPR, che, all’art. 9 comma 2 lett. d), consente all’associazione l’utilizzo dei dati “particolari” (e a maggior ragione dei dati comuni) dei “membri”, “ex membri” e delle “persone che hanno regolari contatti” con l’ente, anche senza specifico consenso, se tale utilizzo è svolto nell’ambito dell’attività dell’associazione e con adeguate garanzie (di protezione dei dati), con divieto però di comunicazione all’esterno.

Profilo delicato resta quello di capire, ai fini dell’esonero dal consenso, se tra le persone che hanno “contatti regolari con l’ente” possano essere inclusi i beneficiari dell’attività che ricevono dall’associazione un servizio continuativo.

Con riferimento ai beneficiari e comunque ai non soci, possono però applicarsi agli ETS anche altre ipotesi di esclusione del consenso previste dal GDPR.

In particolare, ai sensi dell’art. 6 GDPR (XVI), il consenso non è necessario quando il trattamento dei dati comuni:

– è necessario per adempiere ad un obbligo legale imposto dal diritto dell’UE o dalla legge dello Stato membro;

– è necessario per l’esecuzione di un contratto del quale è parte l’interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato;

– è necessario per l’esecuzione di compiti di interesse pubblico;– è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi che non lega i diritti e le libertà fondamentali dell’interessato (es. le campagne di raccolta fondi).

Ai sensi dell’art. 9 GDPR (xvii), il consenso non è necessario quando il trattamento dei dati “particolari”:

– è necessario per gli adempimenti in materia di diritto del lavoro, sicurezza sociale e protezione sociale;

– è necessario per tutelare un interesse vitale dell’interessato o di altra persona fisica, e costoro non possano prestare il consenso;

– riguarda dati “resi manifestamente pubblici dall’interessato”.

Le norme di cui sopra consentono quindi agli ETS di non chiedere il consenso se il trattamento:

– dei dati comuni e sensibili è necessario per l’adempimento degli obblighi nascenti dal rapporto di lavoro con i propri dipendenti;

– consiste nella comunicazione obbligatoria dei dati comuni all’Agenzia delle Entrate;

– consiste nella comunicazione dei dati comuni degli associati alla compagnia di assicurazione da parte delle ODV ed ETS iscritti ai registri del volontariato (e in futuro al RUNTS) per l’assicurazione obbligatoria;

– di dati comuni serve per eseguire un servizio richiesto dal beneficiario (es. richiesta di trasporto o assistenza domiciliare);

– di dati particolari/sensibili serve per la tutela della vita o incolumità fisica della persona;

– di dati comuni avviene per campagne di raccolta fondi (fermo restando il diritto dell’interessato di opporsi).

In ragione dell’incertezza sull’applicazione dei casi di esonero del consenso, si consiglia di chiedere sempre il consenso ai beneficiari dell’attività se si trattano loro dati particolari/sensibili.

E va comunque tenuto presente:

– che anche in caso di esonero dal consenso, va sempre fornita all’interessato l’informativa, nella quale descrivere specificamente le modalità con cui l’associazione utilizza i dati;

– che i dati sanitari e quei dati idonei a rivelare la vita sessuale non possono essere diffusi nemmeno su consenso dell’interessato.

*

Ecco le caratteristiche del consenso descritte all’art. 7 (XVIII) del GDPR:

– espresso, cioè esplicito e manifestato in modo inequivocabile (non può essere desunto da un comportamento indiretto);

– libero, cioè manifestato liberamente dal soggetto, richiesto in termini non definitivi e non incondizionati. Inoltre, il consenso non può essere imposto se invece è facoltativo (ad esempio l’associazione non potrà imporre all’aderente di prestare il consenso al trattamento dei suoi dati per finalità estranee all’associazione, pena la sua mancata iscrizione);

– specifico, ovvero riferito ad uno o più trattamenti individuati e aventi specifiche finalità, e descritti con linguaggio semplice e chiaro;

– informato, ovvero preceduto dall’informativa di cui all’art. 13;

– sempre revocabile (ovviamente la revoca non comporta l’illegittimità dei trattamenti svolti in precedenza).

Quanto alla forma del consenso, il GDPR non impone sia scritto, ma impone al titolare di “essere in grado di dimostrare” di averlo ottenuto, e quindi è consigliabile ottenere una sottoscrizione dell’interessato o comunque conservare prova dell’avvenuta autorizzazione.

Si possono a tal proposito utilizzare degli accorgimenti quali:

– per quanto riguarda i nuovi soci/aderenti, l’informativa e la richiesta di consenso possono essere allegati o contenuti nella domanda di adesione all’associazione, o scritti nel retro.

– la richiesta di consenso può essere anche spedita via mail, con la richiesta all’interessato di inviare una mail (non automatica) di “conferma” (che l’ente potrà stampare e conservare), quando però gli sia stato reso chiaramente noto che il messaggio di risposta sarà inteso quale autorizzazione al trattamento.

– se l’associazione gestisce un sito web esiste la possibilità di utilizzare il cd. point&click, ovvero di creare attraverso appositi software una pagina web nella quale l’interessato può accedere (anche utilizzando una password appositamente comunicata dal titolare), per fornire i propri dati personali, per essere informato delle modalità del trattamento, e soprattutto per autorizzare il trattamento barrando una o più caselle (che non sia già “preflaggate”).

– il consenso va acquisito una sola volta se il trattamento dei dati non cambia e rispetta le finalità indicate nell’informativa medesima;

– il consenso va richiesto solo a quei soggetti dei quali l’associazione raccoglie, registra o utilizza i dati, e tra costoro non rientrano ovviamente i soggetti beneficiari dell’attività istituzionale che l’ente non identifica.

– se l’associazione ha chiesto e ottenuto il consenso nel vigore del Codice italiano non ha l’obbligo di acquisirlo nuovamente, a meno che i trattamenti che svolge si siano a tal punto modificati da richiedere un’autonoma manifestazione di volontà dell’interessato.

Con riferimento agli interessati che siano minorenni, il consenso va prestato da coloro che esercitano la responsabilità genitoriale o, se esiste, dal tutore. Il GDPR prevede espressamente che il consenso possa essere rilasciato dai minori che abbiano almeno 16 anni, ma, deve ritenersi, solo con riferimento all’offerta diretta di servizi della società dell’informazione” (che sono quei servizi definiti all’articolo 1, par. 1 lett. b) della Direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio, del 9 settembre 2015, che prevede una procedura d’informazione nel settore delle regolamentazioni tecniche e delle regole relative ai servizi della società dell’informazione – – come i servizi forniti “a distanza, per via elettronica e a richiesta individuale”: le piattaforme web, Facebook, Dropbox, i Cloud, ecc.).

La richiesta di autorizzazione/consenso va fatta sottoscrivere personalmente all’interessato e deve essere preceduta dall’informativa di cui all’art. 13 del GDPR. In tal caso, invece di firmare per “presa visione” dell’informativa, l’interessato firmerà per autorizzazione/consenso al trattamento.

La figura dell’autorizzato al trattamento

La figura dell’Autorizzato, (o Incaricato come era indicato dalla disciplina previgente) del Trattamento è in base all’attuale Codice italiano obbligatoria (art. 30), ma non è espressamente prevista dal GDPR, che all’art. 29 (XIX) fa solo riferimento a “soggetti istruiti” dal titolare del trattamento.

A parte l’incertezza terminologica, resta la necessità per l’Associazione titolare nominare come Incaricati o Autorizzati o Designati al trattamento tutti i soggetti che all’interno e per conto dell’Associazione trattano dati personali (Presidente, consiglieri, Volontari, dipendenti, ecc.).

Quindi è utile e anzi necessario continuare a rispettare i seguenti accorgimenti:

– gli incaricati/autorizzati operano sotto la diretta autorità del Titolare, attenendosi alle istruzioni impartite;

– la nomina/ designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito;

– la nomina degli incaricati/autorizzati, con le opportune istruzioni, è necessaria anche se la persona esegue solo trattamenti “cartacei” e non informatici. Quando la persona utilizza il computer, la sua designazione e la delimitazione del suo trattamento rientra nel cd. sistema di autorizzazione;

– il titolare potrà consegnare all’incaricato/autorizzato un documento (contratto e/o lettera di incarico) nella quale lo designa come tale, indica che trattamenti egli può svolgere, su che dati, con quali modalità e nel rispetto di quali misure di sicurezza. Se l’incaricato/autorizzato svolge un trattamento informatico i “confini” del saranno corrispondenti al “profilo di autorizzazione”.

Infine, sempre ai fini della dimostrazione di aver adottato tutte le MISURE ADEGUATE, va assicurata la formazione degli Incaricati/autorizzati sui rischi che incombono sui dati, sulle misure disponibili per prevenire eventi dannosi, sui profili del GDPR più rilevanti in rapporto alle relative attività, sulle responsabilità che ne derivano.

La nuova figura del DPO

L’art. 37 del GDPR introduce la figura nuova, non prevista dal Codice italiano, del “Responsabile della Protezione dei Dati”.

Per evitare di confonderlo con il “Responsabile del trattamento dei dati”, si consiglia di utilizzare la dicitura inglese di “Data Protection Officer” abbreviato in “DPO”.

Si tratta di una persona interna o esterna anche appartenente ad una società esterna, a cui spettano compiti di controllo e assistenza sui trattamenti svolti dal Titolare, al fine di assicurare che tali trattamenti siano conformi al GDPR.

L’art. 37 (XX) stabilisce che siano obbligati a nominare il DPO:

a) gli enti pubblici;
b) i (Titolari) privati che hanno come attività principale lo svolgimento di “trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala”;
c) i (Titolari) privati la cui attività principale consiste “nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10”.

Il concetto di “larga scala” appare meritevole di approfondimenti. Infatti, all’interno dell’articolo 37, paragrafo 1, lettere b) e c) del Regolamento, non si dà alcuna definizione di trattamento su larga scala.

Un importante contributo in materia è stato dato da “Gruppo di lavoro ex Articolo 29” o anche “WP 29” (da “Working Party art. 29”), istituito dall’art. 29 della direttiva 95/46.

Si tratta di un organismo consultivo e indipendente, composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno Stato membro, dal GEPD (Garante europeo della protezione dei dati), nonché da un rappresentante della Commissione.

Questo Gruppo ha emanato delle linee guida adottate il 13 Dicembre 2016 e riviste ed emendate in data 5 Aprile 2017 sul Responsabile della Protezione Dati proprio per dare indicazioni su elementi del Regolamento che sono lasciati in forma generale, tra cui il concetto di “larga scala”, spiegando che: è impossibile precisare la quantità di dati oggetto di trattamento o il numero di interessati in modo da coprire tutte le eventualità; […]

il WP 29 raccomanda di tenere conto, in particolare, dei fattori elencati nel prosieguo al fine di stabilire se un trattamento sia effettuato su larga scala:

– il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;

– il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;

– la durata, ovvero la persistenza, dell’attività di trattamento;

– la portata geografica dell’attività di trattamento.

In seguito, nelle linee guida, vengono elencati alcuni dei casi in cui è necessario dotarsi di un DPO: trattamento di dati sanitari svolto da un ospedale, dati di geolocalizzazione raccolti in tempo reale per finalità statistiche, dati relativi a clienti in ambiti assicurativi o bancari, e via così.

Il WP 29 suggerisce l’adozione di standard che permettano una determinazione quantitativa certa, ma per ora questi standard non sono ancora stati scelti. Quindi, in via interpretativa, saranno da considerare tutti i fattori sopraelencati: numero soggetti interessati, volume dei dati, tipologia dei dati, durata dell’attività di trattamento, estensione geografica del trattamento. Se uno di questi fattori rientra nei termini di “larga scala”, ossia, interpretando in maniera negativa, se non è un trattamento locale, limitato nel tempo, su dati non sensibili, e su un numero limitato di persone, sarà possibile per un privato evitare di nominare il DPO.

In sostanza ogni azienda dovrà quantificare in base ai parametri suddetti se rientra o meno in un concetto di “larga scala”, e in base a questo risultato dovrà decidere se il proprio trattamento dei dati richieda o meno la nomina di un DPO. Per poter arrivare a questo risultato è necessario in tal senso impostare un’analisi dei rischi, che quantifichi le richieste del regolamento, analizzi accuratamente le tipologie di dati trattati, le categorizzi, e valuti se queste richiedano o meno la figura del Responsabile della protezione dei dati.

Anche il “monitoraggio regolare e sistematico degli interessati” è un concetto piuttosto vago che non trova definizione all’interno del GDPR; tuttavia, il considerando 24 (XXI) del Regolamento menziona il “monitoraggio del comportamento di detti interessati” ricomprendendovi senza dubbio tutte le forme di tracciamento e profilazione su Internet, anche per finalità di pubblicità comportamentale.

Occorre rilevare, però, che la nozione di monitoraggio non trova applicazione solo con riguardo all’ambiente online, e che il tracciamento online va considerato solo uno dei possibili esempi di monitoraggio del comportamento degli interessati.

A giudizio del WP 29 l’aggettivo “regolare” ha almeno uno dei seguenti significati:

– che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito;

ricorrente o ripetuto a intervalli costanti;

– che avviene in modo costante o a intervalli periodici.

L’aggettivo “sistematico” ha almeno uno dei seguenti significati, a giudizio del WP29:

– che avviene per sistema;

– che è predeterminato, organizzato o metodico;

– che ha luogo nell’ambito di un progetto complessivo di raccolta di dati;

– che è svolto nell’ambito di una strategia

Per quanto esposto quindi tenuti alla nomina del DPO solo gli Enti del Terzo Settore che, nello svolgimento della loro attività principale, svolgono un monitoraggio sistematico SU LARGA SCALA dei beneficiari/destinatari della loro attività o compiono un trattamento SU LARGA scala di dati particolari/sensibili o giudiziari.

Le Linee Guida europee (Article 29 Data Protection Working Party) hanno indicato a titolo esemplificativo come soggetti che svolgono trattamenti su vasta scala gli ospedali, le aziende di trasporto, le compagnie assicurative e gli istituti di credito, i fornitori di servizi di telecomunicazione, ecc.

Fin qui sono stati analizzati i casi di obbligatorietà di nomina di un DPO ai sensi del GDPR, ma il WP 29 si spinge anche più in là, raccomandando a titolari e responsabili di documentare le valutazioni compiute all’interno dell’azienda o dell’ente per stabilire se si applichi o meno l’obbligo di nomina di un DPO, così da poter dimostrare che l’analisi ha preso in esame correttamente i fattori pertinenti.

Tale analisi fa parte della documentazione da presentare, su richiesta, all’Autorità Garante per la protezione dei dati, in caso di verifiche, controlli ed ispezioni.

La documentazione sulla facoltatività e quindi sulla mancata adozione del DPO deve essere aggiornata ove necessario, per esempio se i titolari o i responsabili intraprendono nuove attività o forniscono nuovi servizi che potrebbero ricadere nel novero dei casi elencati all’art. 37, paragrafo 1.

Nel caso in cui invece il titolare o il responsabile optino per la nomina di un DPO su base volontaria, troveranno applicazione tutti i requisiti di cui agli artt. 37-39 (XXII) per quanto concerne la nomina stessa, lo status e i compiti del DPO, esattamente come nel caso di una nomina obbligatoria.

Nulla osta, precisa il WP 29, a che un’azienda o un ente, quando non sia soggetta all’obbligo di designare un DPO e non intenda procedere a tale designazione su base volontaria, ricorra comunque a personale o consulenti esterni incaricati di incombenze relative alla protezione dei dati personali.

In tal caso è fondamentale però garantire che non vi siano ambiguità in termini di denominazione, status e compiti di queste figure; è dunque essenziale che in tutte le comunicazioni interne all’azienda e anche in quelle esterne (con l’autorità di controllo, gli interessati, i soggetti esterni in genere), queste figure o consulenti non siano indicati con la denominazione di Responsabile per la protezione dei dati (DPO), ma come semplici consulenti.

Queste considerazioni valgono anche per i Chief Privacy Officers (CPO) o altri professionisti in materia di privacy già operanti presso alcune aziende, che non sempre e non necessariamente si conformano ai requisiti fissati nel regolamento per quanto riguarda, per esempio, le risorse disponibili o la salvaguardia della loro indipendenza e che, in tal caso, non possono essere considerati e denominati “DPO”.

Si tenga presente che la designazione obbligatoria di un DPO può essere prevista anche in casi ulteriori in base alla legge nazionale o al diritto dell’UE.

Occorrerà quindi aspettare e vedere se il legislatore italiano od europeo prevederà ulteriori casi di estensione dell’obbligatorietà.

Il ruolo della data governance nella sostenibilità delle smart cities

Il ruolo dei cookie paywall ed il valore dei dati personali

Riconoscimento facciale e sorveglianza: raising awareness

Diritto di accesso ad internet: un requisito per lo sviluppo di una cultura digitale

Deepfake: “when seeing isn’t believing anymore”

ABOUT US

LINKS

Community

About

Privacy e cookie policy

Login

SOCIAL