Alleghiamo il modulo del Consenso e l’Informativa ad esso relativa.
Con l’occasione forniamo qualche informazione sulle novità in tema di Privacy.
Il regolamento UE 2016/679 – GDPR – non ha modificato in modo sostanziale i concetti e i principi fondamentali della legislazione in materia di protezione dei dati introdotta nel 1995.
La grande maggioranza dei titolari del trattamento e dei responsabili del trattamento che rispettano già le attuali disposizioni dell’UE non dovrà quindi introdurre importanti modifiche nelle proprie operazioni di trattamento dei dati per conformarsi al regolamento.
Il regolamento produce effetti per la maggior parte degli operatori le cui attività principali consistono nel trattamento dei dati e/o nel trattamento di dati sensibili, nonché per gli operatori che si occupano del monitoraggio regolare e sistematico delle persone fisiche su larga scala.
Non vengono più previste le misure minime di sicurezza, ma viene imposto al titolare del trattamento di mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento venga effettuato conformemente al regolamento.
Le misure da adottare vanno valutate di volta in volta tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, oltre che dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.
Sono tenuti alla designazione del responsabile della protezione dei dati personali – DPO (Data Protection Officer) il titolare e il responsabile del trattamento che rientrino nei casi previsti dall’art. 37, par. 1, lett. b) e c) del GDPR, ovvero le cui attività principali consistano in trattamenti che richiedono, per loro natura, ambito di applicazione e/o finalità, il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati.
Il GDPR non riporta una definizione di trattamento “su larga scala”, ma il Garante raccomanda di tenere conto dei fattori di seguito elencati al fine di stabilire se un trattamento sia effettuato su larga scala:
- il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
- il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
- la durata, ovvero la persistenza, dell’attività di trattamento;
- la portata geografica dell’attività di trattamento.
In ogni caso le Linee Guida del Garante escludono che “il trattamento di dati personali relativi a condanne penali e reati svolto da un singolo avvocato” possa costituire un trattamento su larga scala.
Analogamente, si ritiene, pertanto, che anche il trattamento di dati sensibili effettuato dal singolo commercialista non costituisca un trattamento su larga scala.
Il GDPR non riporta una definizione di “Monitoraggio regolare e sistematico”, ma il Garante vi fa rientrare tutte le forme di tracciamento e profilazione effettuate tramite Internet anche per finalità di pubblicità comportamentale, pur non esclusivamente riferibili all’ambiente online.
L’aggettivo “regolare”, secondo le indicazioni del Garante, si riferisce alle modalità di effettuazione del trattamento dei dati che assumano almeno uno dei seguenti significati:
- che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito;
- ricorrente o ripetuto a intervalli costanti;
- che avviene in modo costante o a intervalli periodici.
L’aggettivo “sistematico” ha almeno uno dei seguenti significati:
- che avviene per sistema;
- predeterminato, organizzato o metodico;
- che ha luogo nell’ambito di un progetto complessivo di raccolta di dati;
- svolto nell’ambito di una strategia.
Salvo casi particolari (ad esempio, ove si utilizzino telecamere a circuito chiuso o effettui tracciamento dell’ubicazione attraverso app su dispositivi mobili oppure utilizzi programmi di fidelizzazione o di pubblicità comportamentale), appare rara l’effettuazione, da parte del soggetto responsabile del trattamento, di attività di monitoraggio sistematico e regolare.
Ai fini del corretto adempimento degli obblighi derivanti dal GDPR, ogni misura adottata dovrà essere documentabile in ossequio al principio di “responsabilizzazione”.