GDPR: cosa sappiamo del trattamento dati

Il Regolamento Europeo 679/2016 definisce in maniera puntuale e specifica il perimetro oggettivo di applicazione delle regole per la tutela dei dati personali, a partire dalla nozione di trattamento.

 

Continuiamo l’esame della normativa vigente in tema di trattamento dei dati personali per definirne in maniera più precisa che cosa si intende per trattamento dei dati e quali sono i principi sui quali deve fondarsi l’azione del Titolare affinché il suo operato sia lecito e in linea con le disposizioni della nuova privacy.

Il Regolamento Europeo definisce in maniera chiara quale è l’oggetto della sua disciplina in termini di protezione dei dati personali.

Il paragrafo 1 dell’articolo 2 del GDPR, infatti, specifica che: “il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi”.

La nuova normativa si applica dunque a qualsiasi trattamento di dati personali effettuato sia attraverso l’uso, tutto o in parte, di mezzi e strumenti automatizzati ovvero mediante operazioni analogiche e/o manuali.

In altre parole, qualsiasi trattamento di dati, sia esso attuato mediante mezzi informatici e/o cartacei, a esclusione di alcune specifiche fattispecie, deve essere effettuato nel rispetto di quanto stabilito dal Regolamento Generale sulla Protezione dei Dati Personali.

Ma che cosa si intende per trattamento di un dato?

L’articolo 4 del Regolamento UE al punto 2 ci aiuta perché definisce cosa deve intendersi come trattamento dati: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Il perimetro del trattamento disegnato dal legislatore europeo, apparentemente così ampio, articolato e flessibile da far ritenere che la protezione dei dati prevista dalle nuove norme si applichi a qualsiasi operazione effettuata su dati personali con qualsiasi strumento, trova, tuttavia, il suo complemento nella parola archivio, contenuta nel primo paragrafo dell’articolo 2.

Qui, infatti, il regolamento stabilisce che i trattamenti oggetto di disciplina sono quelli che prevedono l’utilizzo di un archivio o che preparano i dati per esservi destinati.

Pertanto, l’organizzazione del dato, la sua classificazione e/o la sua raccolta e/o conservazione organizzata sono elementi caratterizzanti dell’operato del soggetto attivo del trattamento per stabilire il suo assoggettamento, o meno, agli obblighi della nuova disciplina e l’insorgere dei diritti di tutela dell’Interessato in merito ai dati trattati.

Alcune tipologie di trattamento, come specificato nell’articolo 2, paragrafo 2, sono esplicitamente escluse dall’ambito di applicazione del Regolamento in ragione delle loro specifiche finalità.

Sono esclusi i Trattamenti:

  • effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione. Secondo quanto illustrato dal Considerando 16 al Regolamento, questo non si applica a quei trattamenti effettuati dagli Stati Membri nell’ambito delle competenze di loro diretta attribuzione quale, ad esempio, la sicurezza nazionale.
  • effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito degli scopi di politica estera e sicurezza comune dell’Unione Europea;
  • effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico. Come meglio specificato nel Considerando 18 al regolamento UE, infatti, sono esclusi dall’ambito di applicazione del Regolamento i trattamenti effettuati dalle persone fisiche nell’ambito di attività senza una connessione con un’attività commerciale o professionale. Tali attività possono, a esempio, comprendere la corrispondenza e gli indirizzari, o l’uso dei social network e attività online intraprese nel quadro di tali attività;
  • effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, ivi inclusa la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.

Un trattamento dati per essere aderente alla norma in esame deve rispondere a determinati principi generali che devono necessariamente essere rispettati in ogni momento e fase del trattamento.

Tali principi sono elencati all’articolo 5 del Regolamento Europeo.

Sulla base di questa norma, i dati personali devono essere:

  • trattati in maniera LECITA (nel rispetto delle norme generali e specifiche dell’ordinamento giuridico), CORRETTA (nel rispetto di regole etiche e deontologiche che permettano l’instaurarsi di un rapporto corretto tra l’interessato e il Titolare del trattamento, a esempio i dati non possono essere trattati in maniera segreta) e TRASPARENTE (con metodologie che permettano all’interessato di essere correttamente informato sulle finalità, modalità, durata del trattamento e rischi connessi), in altre parole deve essere assicurata all’interessato la tracciabilità del dato personale che a lui si riferisce;
  • raccolti con FINALITA’ DETERMINATE. Il trattamento dei dati deve essere effettuato per scopi specifici e definiti in dettaglio, eventuali ulteriori scopi del trattamento devono essere comunque in linea con le finalità esplicitate;
  • pertinenti alla tipologia di trattamento posta in essere, raccolti in misura adeguata e limitati a quanto necessario in relazione alle finalità per le quali sono stati raccolti, c.d. MINIMIZZAZIONE DEI DATI. La norma pone particolare attenzione a che il Titolare riduca al minimo il numero dei dati trattati, il tipo di trattamenti posti in essere, la quantità di soggetti coinvolti nel trattamento e il periodo di conservazione di questi una volta esaurita l’utilità di essi in relazione alle finalità dichiarate;
  • I dati devono essere rispondenti alla situazione reale dell’interessato e aggiornati;
  • conservati, nel caso in cui consentano l’identificazione dell’interessato, per un periodo di tempo che sia il più breve possibile in ragione delle finalità e degli scopi del trattamento, c.d. LIMITAZIONE DELLA CONSERVAZIONE;
  • trattati in maniera che sia garantita un’adeguata sicurezza tale da garantirne l’INTEGRITA’ e la RISERVATEZZA

Con l’attribuzione al Titolare del trattamento della responsabilità del rispetto di tali principi il Regolamento Europeo fissa il criterio della RESPONSABILIZZAZIONE. Un concetto centrale in tutta la disciplina, poiché attribuisce al Titolare non solo l’obbligo giuridico dell’osservare le norme regolamentari, ma anche l’onere di provare, in caso di contenzioso, di aver posto in essere quanto necessario per farlo.

Un trattamento di dati personali, ai sensi dell’articolo 6 del Regolamento UE, per essere considerato lecito deve poter rispondere a uno dei seguenti criteri:

  • deve essere basato sul CONSENSO dell’interessato. In questo caso, ai sensi dell’articolo 7 del Regolamento UE, il Titolare deve conservare la prova evidente che l’interessato abbia prestato il proprio consenso. La richiesta di consenso, inoltre, deve essere scritta in maniera chiara, semplice perchè sia facilmente comprensibile dall’Interessato e deve poter essere ugualmente facilmente accessibile dallo stesso;
  • deve essere necessario per l’espletamento di una o più OBBLIGAZIONI CONTRATTUALI;
  • deve essere necessario per l’adempimento di un OBBLIGO DI LEGGE a carico del Titolare;
  • deve essere necessario per la tutela di INTERESSI VITALI dell’Interessato o di altri soggetti persone fisiche;
  • deve essere necessario per l’esecuzione di un compito di INTERESSE PUBBLICO o connesso all’esercizio di PUBBLICI POTERI di cui è investito il titolare del trattamento;
  • deve essere necessario per il perseguimento del LEGITTIMO INTERESSE del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

In relazione alle offerte dirette di servizi della “società dell’informazione” (a esempio i c.d. social o il mondo web), l’articolo 8 del GDPR prevede che, nel caso in cui a esprimere il consenso sia un Interessato di minore età, questo è lecito solo se il minore ha almeno 16 anni di età. In caso contrario, il consenso prestato dal minore è lecito solo se autorizzato o prestato dal soggetto di maggiore età titolare della responsabilità genitoriale.

Il Legislatore Nazionale, tuttavia, nell’esercizio delle sue prerogative, all’articolo 2-quinquies del Codice della Privacy (D.Lgs 196/2003) ha abbassato il limite di età ad anni 14.

Il trattamento di dati personali “PARTICOLARI” (che possono essere assimilati a quei dati definiti sensibili nella vecchia formulazione della disciplina), ai sensi dell’articolo 9, paragrafo 1 del GDPR, è di norma vietato, seppur con delle eccezioni.

Tale divieto, infatti, non si applica se:

  • l’interessato ha prestato il suo consenso esplicito per una o più finalità specifiche, salvo che norme dell’Unione Europea o degli Stati membri non prevedano per l’interessato l’impossibilità di derogare al divieto posto nel paragrafo 1 dello stesso articolo;
  • il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del Trattamento o dell’Interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;
  • il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato sia incapace di intendere e di volere;
  • il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato;
  • il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;
  • il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogni qualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
  • il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato;
  • il trattamento è necessario per finalità di MEDICINA PREVENTIVA O DI MEDICINA DEL LAVORO, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero GESTIONE DEI SISTEMI E SERVIZI SANITARI O SOCIALI sulla base del diritto dell’Unione o degli Stati membri o conformemente al CONTRATTO CON UN PROFESSIONISTA DELLA SANITÀ;
  • il trattamento è necessario per motivi di interesse pubblico nel SETTORE DELLA SANITÀ PUBBLICA.

Renato Carafa