Protezione dei dati personali: un diritto fondamentale per ogni essere umano. Il Regolamento europeo per la protezione dei dati

Scritto da

Sono 121 gli stati che hanno scelto di regolamentare questa materia e il Regolamento europeo è indicato da molti come (modello per il) presidio della dimensione digitale dell’individuo, che può innalzare argini a protezione delle fake news, dei furti d’identità, ecc. 
Antonello Soro, presidente dell’autorità Garante per la privacy

Il nuovo Regolamento europeo 2016/629 che disciplina la protezione dei dati personali (Regolamento Generale per la protezione dei dati – RGPD; o General Data Protection Regulation – GDPR) è diventato operativo lo scorso 25 maggio 2018. Il legislatore italiano ha tempo fino al prossimo 22 agosto per esercitare la delega con la quale il Parlamento italiano lo scorso ottobre ha attribuito al Governo, con l’obbligo di sentire il Garante per la protezione dei dati personali, il compito di integrare il RGPD e abrogare il “vecchio” codice per la privacy, il Decreto legislativo n°196 del 2003 - Codice in materia di protezione dei dati personali.

Sino all’approvazione del nuovo decreto, dunque, il Regolamento, insieme con la Direttiva 2016/680 (che ha per oggetto: la protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica), definisce premesse e azioni per il trattamento dei dati personali, nonostante il D.Lgs. 196/2003 sia ancora in vigore, ma con un campo di applicazione limitato agli ambiti non normati e non incompatibili con il Regolamento europeo, che per sua natura è prevalente rispetto alle legislazioni nazionali.

Il decreto in lavorazione oltre ad abrogare il codice privacy, dovrà anche dettagliare ambiti non dettagliati dal Regolamento (indicati nelle cosiddette clausole di flessibilità), affinché i singoli stati li colmino con indicazioni in armonia con i singoli contesti nazionali (Considerando 8Ove il presente regolamento preveda specificazioni o limitazioni delle sue norme ad opera del diritto degli Stati membri, gli Stati membri possono, nella misura necessaria per la coerenza e per rendere le disposizioni nazionali comprensibili alle persone cui si applicano, integrare elementi del presente regolamento nel proprio diritto nazionale). La materia inerente gli interessi pubblici primari relativamente al trattamento dei dati e i suoi usi per scopi storici, scientifici e statistici (Capo IX del Regolamento), ad esempio, è lasciata ai legislatori nazionali; così come la scelta se mantenere e/o introdurre sanzioni, anche penali, nei casi di comportamenti scorretti tenuti da soggetti privati o pubblici; e la determinazione dell’età minima per accedere ai “servizi della società dell’informazione” (cioè, qualsiasi servizio prestato a distanza per via telematicaDirettiva UE 2015/1535, articolo 1), che non deve superare i 16 o essere inferiore ai 13 anni; sui dati relativi alla salute e su quelli biometrici gli stati nazionali possono inoltre introdurre regole più stringenti.

Il Regolamento si compone di 173 Considerando e 99 articoli, per un totale di 190 pagine. La lettura dei Considerando è di estremo interesse perché ci consente di comprendere le ragioni alla base delle scelte compiute dai legislatori. Qui il testo che comprende i riferimenti ai Considerando per ogni articolo del Regolamento.

Perché una nuova normativa

Il Regolamento è in continuità con il D.Lgs. 196 del 2003, il codice privacy, che a sua volta è stato redatto sulla base della Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995. La scelta di rinnovare la legislazione in materia di protezione dei dati personali, pur se negli anni era stata aggiornata, è dovuta, e lo dichiara la stessa autorità Garante, alla necessità di adeguare il diritto a una realtà radicalmente mutata rispetto a quella del 1995, che richiede una ri-formulazione dei principi stessa della normativa.

Quanto è importante la protezione dei dati personali? Lo scandalo Cambridge Analytica

Lo scorso 17 marzo Christopher Wylie ha rivelato pubblicamente che i dati personali di almeno 50 milioni di utenti di Facebook sono stati trattati senza consenso degli interessati. Wylie ha riferito al periodico The Observer che l’azienda Cambridge Analytica, posseduta da Robert Mercer e guidata dall’ex-consigliere di Trump, Steve Bannon e che ha collaborato sia con lo staff di Donald Trump durante la campagna elettorale del 2016, sia con il comitato per il Leave al referendum sulla Brexit, ha utilizzato i dati per sviluppare un sistema in grado di profilare i votanti degli Stati Uniti al fine di inviare loro messaggi personalizzati per influenzarne le scelte di voto: “We exploited Facebook to harvest millions of people’s profiles. And built models to exploit what we knew about them and target their inner demons. That was the basis the entire company was built on” (Abbiamo sfruttato Facebook per raccogliere milioni di profile. E costruire modelli per sfuttare quello che sapevamo e colpire I loro demoni interiori. Su queste basi era costruita l’intera azienda).
I dati erano stati raccolti legalmente attraverso la app “thisisyourdigitallife” progettata da Aleksandr Kogan, professore a Cambridge con legami in Russia, cui i 270.000 utenti, che dietro un piccolo compenso decidevano di utilizzare, accedevano tramite il loro profilo Facebook. Ed è in virtù dell’accesso eseguito tramite Facebook che è stato possibile raccogliere anche i dati dai profili di tutti gli amici di coloro che hanno volontariamente utilizzato la app di Kogan, fino ad arrivare ad oltre 50 milioni di profili che Cambridge Analytica è riuscita a mettere a confronto con i registri elettorali per costruire algoritmi in grado di analizzare i profili individuali e determinare i tratti di personalità connessi a specifici comportamenti elettorali. Ci sono documenti pubblicati dal Guardian che provano che Facebook nel 2015 venne a conoscenza dell’utilizzo illecito dei dati di milioni di utenti ma non avvertì gli utenti interessati.
Il passaggio dei dati raccolti tramite la app e Facebook da Kogan a Cambridge Analytica, ha costituito un enorme data breach per il quale Facebook, se fosse stato in vigore il Regolamento europeo e se i dati fossero appartenuti a persone circolanti in Europa, avrebbe dovuto pagare il 4% del suo fatturato annuale: “a potential $1.6bn fine!" 

Lo scandolo Cambridge Analytica sembra aver scoperto solo la punta dell’iceberg. Ha chiarito che i profili di utenti Facebook, (likes, messaggi privati, foto, ecc), non sono stati utilizzati solo per proporre loro annunci commerciali mirati, ma anche per manipolare la loro visione del mondo e le loro idee politiche: “what the Cambridge Analytica story has begun to reveal about those companies’ use of our intimate history of likes and dislikes, of private messages and personal photos, is that they cannot only be used to target us with holidays and theatre tickets, but also to shape our news of the world, and our political ideas, in ways we don’t recognise.” 
Riferimenti:
1. The Guardian 17/03/2018: Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach
2. New York Times 17/03/2018: How Trump Consultants Exploited the Facebook Data of Millions
3. The Guardian 18/03/2018: ‘I made Steve Bannon’s psychological warfare tool’: meet the data war whistleblower'
6. The New York Review of Books, 21/03/2018: The New Military-Industrial Complex of Big Data Psy-Ops
7. Security Week, 02/04/2018: Would Facebook and Cambridge Analytica be in Breach of GDPR? 3. The Guardian 24/03/2018: Facebook’s week of shame: the Cambridge Analytica fallout 
4. Channel 4: dossier sull'azienda Cambridge Analytica 
5. Christopher Wylie testimonia di fronte al Senato degli U.S. - 16/05/2018 - https://www.youtube.com/watch?v=k5kSkdeEddM
6. Christopher Wylie testimonia di fronte al Parlamento inglese - 27/02/2018 - https://www.youtube.com/watch?v=X5g6IJm7YJQ
4. 
Paper pubblicato il 2 dicembre 2014: Computer-based personality judgments are more accurate than those made by humans
La forma del regolamento

La scelta di utilizzare la forma giuridica del regolamento, anziché la direttiva, è invece dovuta all’esigenza di superare le differenze che si erano verificate nell’applicazione della Direttiva del ‘95 nei diversi stati dell’Unione, e garantire così una tutela omogenea a chiunque risieda in Europa. Quella del regolamento è una particolare fonte del diritto dell’Unione europea, definito dall’art. 288 del Trattato sul funzionamento dell’Unione europea, che si distingue dalla direttiva in quanto è direttamente applicabile, non necessità cioè dell’intervento del legislatore nazionale, e ha una portata generale, è valida cioè in tutta l’Unione europea (articolo 288Per esercitare le competenze dell’Unione, le istituzioni adottano regolamenti, direttive, decisioni, raccomandazioni e pareri. Il regolamento ha portata generale. Esso è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri. La direttiva vincola lo Stato membro cui è rivolta per quanto riguarda il risultato da raggiungere, salva restando la competenza degli organi nazionali in merito alla forma e ai mezzi. La decisione è obbligatoria in tutti i suoi elementi, se designa i destinatari è obbligatoria soltanto nei confronti di questi. Le raccomandazioni e i pareri non sono vincolanti.)

Procedura di adozione dei regolamenti
Commissione europea-> propone
Soggetti esperti -> forniscono opinioni e linee guida (nel caso del RGPD gli esperti coinvolti sono stati: lo European Data protection Supervisor e il Gruppo di lavoro articolo 29)
Parlamento europeo e Consiglio - > approvano 

L’iter di approvazione del Regolamento è iniziato nel 2011 con una prima bozza proposta dalla Commissione europea, cui sono seguiti i pareri dello European Data protection Supervisor (EDPS), cioè l’autorità indipendente europea di garanzia per la protezione dei dati (carica che fino al 2019 è ricoperta dal magistrato italiano Giovanni Buttarelli); e del Gruppo di lavoro ex-articolo 29 che dal 25 maggio è diventato il Comitato europeo, un organismo consultivo e indipendente, composto da un rappresentante delle diverse autorità nazionali (in Italia il Garante per la protezione dei dati personali), dallo European Data protection Supervisor e da un rappresentante della Commissione europea. Dopo l’approvazione in prima lettura del testo del Regolamento da parte del Parlamento e del Consiglio europeo, sono succeduti una serie di incontri a porte chiuse tra i soggetti deputati per raggiungere l’accordo sul testo definitivo, che è stato infine approvato e adottato da Consiglio e Parlamento europeo nel mese di aprile del 2016.

Cosa cambia con il nuovo Regolamento?

Protezione universale

Una delle novità più significative del Regolamento è la sua applicabilità anche ai titolari di dati residenti al di fuori dell’Unione. Il Regolamento, infatti, si applicherà anche alle aziende situate al di fuori dell’UE che risultano titolari o responsabili dei dati di persone che circolano nello spazio giuridico europeo. Il Regolamento così si rivolge anche ai grandi attori dell’economia digitale, quelli che fino ad ora hanno operato, nelle parole di Antonello Soro, presidente dell'autorità Garante, “in un regime prossimo all’autodichia” (dal greco: auto – ‘stesso’, ‘sé stesso’, e dike – ‘giustizia’).

Per orientarsi
Titolare del trattamento dei dati: chi determina i fini e i mezzi del trattamento dei dati personali 
Responsabile del trattamento dei dati: chi tratta i dati personali per conto del titolare 
L’interessato: persona fisica cui appartengono i dati personali che possono identificarlo 
Autorità Garante: autorità amministrativa indipendente

Mentre all’interno dell’Unione c’è assoluta libertà di trasferimento dei dati (Capo V, artt. 44-49), per quanto riguarda la trasmissione di dati personali verso un paese terzo (ad esempio nei casi di servizi di cloud storage e social networking), il Regolamento interviene per assicurare che la protezione dei dati di persone stabilite in Europa, venga rispettata anche se trasmessi e/o trasferiti al di fuori dall’Europa. Il paese terzo o l’azienda che trasferisce i dati è tenuta a garantire un livello di tutela “sostanzialmente equivalente” a quello garantito dal Regolamento (Capo V, artt. 44-50).

Protezione dei dati personali come diritto fondamentale degli esseri umani

Oltre al criterio del mercato interno, (cioè il Regolamento non ha valore solo nello spazio europeo), viene superato anche il criterio della cittadinanza: quale diritto fondamentale, il diritto alla protezione dei dati personali pertiene alla persona in quanto tale e non è collegato alla cittadinanza. Questo aspetto viene affrontato dal legislatore europeo in apertura del documento, nel Considerando n°2I principi e le norme a tutela delle persone fisiche con riguardo al trattamento dei dati personali dovrebbero rispettarne i diritti e le libertà fondamentali, in particolare il diritto alla protezione dei dati personali, a prescindere dalla loro nazionalità o dalla loro residenza. Il presente regolamento è inteso a contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia e di un'unione economica, al progresso economico e sociale, al rafforzamento e alla convergenza delle economie nel mercato interno e al benessere delle persone fisiche.

L’autorità Garante ha organizzato una serie di eventi formativi dedicati ai membri della pubblica amministrazione col fine di presentare le novità introdotte dal Regolamento. Il presidente dell’Autorità, in particolare, è intervenuto per enfatizzare quegli aspetti che ha definito “rivoluzionari”, perché ri-disegnano il diritto alla protezione dei dati personali come uno dei diritti fondamentali dell’essere umano, premessa al rispetto degli altri diritti fondamentali, nel rispetto del Trattato sul funzionamento dell’Unione europea, della Carta di Nizza (o Carta dei diritti fondamentali dell’Unione europea), nei quali il diritto alla protezione dei dati era stato definitivamente autonomizzato dal diritto all’intangibilità della vita privata, e sancito come diritto fondamentale dell’essere umano.

 

Trattato sul funzionamento dell’Unione europea
Articolo 16
1. Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.
2. Il Parlamento europeo e il Consiglio, deliberando secondo la procedura legislativa ordinaria, stabiliscono le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale da parte delle istituzioni, degli organi e degli organismi dell'Unione, nonché da parte degli Stati membri nell'esercizio di attività che rientrano nel campo di applicazione del diritto dell'Unione, e le norme relative alla libera circolazione di tali dati. Il rispetto di tali norme è soggetto al controllo di autorità indipendenti.
Le norme adottate sulla base del presente articolo fanno salve le norme specifiche di cui all'articolo 39 del trattato sull'Unione europea.
Carta dei diritti fondamentali dell’Unione europea (Carta di Nizza) 2012/C 326/02

Articolo 8
Protezione dei dati di carattere personale 1. Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. 2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica. 3. Il rispetto di tali regole è soggetto al controllo di un'autorità indipendente.

È nel primo Considerando che viene fatto riferimento a questa ascendenza del diritto: La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea («Carta») e l’articolo 16, paragrafo 1, del trattato sul funzionamento dell’Unione europea («TFUE») stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

Il Regolamento in ottemperanza a quanto previsto da queste norme introduce dunque misure effettive volte a garantire i diritti delle persone nella dimensione digitale, così come avviene per la realtà fisica. “I dati non sono una cifra astratta o una dimensione della tecnica – dice sempre Antonello Soro – i dati personali corrispondono alle nostre persone e se noi non sappiamo difendere i nostri dati non proteggiamo le nostre persone nella dimensione digitale. (…) Quindi (occorre) tutelare la protezione dei dati in quanto diritto fondamentale e presupposto dei diritti universali (…) fondato sulla funzione di garanzia e controllo di autorità indipendenti.”

Responsabilizzazione (accountability)

I dirigenti dell’autorità negli incontri con gli esponenti della pubblica amministrazione hanno insistentemente sottolineato che alla base di molte novità introdotte dal Regolamento c’è la necessità, rilevata dal legislatore europeo, che i soggetti si assumano una maggiore responsabilità in merito al trattamento dei dati personali, i propri nel caso degli interessati, o quelli degli interessati, nel caso dei titolari e dei responsabili del trattamento. Il principio di responsabilizzazione ispira, in particolare, tutti gli articoli del CAPO IV del Regolamento relativi agli obblighi e le misure che titolari e responsabili devono adottare per proteggere i dati personali degli individui che per ragioni diverse hanno affidato ad essi i loro dati personali. 
Responsabilizzazione, però, non traduce compiutamente il termine inglese accountability che indica, in questo contesto, non solo responsabilità nell’applicazione delle procedure previste dalla normativa per proteggere i dati personali, ma indica soprattutto che i titolari (e i responsabili) del trattamento hanno la responsabilità di dimostrare le misure messe in essere al fine di garantire la protezione dei dati e i diritti degli interessati, come indicato nell'articolo 24 del Regolamento dedicato alla Responsabilità del titolare del trattamento (C74-C78): 1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario. (...)

Privacy first

Titolari e Responsabili dovranno attuare misure finalizzate alla protezione dei dati sin dalla fase di progettazione del sistema (privacy by design) con cui vengono rilevati, classificati e gestiti i dati personali. Vale a dire che la protezione dei dati dovrà essere integrata agli stessi processi aziendali.

Il Data Protection Officer (DPO) o Responsabile dei dati personali (RDP) 

Sempre nel senso di sostanziare il principio di accountability va interpretata anche l’introduzione di una nuova figura professionale, il DPO o RPD, (Data Protection Officer o Responsabile dei dati personali), all’interno di ogni realtà economica e pubblica in cui vengono gestiti dati personali. Nel settore pubblico la nomina di questa nuova figura è obbligatoria mentre in quello privato solo se titolare o responsabile dei dati prevedono, per la natura dell’attività svolta, “il monitoraggio regolare e sistematico degli interessati su larga scala” (art. 37, par. 1, comma b), o il trattamento di categorie particolari di dati indicati nell’art. 7 (quelli che il codice privacy chiamava dati sensibili). Gli istituti scolastici, ad esempio, sono obbligati alla nomina del responsabile dei dati, e possono a questo fine nominare una figura interna o esterna alla scuola. La nomina è fatta dal titolare dei dati cioè dal Dirigente scolastico.
Il compito del Responsabile dei dati è quello di supportare; controllare; fornire pareri; predisporre azioni formative per il personale e informative per tutti e in particolare per gli interessati e cooperare con il Garante (art. 39). Si relaziona direttamente con i titolari dei dati, e poiché il Regolamento attribuisce a questa figura un ruolo di garanzia e di referente sia per i cittadini sia per il Garante in materia di trattamento dei dati personali, il DPO deve godere di indipendenza, anche se degli illeciti sui dati risponde comunque il titolare. Una figura necessaria, dice l’autorità, su cui si gioca l’intera “scommessa dell’accountability”. La designazione di una figura di riferimento esperta con una “caratura pubblicistica”, dice l’autorità, è parte della richiesta rivolta dal legislatore europeo ai titolari e ai responsabili dei dati di avere un approccio “proattivo” in materia di protezione, coerentemente con il principio dell’accountability.

Il Responsabile dei Dati Personali
Quadro normativo
- (artt. 37-39) del Regolamento
- Linee guida dell’ex gruppo Articolo 29
- Linee guida del garante

Cosa fa
Ruolo di facilitatore nel capire e applicare le regole; si rivolge direttamente ai vertici gerarchici dell’azienda; deve essere raggiungibile e per questo il suo nome deve essere pubblicato sul sito; gli devono essere garantite le risorse e il contesto adeguato. Può avere il compito di gestire il registro delle attività di trattamento, pur se la responsabilità rimane del titolare. È referente nei confronti del titolare, degli interessati e del Garante a cui deve essere comunicato il nome. Ha obbligo di segretezza. 

Condizioni per la nomina
Conoscenza della materia e del settore in cui opera, della struttura dell’ente, dei flussi informativi, delle misure di sicurezza attuate, dei trattamenti dati svolti; deve rispettare criteri di integrità professionale, ed essere in uno stato di assenza di conflitti di interessi.

Istituzione di un registro delle attività di trattamento

Il principio di responsabilizzazione alla base del Regolamento si esplica anche nell’articolo 30 (Considerando 82), che prevede l’istituzione di un registro delle attività di trattamentodove titolare e responsabile devono documentare le tipologie di dati trattati, le modalità e le finalità di trattamento, indicare i dipendenti incaricati del trattamento e le misure di sicurezza adottate per prevenire manomissioni o perdite dei dati (data breach). Il registro, secondo quanto previsto dal legislatore, oltre ad essere un utile strumento per il monitoraggio della materia per titolare e responsabile, ha la funzione di fornire al Garante i dati utili per approfondire specifiche questioni emerse o denunciate. Ciò che è importante, secondo il Garante, è che esso non venga visto come un adempimento burocratico ma come parte integrante di una buona gestione del trattamento dei dati. Sono obbligati a tenere un registro sia i titolari sia i responsabili. Il responsabile deve tenere un registro per ogni attività svolta sui dati di un titolare (tanti registri quanti sono i titolari).

Sicurezza dei dati personali

Per quanto riguarda l’ambito della sicurezza dei dati, le novità rispetto all’articolo 31 del D.Lgs. 196 e all’articolo 17 della Direttiva non sono molte. Tra queste l’indicazione della pseudonimizzazione come misura di sicurezza per il trattamento dei dati personali. Una tecnica, dice Cosimo Comella dirigente del Dipartimento tecnologie digitali e sicurezza informatica del Garante, che in realtà nasce per aumentare la base dati da poter trattare, con l’inclusione di quei dati personali che fino all’introduzione del Regolamento non potevano essere trattati perché, seppur anonimi, potevano essere connessi (“con uno sforzo più o meno rilevante”) ad elementi esterni per risalire all’identità degli interessati e tornare dunque ad essere dati personali. Con la pseudonimizzazione dunque s’impone in questi casi che le informazioni aggiuntive che consentono l’identificazione siano conservate separatamente, garantendo nei fatti l’anonimità dei dati. In relazione al data breach cioè la violazione che comporta perdita, manomissione o divulgazione dei dati, il Regolamento impone all’articolo 33 l’obbligo, nel caso avvenga, di comunicarlo al Garante e agli interessati. Una disposizione che va incontro all’esigenza di responsabilizzazione ma anche di trasparenza e consente agli interessati di aumentare il controllo sui propri dati.

Trasparenza

L’esigenza di una maggiore trasparenza si traduce anche nell’obbligo di pubblicare il nome e i contatti del RPD nella sezione "Amministrazione Trasparente" del sito, o nell’informativa. Questa così come avveniva ai sensi del D.Lgs. 196/2003 deve essere chiara, il Considerando 42 indica che deve avere “una forma comprensibile e facilmente accessibile, che usi un linguaggio semplice e chiaro e non contenga clausole abusive”, in modo da mettere in condizioni l’interessato di esprimere un consenso informato e consapevole dei diritti previsti. Per poter esprimere un consenso consapevole ed esercitare i propri diritti, l’interessato oltre ad averne indicazione deve conoscere l’identità del titolare, i dati di contatto del responsabile della protezione dei dati, le finalità del trattamento, i destinatari (chi riceve comunicazione dei dati), il periodo di conservazione dei dati, l’esistenza di un processo decisionale automatizzato, se possono essere trasferiti a paesi terzi (artt. 13 e 14). L'espressione del consenso è una delle basi giuridiche ritenute idonee per il trattamento dei dati. Le altre condizioni possibili che garantiscono la liceità del trattamento sono elencate all’art. 6 del Regolamento e coincidono, in linea di massima, con quelle previste dal D.Lgs. 196/2003. La regola generale è che il consenso deve essere libero, specifico, informato e manifestato con dichiarazione o azione positiva inequivocabile (quindi, non più necessariamente documentato per iscritto).Il consenso dei minori è valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci. Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche indicate.

I diritti degli interessati 

Considerando 11Un’efficace protezione dei dati personali in tutta l’Unione presuppone il rafforzamento e la disciplina dettagliata dei diritti degli interessati e degli obblighi di coloro che effettuano e determinano il trattamento dei dati personali, nonché poteri equivalenti per controllare e assicurare il rispetto delle norme di protezione dei dati personali e sanzioni equivalenti per le violazioni negli Stati membri. 

Anche in questo ambito, il Regolamento non stravolge la normativa in essere anzi è in continuità con essa. Non cambiano i presupposti di liceità al trattamento, (art. 6) che per essere svolto deve avere una base giuridica riconosciuta tra cui il consenso liberamente dato, inequivocabile ed esplicito per ogni tipologia di dati e trattamento (Considerando 42).
Ci sono diritti degli interessati che il Regolamento conferma: il diritto di accesso ai propri dati personali (art. 15); il diritto che essi vengano rettificati se scorretti (art. 16); il diritto di ad opporsi al trattamento. Ci sono anche diritti “nuovi” che intendono favorire il controllo delle persone sui propri dati:
-- il diritto all’oblio (art. 17): diritto alla cancellazione dei propri dati 
-- il diritto alla limitazione del trattamento (art. 18) 
-- il diritto alla portabilità (art. 20 comma 1: L'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano [...] e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare (...) .
Anche i requisiti di qualità del trattamento non sono cambiati rispetto alla precedente normativa. Il Regolamento sistematizza in questo caso un modus operandi noto: i dati devono essere trattati in modo lecito, corretto e trasparente; le finalità del loro trattamento devono essere determinate ed esplicitate; la raccolta dai dati personali deve attenersi al principio di minimizzazione dei dati, cioè non devono essere richiesti più dati di quanti sono necessari per le finalità dette; e il tempo del trattamento deve essere delimitato ed esplicitato (art. 5). 
Nel Regolamento non si parla più di dati sensibili, che vengono invece definiti categorie particolari di dati personali (art.9). Con questa espressioni non ci si riferisce solo ai dati suscettibili di rivelare l'orientamento politico, sessuale, le convinzioni religiose o filosofiche, l'appartenenza sindacale e l'origina etnica di una persona; ma anche ai dati biometrici e a quelli genetici. Tutti questi dati in linea di principio non dovrebbero esser trattati. Le misure per un trattamento adeguato, quando è necessario trattare questi dati nell’interesse di coloro cui appartengono, sono indicate nell'articolo 9.

L’autorità Garante

Anche i compiti del Garante cambiano in conseguenza del ruolo attribuitogli di "controllore", con funzioni di rinforzo del rispetto del diritto alla protezione dei dati. il Garante può richiedere di visionare il Registro del trattamento è destinatario delle comunicazioni relative alle nomine dei DPO e di tutte le informazioni necessarie per operare un controllo dei procedimenti adottati.

Il Regolamento europeo per la protezione dei dati nell'ambiente online per l'anno di formazione e prova

Nel contesto della formazione per docenti neoassunti e con passaggio di ruolo l’introduzione del Regolamento non apporta mutamenti radicali nel trattamento dei dati dei docenti coinvolti nella formazione. 
Titolare del trattamento dei dati è il MIUR.
Responsabile del Trattamento dei dati è INDIRE nominato quale Responsabile esterno del trattamento dei dati personali dei docenti tutor e dei docenti in formazione, con apposito atto, dal Titolare (MIUR).
Responsabile della Protezione dei Dati: ai sensi dell'articolo 37 del Regolamento, il Titolare del trattamento (MIUR) ha nominato un proprio DPO i cui compiti e recapiti sono pubblicati all’indirizzo http://www.miur.gov.it/web/guest/altri-contenuti-protezione-dei-dati-personali. Allo stesso modo, il Responsabile del Trattamento (INDIRE) ha nominato un proprio DPO i cui recapiti sono pubblicati all’indirizzo http://www.indire.it/privacy/ 
La base giuridica del trattamento dei dati, cioè la sua liceità deriva dall'art.15, comma 3, del DM 850/2015 il quale disciplina il periodo di formazione e di prova del personale docente ed educativo ai sensi all’art. 1, commi da 115 a 120 della legge 107/2015, assegnando all’INDIRE la predisposizione e la gestione delle risorse digitali e dei supporti telematici per la realizzazione della formazione online dei docenti neoassunti. In considerazione della relazione tra MIUR e INDIRE e della normativa (DM 850/2015 e legge 107/2015) che regola la formazione iniziale dei docenti, INDIRE tratta i seguenti dati personali:

1. dati di navigazione degli utenti
l’informativa è disponibile all’indirizzo http://www.indire.it/privacy/ e include una sezione destinata a chiarire la funzione dei cookies. Indire non effettua alcuna profilazione e non mette in atto azioni finalizzate ad identificare le abitudini di navigazione degli utenti, ma utilizza questi dati in forma anonima, al solo fine di ricavare informazioni statistiche sull'uso del sito e controllarne il corretto funzionamento. Benché non richiesto dalla normativa, la politica adottata da Indire prevede l’acquisizione esplicita del consenso dell’utente all’utilizzo dei cookies. Il mancato consenso non impedisce comunque la corretta navigazione del Portale.
2. dati personali richiesti per accedere al servizio di assistenza (http://neoassunti.indire.it/2018/ticket.php) (nome, cognome, codice fiscale, e-mail). I dati personali vengono utilizzati al solo fine di consentire un riscontro puntuale alle richieste di assistenza pervenute e per le eventuali successive comunicazioni correlate. Il monitoraggio costante dei servizi resi e l’intervento tempestivo rispetto a segnalazioni di anomalie di funzionamento degli stessi consente un aumento dell’efficacia della. Indire non effettua alcuna profilazione per questi dati resi volontariamente. Prima di inviare una richiesta di assistenza, è prevista la conferma di presa visione dell’informativa Privacy e la richiesta esplicita di consenso al trattamento dei dati. Il consenso è facoltativo, ma il mancato conferimento comporta l’impossibilità di sottomettere una richiesta di assistenza.
3. dati personali richiesti in fase di iscrizione alla piattaforma http://neoassunti.indire.it/registrazione/ (nome, cognome, sesso, data di nascita, provincia di nascita, comune di nascita, codice fiscale, e-mail, codice meccanografico della scuola di servizio, nazionalità). L’acquisizione di questi dati è necessaria per fornire i servizi informatici connessi alla formazione online e consentire l’interazione dei docenti con l’ambiente, compresa l’indicazione del docente tutor. Il consenso è facoltativo, ma il mancato consenso al loro trattamento non consentirà l’accesso all’ambiente di formazione previsto dal DM 850/2015. 
4. dati personali autonomamente inseriti nell’ambiente di formazione. In nessun caso i dati personali acquisiti in questa fase verranno resi pubblici in modo da risalire all’identificazione degli autori. I dati potranno altresì essere utilizzati in forma aggregata e anonima al fine di monitorare l’azione formativa e predisporre il conseguente rapporto per conto del MIUR (cfr. rapporto di monitoraggio della formazione 2015/16). In questo caso i dati sono anonimizzati e non consentono in alcun modo identificare gli interessati, per questo non è necessario acquisire il consenso degli interessati.
5. dati personali di terzi (in particolare studenti minorenni e/o maggiorenni) inseriti autonomamente dai docenti nelle sezioni dedicate alla documentazione delle attività didattiche. Per questi dati il docente è responsabile di acquisire il consenso esplicito da parte dei genitori/tutori o degli studenti stessi se maggiorenni secondo il seguente modello:
• Modello di liberatoria per chiedere il consenso di acquisire foto o video-riprese di studenti minorenni e maggiorenni

RACCOMANDAZIONI FINALI E DICHIARAZIONE D’IMPEGNO INDIRE

Per quanto riguarda le situazioni ai punti 4 e 5, Indire consiglia esplicitamente di non inserire categorie particolari di dati personali (ex dati sensibili e giudiziari). In ogni caso fornisce la garanzia che questi non verranno in nessun modo resi pubblici.

Come descritto al punto 3, i dati destinati alla pubblicazione vengono analizzati in forma aggregata e anonima ai soli fini di monitorare la formazione, e per scopi statistici e scientifici. Indire si impegna a non pubblicare dati personali che consentano l’identificazione diretta o indiretta degli interessati.

Riferimenti