Privacy e Sicurezza, le risposte ai nuovi dilemmi
Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto. Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li riguardano nonché la misura in cui i dati personali sono o saranno trattati.
Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro. Tale principio riguarda, in particolare, l’informazione degli interessati sull’identità del titolare del trattamento e sulle finalità del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano. È opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonché alle modalità di esercizio dei loro diritti relativi a tale trattamento. In particolare, le finalità specifiche del trattamento dei dati personali dovrebbero essere esplicite e legittime e precisate al momento della raccolta di detti dati personali.
I dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento. Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica. È opportuno adottare tutte le misure ragionevoli affinché i dati personali inesatti siano rettificati o cancellati.
I dati personali dovrebbero essere trattati in modo da garantirne un’adeguata sicurezza e riservatezza, anche per impedire l’accesso o l’utilizzo non autorizzato dei dati personali e delle attrezzature impiegate per il trattamento
Con queste FAQ si vogliono dare spunti circa l’adeguamento alla normativa privacy:
Quali autorizzazioni servono alle aziende per permettere di fare profilazione su particolari categorie di dati personali?
Ai sensi del nuovo regolamento EU n. 679/2016 è possibile profilare le “particolari categorie di dati personali” (e cioè: dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona) qualora si verifichi almeno uno dei casi previsti dall’art. 9 (i.e.: “l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1; b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato; c) il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso; d) il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato; e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato; f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali; g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato; h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3; i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale”).
Quali caratteristiche possono essere profile dai dati?
Non vi sono esclusioni per le caratteristiche che possono essere profilate dai dati; una volta ottenuto previamente il consenso esplicito dell’interessato e l’opportuna informativa sul trattamento degli stessi e qualora ricorra almeno uno dei casi di cui all’art. 9 sopra citato; dovranno altresì essere specificate con precisione le finalità per cui gli stessi sono raccolti e le modalità con cui questi verranno trattati.
Un dato pubblico (es. foto profilo di Facebook, che si vede anche se non ho l’amicizia) è un dato personale? la sua trattazione rientra nella stessa casistica dei dati personali?
Si, è un dato che rientra nell’ambito dei dati personali, in quanto ai fini dell’art. 4 del regolamento 2016/679 per “dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Sono, ad esempio, dati personali: il nome e cognome o denominazione; l’indirizzo, il codice fiscale; ma anche un’immagine, la registrazione della voce di una persona, la sua impronta digitale, i dati sanitari, i dati bancari, ecc..”.
è opportuno aggiungere che nei termini e condizioni previsti facebook si fa esplicito riferimento alla impossibilità di effettuare il c.d. “facebook ID scraping”, e cioè l’attività di utilizzo dei dati personali, ancorchè nel profilo pubblico, per fini di profilazione o marketing.
Se profiliamo i dati di un’azienda internamente all’azienda (quindi non li devono far uscire dall’azienda) cambia qualcosa?
Se i dati non vengono divulgati a terzi, non cambia il dovere per il titolare del trattamento di dover informare gli interessati dell’utilizzo dei dati; altresì sarà necessario specificare tale ulteriore profilazione all’interno della privacy policy, indicando la ragione e la condizione stessa, per la quale i dati sono divulgati a terzi.
Rimane fermo il fatto che se la pubblicazione è effettuata da soggetti pubblici o da privati per scopi commerciali, professionali o comunque di profitto (mezzi di informazione, imprese, professionisti ecc.), il consenso deve essere espresso necessariamente per iscritto e dopo aver fornito all’interessato l’informativa sulla privacy.
Se l’azienda utilizzasse una sua branch estera per far profilare i dati, legalmente terrebbe?
No, ove l’interessato abbia prestato il suo consenso o il trattamento si basi sul diritto dell’Unione o degli Stati membri che costituisce una misura necessaria e proporzionata in una società democratica per salvaguardare, in particolare, importanti obiettivi di interesse pubblico generale, il titolare del trattamento dovrebbe poter sottoporre i dati personali a ulteriore trattamento a prescindere dalla compatibilità delle finalità. In ogni caso, dovrebbe essere garantita l’applicazione dei principi stabiliti dal presente regolamento, in particolare l’obbligo di informare l’interessato di tali altre finalità e dei suoi diritti, compreso il diritto di opporsi.
