Garante per i dati personali - 9/03/2005 - n. 159731 Articolo unico

Principi generali

Premesso che l'utilizzo della RFID può comportare condizionamenti e vincoli per gli interessati, il Garante, nel Provvedimento intende assicurare il rigoroso rispetto di tutti i principi generali in ambito di protezione dei dati personali. I trattamenti devono svolgersi rispettando i principi di necessità, liceità, finalità e qualità dei dati, di proporzionalità (artt. 3 e 11 del Cod. Privacy A-R). Va evidenziato che, anche ai sensi del d.lgs. n. 101/2018 – che ha abrogato l'art. 3), principio di necessità nel trattamento dei dati e l'art. 11) modalità del trattamento e requisiti dei dati – tale indicazione non potrà che essere integrata e correttamente riferita all'art. 5) GDPR.

L'analisi dell'interprete andrà riferita pertanto integralmente ai dettami del predetto art. 5, con uno sguardo, tra l'altro alla lett. e ), in relazione alle modalità di conservazione dei dati, i quali dovranno essere conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.

Relativamente al principio di liceità il Garante fa espresso riferimento alla circostanza secondo la quale l'utilizzo delle tecniche RFID deve svolgersi nel rispetto di leggi e regolamenti che possono di volta in volta rilevare a seconda del loro settore di impiego. In ambito lavorativo, l'uso di tecniche RFID deve in particolare rispettare il divieto di controllo a distanza del lavoratore disciplinato dall'art. 114 Cod. privacy A-R (“controllo a distanza”) e ripreso, senza modifiche nel contenuto ma solo nella rubrica della norma: “garanzie in materia di controllo a distanza”, dall'art. 114 Cod. privacy che mantiene fermo quanto disposto dall'art. 4 l. n. 300/1970.

Al termine della disamina dei principi generali richiamati dal Provvedimento, va evidenziato che posto che a seguito della pubblicazione del d.lgs. n. 101/2018 è stata sostanzialmente modificata la parte I, Disposizioni generali del Codice privacy, i riferimenti normativi del Provvedimento, relativi al principio di proporzionalità nel trattamento ai sensi dell'art. 11, comma 1), lett. d) del Cod. privacy A-R, dovranno essere correttamente indirizzati all'art. 5 GDPR, con riferimento al concetto di trattamento adeguato, pertinente e limitato a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»).

In riferimento alla potenziale raccolta di innumerevoli dati sulle abitudini dell'interessato a fini di profilazione, mediante l'utilizzo di tecniche RFID e fermo restando il principio della minimizzazione dei dati, è stato precisato in dottrina che, le possibilità offerte dalle operazioni di data miniming, possono riguardare non solo la profilazione del singolo interessato, ma anche il trattamento dei dati funzionale all'individuazione di target/gruppi entro cui ricomprenderlo.

Informativa

Con il termine RFID viene definita la moderna tecnologia per mezzo della quale è consentito eseguire l'identificazione univoca di un oggetto per il tramite della radiofrequenza. Questo è il sistema attraverso il quale funzionano le cosiddette “etichette intelligenti”, ossia microchip a radiofrequenza attivati da lettori ottici che nel tempo potrebbero sostituire i vecchi codici a barre dei prodotti. Sebbene tale metodologia, in questo momento, sia quasi esclusivamente utilizzata, nell'industria, per la rintracciabilità di merci e prodotti, le potenzialità di questi apparati non escludono forme di controllo sui movimenti delle persone. Le etichette infatti consentono di individuare la posizione geografica di chi le detiene, potendo essere applicate, ad esempio, sugli abiti che la persona indossa o addirittura ipotizzando un impianto sottocutaneo del microchip (utile in campo medico). Per tali ragioni il Garante, nel Provvedimento analizzato, prevede che il soggetto interessato, ai sensi dell'art. 13 del cod. privacy A-R, deve essere informato con apposita informativa, circa la presenza di etichette RFID e le relative modalità di trattamento specificando che, attraverso i sistemi connessi, è possibile raccogliere dati personali senza che gli interessati si attivino al riguardo. Analogamente, deve essere segnalata mediante informativa l'esistenza di lettori in grado di “attivare” l'etichetta (lettori i quali possono comunque essere posti in essere solo in quanto strettamente necessari in rapporto alla finalità del trattamento). Chiara evidenza deve essere data anche alle modalità per asportare o disattivare l'etichetta, o per interrompere in altro modo il funzionamento del sistema di RFID. L'informativa potrebbe essere altresì fornita attraverso appositi avvisi agevolmente visionabili nei luoghi in cui le tecniche RFID sono adoperate, con un formato ed un posizionamento tale da risultare chiaramente visibile. Va evidenziato che, anche ai sensi del d.lgs. n. 101/2018, che ha abrogato la norma relativa all'informativa (art. 13 d.lgs. n. 196/2003), tale indicazione non potrà che essere integrata e correttamente riferita all'art. 12,13 e 14 GDPR.

Il titolare del trattamento è il soggetto sul quale è posto l'obbligo di fornire l'informativa al soggetto interessato. Egli può delegare a tale attività il responsabile del trattamento e il personale dipendente. Sempre sul titolare grava l'onere probatorio di dimostrare di avere fornito l'informativa, in conformità ai principi generali dettati dal Regolamento all'art. 24 par. 1 e al considerando 24.

L'art. 13 GDPR si applica laddove i dati sono raccolti direttamente dal soggetto interessato. Ciò include le ipotesi nelle quali: (i) un soggetto interessato volontariamente fornisce i dati personali a un titolare del trattamento (ad esempio nel caso di compilazione di un modulo online), o (ii) il titolare del trattamento raccoglie i dati personali del soggetto interessato tramite monitoraggio (ad esempio, utilizzando strumenti di rilevamento dati automatici o software di raccolta dati come telecamere, apparecchiature di rete, Wi-Fi, RFID o altre tipologie di rilevamento). La trasmissione in modo tempestivo dell'informativa costituisce elemento cruciale per soddisfare l'esigenza di trasparenza nell'attuare il trattamento da parte del titolare. In particolare, per quanto concerne la tempistica della comunicazione delle informazioni al soggetto interessato, gli artt. 13 e 14 prevedono che le informazioni debbano essere fornite al soggetto interessato durante la fase iniziale del ciclo di trattamento dei dati. Ai sensi dell'art. 13 par. 1 le informazioni devono essere fornite “nel momento in cui i dati personali sono stati ottenuti”, ossia in occasione o nel contesto della raccolta. Il considerando 61 esplicita che il soggetto interessato “dovrebbe ricevere le informazioni relative al trattamento di dati personali che lo riguardano al momento della raccolta presso l'interessato”. In ogni caso l'informativa deve essere resa al soggetto interessato non soltanto al momento della raccolta ma comunque prima dell'ottenimento dei dati personali. La presenza di avvisi non esime i titolari del trattamento dall'apporre un'idonea informativa sugli oggetti o sui prodotti recanti le “etichette intelligenti”, qualora le stesse rimangano attive dopo che è stato reso possibile associarle con dati relativi a terzi identificati o identificabili, in particolare al di fuori dei luoghi (ad esempio esercizi commerciali) in cui si fa uso della RFID.

In attesa di una revisione del provvedimento, dovrà essere cura dell'interprete, integrare le presenti indicazioni con quanto previsto al capo III del GDPR con particolare riguardo ai diritti degli interessati.

Va considerato che come indicato dal Gruppo dei Garanti Europei, con le Linee Guida sulla Trasparenza, oltre al contenuto, rilevano anche la forma e il modo in cui dovrebbero essere fornite le informazioni richieste dagli artt. 13) e 14).

Il requisito che l'informazione sia “intelligibile” significa che dovrebbe essere compresa da un campione medio degli interessati. Questo significa che il Titolare deve identificare a priori l'utenza ipotizzata e verificare il livello di comprensione dell'utente medio. Poiché l'utenza ipotizzata, tuttavia, potrebbe differire da quella effettiva, il Titolare dovrebbe anche verificare regolarmente se l'informativa è ancora adatta all'utenza effettiva (in particolare quando comprende minori), e apporre delle modifiche se necessario (Gruppo di Lavoro art. 29 – Linee guida sulla trasparenza ai sensi del Regolamento (UE) 2016/679, adottate il 29 novembre 2017-WP 260).

Diversamente andranno riparametrati i riferimenti normativi al Codice privacy, posta la sostanziale abrogazione della parte prima del predetto codice, ai sensi del d.lgs. n. 101/2018; è necessario pertanto riferirsi al Par. 1) art. 5 GDPR.

Il Provvedimento prevede, altresì, che all'interessato deve essere riconosciuta la possibilità di ottenere, gratuitamente e in maniera agevole, la rimozione o la disattivazione delle etichette RFID al momento dell'acquisto del prodotto su cui è apposta l'etichetta o al termine dell'utilizzo del dispositivo. Le etichette devono essere posizionate in modo tale da risultare, per quanto possibile, facilmente asportabili senza danneggiare o limitare la funzionalità del prodotto o dell'oggetto a cui si riferiscono (ad esempio, disponendone la collocazione sulla sola confezione).

Un ulteriore aspetto che dovrà essere integrato in merito alla informativa a cura dell'interprete, è costituito dalle informazioni sulla profilazione e sul processo decisionale automatizzato, unitamente a informazioni pregnanti sulla logica applicata e le conseguenze rilevanti che si prevede il trattamento avrà per l'interessato.

L'interessato, difatti, dovrebbe avere il diritto di non essere sottoposto a una decisione, che possa includere una misura, che valuti aspetti personali che lo riguardano, che sia basata unicamente su un trattamento automatizzato che incida in modo analogo significativamente sulla sua persona. Tale trattamento comprende la “profilazione”, che consiste in una forma di trattamento automatizzato dei dati personali che valuta aspetti personali concernenti una persona fisica, in particolare al fine di analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato, ove ciò produca effetti giuridici che la riguardano o incida in modo analogo significativamente sulla sua persona.

In particolare, il Provvedimento richiede, che siano poste in distinta e specifica evidenza le caratteristiche dell'eventuale attività di profilazione e/o di marketing, come pure l'intenzione di cedere a terzi specificamente individuati i dati per finalità da indicare puntualmente.

In ultimo ai sensi dell'art. 13 par. 2) lett. a) dovrà essere indicato il periodo di conservazione dei dati in relazione alle specifiche finalità (si veda Gruppo di Lavoro art. 29 – Linee guida sulla trasparenza ai sensi del Regolamento (UE) 2016/679, adottate il 29 novembre 2017-WP 260).

La disciplina del consenso e l'analisi dei casi specifici individuati dal Garante

Il Provvedimento indica che l'utilizzo di RFID che implichi un trattamento di dati personali da parte di privati può essere effettuato solo con il consenso dell'interessato, disciplinato dall'art. 23 del Cod. Privacy A-R, a meno che ricorra un altro presupposto equipollente (casi nei quali può essere effettuato il trattamento senza consenso) del trattamento ai sensi dell'art. 24 del Cod. privacy A-R. In presenza di un trattamento di dati personali, il consenso, ove necessario, deve avere i requisiti previsti dall'art. 23 del predetto codice. In particolare, esso deve essere specifico ed espresso, non rilevando a tal fine il semplice comportamento concludente dell'interessato (art. 23, commi 1 e 3). Inoltre secondo il comma 3 del predetto art. 23 il consenso non è altresì valido se ottenuto sulla base di pressioni o condizionamenti sull'interessato.

Ad ogni modo, il Garante ha affermato nel Provvedimento che, anche in presenza del consenso dell'interessato o di altro presupposto su cui questo si fonda, il trattamento dei dati personali mediante RFID deve comunque svolgersi nel rispetto dei principi generali su richiamati.

Pur se le predette norme sono state abrogate dal d.lgs. n. 101/2018 la normativa europea in vigore disciplina la materia del consenso del soggetto interessato all'art. 7 GDPR), come una condizione di liceità del trattamento ai sensi dell'art. 6, par. 1, lett. a) definendolo all'art. 4, par. 11, come “qualsiasi manifestazione di volontà libera, specifica e informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento. Le ulteriori basi giuridiche (ex presupposti equipollenti cui si riferiva il Provvedimento) su cui si fonda la liceità del trattamento sono contenute nell'art. 6 del GDPR e possono essere elencate, oltre al consenso, tra le seguenti: all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso, obbligo legale al quale è soggetto il titolare del trattamento, la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica, esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento, legittimo interesse del titolare del trattamento o di terzi.

In continuità con quanto previsto dal Codice privacy A-R, il consenso, ai sensi della normativa europea (art. 7 GDPR) deve essere esplicito, riferendosi alla modalità in cui lo stesso è espresso. Tali ipotesi sono contemplate dall'art. 9 per il trattamento delle categorie particolari di dati personali, dall'art. 49 per il trasferimento di dati personali verso Paesi terzi e dall'art. 22 relativamente ai processi decisionali automatizzati. A tal proposito le Linee Guida indicano che un modo per esprimere il consenso in modo esplicito potrebbe consistere nel confermare espressamente il consenso in una dichiarazione scritta, se del caso assicurandosi che sia firmata dall'interessato.

Qualora il trattamento abbia più finalità il consenso deve essere prestato per le singole finalità; la soluzione per soddisfare le condizioni per la validità del consenso risiede nella granularità, ossia nella separazione delle finalità e nell'ottenimento del consenso per ciascuna di esse. La granularità è strettamente correlata alla necessità che il consenso sia specifico, “funge da garanzia contro l'ampliamento progressivo, o la commistione, delle finalità di trattamento dei dati dopo che l'interessato ha acconsentito alla loro raccolta iniziale. Tale fenomeno rappresenta un rischio per l'interessato, poiché può comportare l'uso non previsto di dati personali da parte del titolare del trattamento o di terzi e la perdita del controllo da parte dell'interessato. Il consenso deve essere specifico per finalità: se il Titolare tratta i dati basandosi sul presupposto del consenso e intende trattarli per un'altra finalità, deve richiedere un ulteriore consenso per tale finalità a meno che non possa basarsi su un'altra base giuridica. Sempre ai sensi dell'art. 7 GDPR il consenso e come si evince dalla definizione di cui all'art. 4 n. 11, ulteriore requisito di validità del consenso è rappresentato dalla sua libertà (intesa quale assenza di condizionamenti nella formazione oltre che nell'espressione della volontà). Il predetto requisito, già noto alla precedente normativa, implica l'assenza di condizionamenti, da valutarsi in particolare in relazione alle conseguenze di un eventuale dissenso. Il considerando 42 puntualizza che il requisito di libertà del consenso deve ritenersi non sussistente qualora l'interessato non sia in grado di operare una scelta autenticamente libera o sia impossibilitato a rifiutare o revocare il consenso senza subirne pregiudizio. Viceversa il considerando 43 evidenzia come, per assicurare la libertà del consenso, è opportuno che esso non costituisca un valido presupposto per il trattamento dei dati personali nelle quali esista un evidente squilibrio tra l'interessato ed il titolare.

Il Provvedimento analizzato fa riferimento al trattamento riguardante i dati di carattere sensibile (previsti dall'art. 4, comma 1, lett. d) d.lgs. n. 196/2003, abrogato dal d.lgs. n. 101/2018 secondo cui il consenso doveva essere manifestato per iscritto e il trattamento effettuato solo previa autorizzazione del Garante (ex art. 26 “garanzie per i dati sensibili” del Cod. Privacy A-R).

L'analisi del Provvedimento entra nel merito dell'utilizzo dei dati sensibili, così come definiti dall'art. 4, comma 1), lett. d), Cod. Privacy A-R, affermando che l'utilizzo di tali dati non è di regola ammessa per alcuna delle finalità indicate, fatta salva l'ipotesi eccezionale nella quale il trattamento di dati sia realmente indispensabile in rapporto allo specifico bene o servizio richiesto e sia stato autorizzato dal Garante, oltre che acconsentito per iscritto dall'interessato, in linea a quanto era previsto dall'art. 26 Codice privacy A-R.

Va rilevato in primis , il riferimento ai dati sensibili non più attuale ai sensi delle definizioni del GDPR, non potrà che essere collegato all'art. 9 del Reg. EU 2016/679, che vieta il trattamento di dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.

Mentre la deroga al divieto, relazionata alla tipicità e finalità del trattamento connesse all'utilizzo di tecniche RFID potrà essere collegata al paragrafo 2) lett. a) art. 9, del GDPR, che esclude il divieto se l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell'Unione o degli Stati membri dispone che l'interessato non possa revocare il divieto di cui al paragrafo 1), nonché all'art. 6 paragrafo 2) lett. a) e b).

Tale ipotesi di esclusione, dovrebbe tra l'altro essere relazionata a quanto previsto nel Provvedimento che la considera eccezionale in quanto il trattamento di dati sia realmente indispensabile in rapporto allo specifico bene o servizio richiesto e sia stato autorizzato dal Garante, oltre che acconsentito per iscritto dall'interessato.

In merito alla autorizzazione preventiva del Garante, va precisato che secondo il principio di responsabilizzazione, l'istituto della notifica e del prior checking, vengono sostituiti da verifiche dell'autorità di controllo ex post, cioè compiute successivamente alle determinazioni assunte autonomamente dal titolare del trattamento. Oggi, per adottare le misure di sicurezza adeguate in base al tipo di trattamento svolto, il titolare dovrà effettuare un'analisi del rischio, vale a dire valutare tutti i possibili rischi che possono verificarsi in ordine ai dati trattati (art. 24 GDPR).

Ai sensi dell'art. 35 del GDPR, quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.

Ove emerga che il trattamento può presentare un rischio elevato in assenza di misure adottate dal titolare del trattamento, il titolare del trattamento consulterà l'autorità di controllo prima di procedere al trattamento (art. 36).

La consultazione preventiva difatti sostituisce la verifica preliminare di cui all'art. 17 Cod. privacy A-R (in questo senso art. 36 GDPR).

Un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi dell'art. 35, comma 4 GDPR, è stato Pubblicato sulla Gazzetta Ufficiale Serie Generale n. 269 del 19 novembre 2018 – (Delibera GPDP n. 467/2018).

Nella consapevolezza della prevedibile diffusione delle tecniche RFID in diversi settori ed impieghi, il Garante, ha distinto, con riferimento al profilo del consenso, alcuni casi specifici riscontrabili: qualora le tecniche di RFID siano adoperate, in esercizi commerciali, nel quadro delle modalità di pagamento (ad es. cd. carrello elettronico), e tale impiego non comporti alcuna riconducibilità dei prodotti ad acquirenti identificati o identificabili. Non sussiste, in tal caso, la necessità di richiedere un consenso ai clienti stessi.

Ulteriore caso disciplinato dal Garante riguarda le tecniche di RFID associate all'utilizzo di carte di fidelizzazione della clientela e al trattamento di dati relativi a clienti a fini di profilazione commerciale, per i quali valgono anche i principi di protezione dei dati, con specifico riferimento a informativa, consenso, oltre ai principi generali conformi alla normativa in vigore, esplicitati altresì nel provvedimento del 24 febbraio 2005 sulle Carte fedeltà (si veda il Commento sulle Fidelity card contenuto nella presente opera).

Nei casi di impiego di RFID per la verifica di accessi a determinati luoghi riservati devono essere predisposte idonee cautele per i diritti e le libertà degli interessati. In particolare, ove si intenda utilizzare tali tecniche per verificare accessi a luoghi di lavoro, va tenuto conto della circostanza che lo Statuto dei lavoratori vieta l'uso di impianti e apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori e, nel caso in cui il loro impiego risulti necessario per altre finalità, prescrive specifiche garanzie (art. 4 della l. n. 300/1970; art. 114 Cod. privacy) alle quali si affianca l'osservanza dei su richiamati principi in tema di protezione dei dati personali.

Qualora la RFID sia utilizzata per controllare l'accesso occasionale di terzi a determinati luoghi, occorre predisporre un meccanismo che, in caso di indisponibilità dell'interessato, permetta a quest'ultimo di entrare comunque nel luogo in questione, con eventuale adozione, solo qualora necessario, di misure di cautela rimesse alla ragionevole valutazione del titolare.

Esercizio dei diritti

In tema di esercizio dei diritti dell'interessato, il Garante, afferma che il titolare del trattamento deve agevolare l'esercizio, da parte dell'interessato, dei diritti di cui all'art. 7 Cod. privacy A-R semplificando le modalità e riducendo i tempi per il riscontro al richiedente. Già nella fase di progettazione delle tecnologie, i produttori di sistemi RFID dovrebbero opportunamente predisporre modalità idonee a garantire agli interessati un agevole esercizio dei diritti.

Il par. 2 dell'art. 12 GDPR è dedicato al dovere del titolare di facilitare l'esercizio dei diritti degli interessati previsti dagli artt. da 15 a 22. In base al richiamo di tali norme il titolare deve fornire al soggetto interessato le informazioni relative all'azione intrapresa con riguardo ad una richiesta di accesso ai dati ex art. 15; di rettifica e di cancellazione dei dati ex art. 16 e art. 17 (c.d. “diritto all'oblio”); di limitazione del trattamento ex art. 18 (nel caso di inesattezza, di trattamento illecito, di utilizzo in sede giudiziaria, di opposizione in attesa di verifica sulla prevalenza di motivi legittimi del titolare); di portabilità dei dati ex art. 20 (rispetto alla possibilità per l'interessato di ottenere dati in un formato strutturato di uso comune e leggibile da dispositivo automatico senza impedimenti); di opposizione al trattamento ex art. 21 e di non sottoposizione a una decisione unicamente fondata su un trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o incida in modo analogo significativamente sulla sua persona ex art. 22. Quanto ai tempi di risposta, il titolare ai sensi del comma 3 dell'art. 12 del GDPR, deve fornire all'interessato le informazioni relative all'azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l'interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l'interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell'interessato. Ai sensi del comma 4 se non ottempera alla richiesta dell'interessato, il titolare del trattamento informa l'interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale.

Nel rimarcare l'esigenza di favorire l'esercizio dei suddetti diritti la norma conferma e specifica, il dato sostanziale già presente nell'art. 12, lett. a) della Dir. 95/46/CE con riguardo al riconoscimento dell'esercizio “libero e senza costrizione, ad intervalli ragionevoli e senza ritardi o spese eccessive” dei diritti della persona interessata. La disposizione si collega, altresì, al considerando 59 del GDPR secondo il quale “è opportuno prevedere modalità volte ad agevolare l'esercizio, da parte dell'interessato, dei diritti di cui al Regolamento, compresi i meccanismi per richiedere e, se del caso, ottenere gratuitamente, in particolare l'accesso ai dati, la loro rettifica e cancellazione e per esercitare il diritto di opposizione”.

Difatti, come ricorda l'Autorità nella propria “Guida all'applicazione del Regolamento europeo in materia di protezione dei dati personali”, il titolare del trattamento deve agevolare l'esercizio dei diritti da parte dell'interessato, adottando ogni misura, tecnica ed organizzativa, a ciò idonea. Benché sia il solo titolare a dover dare riscontro in caso di esercizio dei diritti (artt. 15-22), il responsabile del trattamento, eventualmente nominato, è tenuto a collaborare con il titolare ai fini dell'esercizio dei diritti degli interessati (art. 28, paragrafo 3, lett. e) GDPR).

Dinanzi l'espansione delle nuove tecnologie di cui in narrativa, il Garante fa riferimento ai produttori (quali Titolari del trattamento o Responsabili a seconda dei casi) di sistemi RFID i quali dovrebbero opportunamente predisporre modalità idonee a garantire agli interessati un agevole esercizio dei diritti. L'attuazione di adeguate misure tecniche e organizzative, al momento sia della progettazione che dell'esecuzione del trattamento, riconduce ad uno dei principi fondanti del Regolamento europeo, c.d. privacy by design e privacy by default, previsto dall'art. 25 GDPR. Tale principio introduce un approccio concettuale innovativo che impone al Titolare del trattamento l'obbligo di avviare un progetto prevedendo, fin dall'inizio, l'adozione di misure volte a tutelare i dati personali per impostazione predefinita. L'approccio privacy by Design e by Default si fonda su una serie di principi generali che posizionano l'interessato al centro di ogni nuovo progetto/trattamento/processo sin dalle prime fasi di progettazione, così da anticipare e prevenire l'insorgenza successiva di potenziali lesioni dei suoi diritti e delle sue libertà.

La predetta disposizione riprende alcuni principi e concetti già fatti propri dal Codice in materia di tutela dei dati personali, introducendo una distinzione fondamentale tra privacy by Default e privacy by Design: nel primo caso, il GDPR allude alla necessità di tutelare la vita privata dei soggetti interessati di default, ovvero come impostazione predefinita da parte del Titolare, nel secondo caso, stabilisce che la protezione dei dati deve avvenire fin dalla fase relativa al disegno o progettazione di un processo interno al contesto in cui opera il Titolare.

Di seguito una possibile descrizione delle principali attività che potrebbero essere svolte per ciascuna fase del ciclo di sviluppo e rilascio di un prodotto/servizio anche relativo ad una nuova tecnologia o dispositivo utilizzato dal Titolare del trattamento.

– Richiesta e analisi: Nella fase preliminare di progetto in cui si valuta la fattibilità delle esigenze e richieste del business, occorre svolgere analisi volte a individuare e analizzare tutte le possibili criticità e i rischi connessi alla protezione dei dati personali. In questa fase si rende necessario condurre una valutazione dell'impatto sulla protezione dei dati personali (DPIA) ogni qualvolta un nuovo processo del titolare del trattamento rischia di comportare un rischio elevato per i diritti e le libertà degli interessati.

Qualora vi siano criticità significative e non risolvibili che potranno ledere i diritti e le libertà degli interessati, sarà opportuno bloccare l'idea già in questa fase, in modo da limitare investimenti non adeguati.

– Disegno: Nella fase di disegno viene definita l'architettura del sistema, le componenti, i moduli, le interfacce o i processi specifici per soddisfare i requisiti del GDPR e le best practices in materia di sicurezza informatica. Nel corso della fase di progettazione è necessario individuare le misure tecnico-organizzative atte a garantire un adeguato livello di sicurezza attraverso l'analisi e la modellazione delle minacce inerenti i sistemi coinvolti e le relative interfacce.

– Implementazione e test: Nella fase di implementazione rientra lo sviluppo del sistema disegnato, comprensivo di tutte le misure di sicurezza identificate a protezione della sicurezza dei diritti e delle libertà degli interessati.

A seguito dell'implementazione, devono essere svolti dei test finalizzati a verificare il soddisfacimento delle specifiche in materia di data protection e sicurezza, prevendo ove necessario il coinvolgimento degli “utenti di business” e degli utenti finali.

– Rilascio: Contestualmente con il rilascio in produzione del servizio o del prodotto, devono essere rilasciate tutte quelle componenti necessarie a garantire la tutela dei diritti e delle libertà degli interessati, quali ad esempio, le informative e i consensi, e le modalità per la gestione delle istanze.

Impianto sottocutaneo di microchip

In considerazione dei potenziali rischi derivanti dall'utilizzo di tali sistemi, sia per la salute dei soggetti che si sottopongono all'impianto, sia per la sicurezza dei dati personali trattati, il Provvedimento prevede che l'impiego di microchip sottocutaneo può essere ammesso solo in casi eccezionali, per comprovate e giustificate esigenze a tutela della salute delle persone, in stretta aderenza al principio di proporzionalità (art. 11 del Cod. Privacy A-R) e nel rigoroso rispetto della dignità dell'interessato (art. 2, comma 1 Cod. Privacy A-R) fatte salve le altre previsioni della normativa sulla protezione dei dati e le prescrizioni del Provvedimento in oggetto. Ai sensi del d.lgs. n. 101/2018, che ha abrogato l'art. 11 disciplinante le modalità del trattamento e i requisiti dei dati e modificato l'art. 2 del d.lgs. n. 196/2003, prevedendo che il medesimo reca disposizioni per l'adeguamento dell'ordinamento nazionale alle disposizioni del Regolamento, tali indicazioni non potranno che essere integrate e correttamente riferite all'art. 5 GDPR.

Ad ogni modo l'interessato dovrebbe poter essere in grado di ottenere di regola, in qualunque momento e senza oneri, la rimozione del microchip e l'interruzione del relativo trattamento dei dati che lo riguardano.

I titolari del trattamento devono, inoltre, predisporre modalità di impianto e di impiego delle etichette sottocutanee tali da garantire la riservatezza circa la presenza delle stesse nel corpo dell'interessato. I trattamenti di dati sensibili, oltre che effettuati nell'osservanza dei presupposti e dei limiti stabiliti dal Codice devono essere, non più preventivamente autorizzati dal Garante, bensì sostituiti da verifiche dell'autorità di controllo ex post, cioè compiute successivamente alle determinazioni assunte autonomamente dal titolare del trattamento in ottica di accountability.

L'analisi del Provvedimento entra nel merito del trattamento dei dati sensibili, così come definiti dall'art. 4, comma 1, lett. d), del Cod. Privacy A-R, affermando che l'utilizzo di tali dati non è di regola ammessa per alcuna delle finalità indicate, fatta salva l'ipotesi eccezionale nella quale il trattamento di dati sia realmente indispensabile in rapporto allo specifico bene o servizio richiesto e sia stato autorizzato dal Garante, oltre che acconsentito per iscritto dall'interessato, in linea a quanto era previsto dall'art. 26 Cod. privacy A-R (garanzie per i dati sensibili).

Va rilevato in primis , il riferimento ai dati sensibili non più attuale ai sensi delle definizioni, non potrà che essere collegato all'art. 9 Reg. UE 2016/679, che vieta il trattamento di dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.

Mentre la deroga al divieto, relazionata alla tipicità e finalità del trattamento connesse all'utilizzo di tecniche RFID potrà essere collegata al paragrafo 2), lett. a), art. 9 GDPR, che esclude il divieto se l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell'Unione o degli Stati membri dispone che l'interessato non possa revocare il divieto di cui al paragrafo 1), nonché all'art. 6, paragrafo 2), lett. a) e b).

Tale ipotesi di esclusione, dovrebbe tra l'altro essere relazionata a quanto previsto nel Provvedimento che la considera eccezionale in quanto il trattamento di dati sia realmente indispensabile in rapporto allo specifico bene o servizio richiesto e sia stato autorizzato dal Garante, oltre che acconsentito per iscritto dall'interessato.

Il Garante si riservava di prescrivere ai titolari del trattamento, ai sensi dell'art. 17 Cod. privacy A-R, di sottoporre alla verifica preliminare (dell'Autorità stessa), anche con eventuali provvedimenti di carattere generale, i sistemi di RFID destinati all'impianto sottocutaneo che, in quanto tali, presentassero rischi specifici per i diritti, le libertà fondamentali e la dignità degli interessati.

In coerenza con il principio di accountability del titolare, l'istituto del prior checking (e della notifica, di cui si dirà in seguito) vengono sostituiti da verifiche dell'autorità di controllo ex post, cioè compiute in una fase successiva alle determinazioni assunte dal titolare del trattamento in modo autonomo. Ai fini dell'adozione delle misure di sicurezza adeguate in base al tipo di trattamento svolto, il titolare dovrà effettuare un'analisi del rischio, ovvero procedere ad una valutazione dei rischi che potrebbero verificarsi in ordine ai dati personali trattati (art. 24 GDPR).

Relativamente alla c.d. “verifica preliminare” il Garante, in data 29 novembre 2012, ha pubblicato un provvedimento avente ad oggetto la richiesta, da parte di un'azienda ospedaliera, del trattamento dei dati personali attraverso un sistema “RFID” di monitoraggio a distanza di pazienti portatori di defibrillatori cardiaci impiantabili attivi. In tal caso il Garante ha autorizzato il trattamento richiamando il proprio Provvedimento generale del 9 marzo 2005 e precisando che l'inserimento di microprocessori sottopelle, per l'evidente delicatezza delle implicazioni che ne derivano sui diritti delle persone, rende necessaria la predisposizione di particolari cautele [Provvedimento 29 novembre 2012 [web 2276103]].

Ulteriori prescrizioni

Il Garante, nel Provvedimento analizzato, manteneva fermi, in aggiunta alle suddette prescrizioni, gli obblighi che il d.lgs. n. 196/2003 dettava ai titolari del trattamento, tra i quali: l'obbligo di notificazione dei trattamenti al Garante, gli obblighi relativi alle misure di sicurezza (ex artt. 31-36 e Allegato B del Codice) ed infine la selezione di figure interne all'organizzazione analizzati di seguito.

La Direttiva 95/46/CE aveva introdotto un obbligo generale di notificare alle autorità di controllo il trattamento dei dati personali. Mentre tale obbligo comportava oneri amministrativi e finanziari, non sempre contribuiva a migliorare la protezione dei dati personali. Il considerando 89 al GDPR, prevede che sia opportuno abolire tali obblighi generali e indiscriminati di notifica e sostituirli con meccanismi e procedure efficaci che si concentrino piuttosto su quei tipi di trattamenti che potenzialmente presentano un rischio elevato per i diritti e le libertà delle persone fisiche, per loro natura, ambito di applicazione, contesto e finalità. In tali tipi di trattamenti rientrano, in particolare, quelli che comportano l'utilizzo di nuove tecnologie o quelli che sono di nuovo tipo e in relazione ai quali il titolare del trattamento non ha ancora effettuato una valutazione d'impatto sulla protezione dei dati, o la valutazione d'impatto sulla protezione dei dati si riveli necessaria alla luce del tempo trascorso dal trattamento iniziale. Rileva, altresì il considerando 90 al GDPR, il quale prevede che nei predetti casi, è opportuno che il titolare del trattamento effettui una valutazione d'impatto sulla protezione dei dati prima del trattamento, per valutare la particolare probabilità e gravità del rischio, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento e delle fonti di rischio. La valutazione di impatto dovrebbe vertere, in particolare, anche sulle misure, sulle garanzie e sui meccanismi previsti per attenuare tale rischio assicurando la protezione dei dati personali e dimostrando la conformità al presente Regolamento.

Obbligo di notificazione

L'obbligo di notificazione al Garante relativo ai trattamenti concernenti dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica e dei trattamenti effettuati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzarne abitudini e scelte in ordine ai prodotti acquistati, era disciplinato, fino all'entrata in vigore del d.lgs. n. 101/2018, rispettivamente dall'art. 37 del d.lgs. n. 196/2003 comma 1 lett. a) e lett. d).

La verifica preliminare era un'attività che veniva svolta dal Garante Privacy sia d'ufficio che a seguito di interpello inviato dal titolare del trattamento ai sensi dell'art. 17 Cod. privacy A-R. Questa attività veniva svolta dall'Autorità di controllo quando il trattamento presentava rischi specifici per i diritti e le libertà fondamentali degli interessati. L'art. 37 del Cod. privacy A-R prevedeva l'obbligo di notifica al Garante Privacy per varie tipologie di trattamento, che potevano anche includere la definizione di un profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con l'esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti.

Posta l'abrogazione espressa dell'art. 37 del Cod. privacy A-R e dell'Allegato B al Codice privacy, si può affermare che detta sezione del Provvedimento non è più vigente.

Con l'entrata in vigore del Regolamento, è stato introdotto l'istituto della “valutazione d'impatto sulla protezione dei dati” (DPIA), che deve essere svolta dal titolare del trattamento qualora il trattamento comporti un “rischio elevato per i diritti e le libertà delle persone fisiche”. La consultazione con l'autorità di controllo è invece prevista dall'art. 36 GDPR solo nel caso in cui dopo aver eseguito la DPIA permanga un rischio elevato, nell'ottica di una crescente responsabilizzazione del titolare e di una valutazione dei rischi effettuata sul caso concreto. L'art. 36 GDPR prevede infatti che il titolare deve consultare l'autorità di controllo solo se, dopo aver svolto una valutazione d'impatto e messo in atto tutte le misure appropriate, il rischio per i diritti e le libertà delle persone fisiche continua ad essere elevato. In tal senso, la consultazione con l'autorità di controllo muta la sua natura, divenendo meramente eventuale e solamente successiva alla valutazione d'impatto svolta dal titolare. Gli articoli del Codice privacy A-R che regolavano i precedenti istituti, artt. 17 e 37, sono stati abrogati dal d.lgs. n. 101/2018.

Nonostante l'abrogazione espressa delle predette disposizioni normative, potrebbe ancora sussistere un obbligo per i soggetti pubblici e privati di contattare preventivamente l'autorità di controllo. Infatti, l'art. 36 comma 5 GDPR rubricato “Consultazione preventiva”, prevede che il diritto degli Stati membri possa prescrivere ai titolari del trattamento di consultare l'autorità di controllo e ottenere l'autorizzazione preliminare quando il trattamento riguardi l'esecuzione di un compito di interesse pubblico.

Il sistema introdotto dal Regolamento cambia il paradigma e ribalta l'approccio sino ad ora seguito ponendo attenzione all'obbligo del titolare del trattamento di realizzare una DPIA (valutazione di impatto ai sensi dell'art. 35 GDPR) preventiva sui trattamenti suscettibili di generare un rischio elevato e sulle misure da adottare per ridurre il predetto rischio, senza coinvolgere, inizialmente l'Autorità di controllo. Il Garante Privacy italiano, a tal riguardo, ha pubblicato un Provvedimento ai sensi dell'art. 35, comma 4 GDPR, contenente l'elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati (Provvedimento GPDP, 11 ottobre 2018, n. 467 – [web n. 9058979]).

Tra le macro-tipologie di trattamento riportate nell'elenco, che dovranno necessariamente eseguire un data protection impact assessment, rientrano i trattamenti effettuati attraverso l'uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT, sistemi di intelligenza artificiale, utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale, monitoraggi effettuati da dispositivi wearable, tracciamenti di prossimità come ad es. il wi-fi tracking) ogniqualvolta ricorra anche almeno un altro dei criteri individuati nel WP 248, rev. 01. Il Garante nel predetto provvedimento (Allegato 1 al Provvedimento n. 467 dell'11 ottobre 2018) sottolinea che l'elenco dei trattamenti non è da ritenersi esaustivo. I titolari del trattamento, quali PA ed aziende, difatti, hanno l'obbligo di eseguire una DPIA anche qualora ricorrano due o più criteri individuati nelle Linee guida WP 248 rev. 01 del 2017 oppure quando un titolare ritenga che un trattamento che soddisfa anche solo uno dei criteri richieda una valutazione di impatto.

Il Gruppo di Lavoro art. 29, nel parere Parere 9/2011, ha predisposto delle linee guida relative alle procedure interne rilevanti per l'esecuzione di una DPIA per una applicazione RFID (si veda Opinion 9/2011 on the revised Industry Proposal for a Privacy and Data Protection Impact Assessment Framework for RFID Applications, WP 180, Adopted on 11 February 2011).

Le predette procedure interne sono relative alla compilazione della documentazione volta a determinare le figure (revisori), all'interno dell'organizzazione, deputate a identificare le condizioni che potrebbero innescare una revisione della DPIA ed una consultazione delle parti interessate.

Il processo DPIA descritto nelle predette linee guida consiste in due fasi: la prima di pre-valutazione volta a classificare un'applicazione RFID basandosi su una scala di 4 livelli. Il risultato di tale valutazione consente di determinare se è richiesta o meno una valutazione di impatto, optando per una “DPIA su scala intera” e/o “su scala ridotta. Le applicazioni che utilizzano tag RFID trasportabili da individui richiedono almeno una “DPIA su scala ridotta” (livello 1), mentre le applicazioni che elaborano ulteriormente i dati personali richiederanno una “DPIA completa” (livello 2 e 3). Al contrario, non è richiesta alcuna DPIA (livello 0) nei casi in cui non ci siano RFID trasportabili né vengono effettuati ulteriori trattamenti sui dati personali.

Una fase di valutazione del rischio viene suddivisa in 4 fasi principali: 1) Caratterizzazione dell'applicazione (tipi di dati, flussi di dati, tecnologia RFID, archiviazione e trasferimenti di dati, ecc.) 2) Identificazione dei rischi per i dati personali, valutando le minacce, le loro probabilità e il loro impatto in termini di privacy e conformità con l'Europa legislazione. 3) Identificazione e raccomandazione dei controlli, in risposta a precedenti rischi identificati. 4) Documentazione dei risultati della DPIA, definizione di una risoluzione per quanto riguarda le condizioni di attuazione dell'applicazione RFID in revisione e informazioni sui rischi residui. Ogni fase della fase di valutazione del rischio è ulteriormente supportata dagli elementi contenuti nelle linee guida volte a fornire una guida al revisore. In particolare un modello per descrivere le caratteristiche chiave dell'applicazione RFID, un elenco di 9 obiettivi in ambito data protection per l'applicazione RFID, un elenco di rischi tipici di questo con descrizioni ed esempi anche relativi a controlli e misure di attenuazione che possono essere utilizzati in risposta a rischi precedentemente identificati. Il risultato di un DPIA è formalizzato dal gestore dell'applicazione RFID (in un rapporto ad essa destinato), che descrive l'applicazione RFID documentando i dettagli delle 4 fasi di valutazione del rischio di cui sopra.

La metodologia di valutazione del rischio proposta è avviata su un modello di pre-valutazione che classifica le applicazioni RFID in base a 4 livelli. Il gruppo di lavoro osserva che il modello delle decisioni proposto contiene un'ambiguità riguardo a ciò che può o non può essere considerato come dato personale in un'applicazione RFID. Se un tag contenente un ID univoco è destinato a essere trasportato da una persona, tale ID dovrebbe essere considerato come dato personale, come evidenziato nel parere 5/2010. Tuttavia, il gruppo di lavoro è in linea con la revisione effettuata la quale richiede agli operatori RFID di condurre una DPIA ogni volta che i tag sono portati da un individuo. Uno dei principali problemi di privacy relativi all'RFID deriva dall'uso della tecnologia RFID che comporta l'accesso ed il monitoraggio ai dati personali. È importante considerare il rischio che una terza parte possa utilizzare i tag per scopi non intenzionali; il framework rivisto richiede agli operatori RFID di valutare i rischi che possono insorgere quando i tag possono essere utilizzati al di fuori del perimetro operativo di un'applicazione RFID e/o trasportati da persone. Tale preoccupazione ha ricevuto particolare attenzione nel settore del commercio al dettaglio, dove si teme che qualora gli articoli acquistati da privati venissero “etichettati”, potrebbero essere successivamente utilizzati impropriamente da rivenditori o da terzi per il tracciamento o per la profilazione. Tale aspetto è stato affrontato nella raccomandazione della Commissione europea in cui si è stabilito il principio secondo cui i tag devono essere disattivati all'interno del punto di vendita, a meno che i clienti prestino il proprio consenso informato per mantenere operativi i tag. Inoltre la raccomandazione consente, ad eccezione di tale principio, di non disattivare i tag se l'esito della valutazione di impatto propenda per il mantenimento dei tag operativi anche all'uscita dal punto vendita, non costituendo una probabile minaccia per la protezione di dati personali. Il gruppo di lavoro osserva che un approccio di gestione del rischio, come suggerito dal framework, è uno strumento essenziale per l'Operatore RFID per valutare i suddetti rischi.

La realizzazione di una DPIA comporterà la produzione di un rapporto DPIA che dovrebbe essere reso disponibile all'autorità competente almeno 6 settimane prima dell'implementazione dell'applicazione RFID.

Il gruppo di lavoro evidenzia, altresì, che la realizzazione di una DPIA richiederà di sviluppare e pubblicare informazioni concise, accurate e di facile comprensione politica per ciascuna delle loro applicazioni all'operatore RFID. (come descritto al punto 7 della raccomandazione).

Una DPIA è uno strumento progettato per promuovere “privacy by design”, una migliore informazione per gli individui come nonché trasparenza e dialogo con le autorità competenti. Di conseguenza, dal momento che alcune applicazioni RFID saranno implementate in diversi stati membri, è importante che la DPIA e le relazioni siano tradotte e messe a disposizione delle autorità competenti nella loro lingua nazionale.

Gli obblighi relativi alle misure di sicurezza

Premesso che gli obblighi relativi alle misure di sicurezza previsti dagli artt. 31-36 e dall'Allegato B del d.lgs. n. 196/2003 sono stati abrogati, per quanto concerne gli obblighi relativi all'adozione delle misure di sicurezza occorre fare un cenno all'art. 11 del d.lgs. n. 101/2018, che va a modificare il Titolo X, Capo I, del Codice privacy e l'art. 27, comma 1, lett. d), della normativa di attuazione (da cui ne conseguì la predetta abrogazione dell'allegato B e con esso le prescrizioni minime che il titolare o responsabile del trattamento dovevano adottare a garanzia dei dati personali in proprio possesso). Ciò riflette l'approccio dettato dal legislatore sovranazionale che è quello di non individuare misure minime di sicurezza ma, basandosi sul principio di accountability (responsabilizzazione), concedere discrezionalità ai titolari e responsabili del trattamento di individuare le adeguate misure tecniche ed organizzative per assicurare la necessaria tutela dei dati.

Tra questi, il predetto principio di responsabilizzazione costituisce il fondamento di tutta la disciplina prevista dal Regolamento e dovrà caratterizzare la condotta dei titolari del trattamento i quali sono chiamati a porre in essere le loro attività in conformità ai principi e alle regole previste dalla normativa comunitaria.

Il passaggio dall'Allegato B, contenente le prescrizioni minime che il titolare o responsabile del trattamento dovevano attuare ai fini di una corretta protezione dei dati, ad un sistema fondato sulla responsabilizzazione del titolare si fonda sia sugli effetti derivanti dal progresso tecnologico ma anche sulla comprensione della molteplicità di contesti in cui i dati personali sono trattati.

Figure interne all'organizzazione

Il d.lgs. n. 196/2003, in merito ai soggetti autorizzati a compiere operazioni di trattamento sulla base dei compiti assegnati e delle istruzioni impartite faceva riferimento ai soggetti incaricati (ex art. 30) o responsabili del trattamento (ex art. 29).

Per quanto riguarda le figure interne, il Provvedimento faceva riferimento ai responsabili e agli incaricati intesi ai sensi dagli artt. 29 e 30 del Cod. Privacy A-R, che li ha espressamente abrogati. Tale parte del provvedimento deve quindi considerarsi superata da quanto disposto dal Regolamento e dall'art. 2-quaterdecies del Cod. privacy.

Il concetto di responsabile del trattamento interno è superato dalla normativa europea, che all'art. 28 pone tutta una serie di obblighi e previsioni che devono essere ricondotti a una figura di responsabile del trattamento necessariamente esterna. Al contrario, la figura di un soggetto interno, paragonabile a quella già esistente dell'incaricato del trattamento, appare compatibile con il Regolamento, che all'art. 4 n. 10 prevede che ci possano essere “persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile”.

In continuità con il Regolamento, l'art. 2-quaterdecies Cod. privacy afferma che “il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell'ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.” Tali “soggetti designati”, in parte equiparabili al precedente incaricato al trattamento, si differenziano però da quest'ultimo perché la loro presenza è facoltativa e spetta al titolare o al responsabile, sempre nell'ottica del principio di accountability, stabilire le funzioni da essi svolte e le istruzioni con cui questi dovranno operare. Infatti, a differenza di quanto previsto dal Codice privacy A-R, che richiedeva la designazione scritta degli incaricati del trattamento “tra le misure minime di sicurezza ex art. 33 del codice in quanto trattasi di un'attività (che il titolare del trattamento è tenuto ad effettuare nei confronti di quanti ordinariamente operano sui dati personali) volta a garantire il livello minimo di sicurezza nelle operazioni di trattamento.” (GPDP, 26 luglio 2018 [doc.web n. 9054317]), nella formulazione dell'art. 2-quaterdecies del Cod. Privacy, viene a mancare tale obbligatorietà.