Comunicazione digitale, privacy, diritti: principali regole e novità

Comunicazione digitale, regole privacy, diritti: intervista all'Avv. Roberta Rapicavoli


Due mesi fa ho iniziato a leggere il libro “Privacy e diritto nel Web: le regole – Manuale per operare in Rete e fare marketing online senza violare la legge”, Dario Flaccovio Editore (aggiornato al Regolamento europeo 2016/679 in materia di protezione dei dati personali). L’autrice è l’Avv. Roberta Rapicavoli.

Roberta si occupa di privacy, diritto informatico e diritto applicato a internet e alle nuove tecnologie.
In tali ambiti presta assistenza e consulenza a enti, imprese, professionisti e privati e svolge attività divulgativa e formativa, pubblicando articoli e approfondimenti e partecipando, quale relatrice e docente, a eventi e corsi, organizzati in tutto il territorio nazionale.

Il suo testo affronta il tema della privacy individuando le regole da osservare per essere presenti in Rete nel rispetto dell’attuale normativa e delle novità di prossima applicazione.
L’ho letto con grande attenzione e interesse: chi si occupa di comunicazione e, in particolare, di comunicazione digitale, ha il dovere di aggiornarsi anche su questi argomenti (spesso sottovalutati).

Ho pensato, così, di intervistare l’autrice per approfondire alcuni punti. Tra l’altro, ho avuto la fortuna di collaborare personalmente con Roberta e di apprezzarne la professionalità, serietà e sensibilità.
Qui di seguito puoi leggere l’intervista. Se hai bisogno di saperne di più, ti consiglio vivamente di visitare il suo sito web www.robertarapicavoli.it e di seguirla su Twitter [@RRapicavoli].


1. La normativa di riferimento in materia di protezione dei dati personali, in questo momento, è il Decreto legislativo n.196 del 2003 (“Codice Privacy”): il 25 maggio 2018, come è noto, troverà applicazione il nuovo Regolamento UE 2016/679 (entrato in vigore il 24 maggio 2016). Sostituirà integralmente il D.Lgs n.196?


Il Regolamento europeo sulla protezione dei dati personali di prossima applicazione non sostituirà interamente il D. Lgs. 196/2003 (Codice privacy). Il Regolamento infatti abroga la Direttiva 95/46/CE (direttiva madre), da cui deriva gran parte della disciplina contenuta nel nostro Codice privacy, ma occorre tenere presente che tale testo normativo contiene anche norme destinate a sopravvivere come, ad esempio, quelle derivanti dalla Direttiva e-privacy (in fase di revisione) o quelle mutuate dallo Statuto dei lavoratori. Proprio per adeguare la normativa nazionale alla disciplina europea, con Legge 25 ottobre 2017, n. 163 (Legge di delegazione europea 2016-2017) è stata attribuita al Governo delega specifica ed il Governo, entro sei mesi dall’approvazione della legge di delegazione, dovrà adottare gli atti necessari a completare il quadro normativo legato al Regolamento UE 2016/679.


2. Quali sono le principali novità introdotte nel Regolamento UE 2016/679?


Il Regolamento UE 2016/679 richiama alcuni principi e adempimenti già previsti dalla normativa nazionale ma introduce importanti novità, che impongono un ripensamento dei processi e dei sistemi informativi alla base della gestione della privacy e richiedono degli interventi specifici.

Una delle principali novità è sicuramente l’introduzione del principio di responsabilizzazione o accountability, in base al quale spetta al titolare mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con la disciplina di settore, compresa l’efficacia delle misure adottate. Proprio a fronte di tale responsabilizzazione, il Regolamento europeo sulla protezione dei dati non ripropone gli istituiti della notificazione e della verifica preliminare previsti nella previgente normativa, che vengono adesso sostituiti dai registri delle attività del trattamento e dalla valutazione di impatto, ed individua in capo al titolare l’obbligo di considerare i profili privacy fin dalla fase di progettazione e pianificazione (privacy by design) e di mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento (privacy by default).

Tra le novità di rilievo da segnalare vi è poi l’introduzione della figura del Data Protection Officer (DPO) o Responsabile della Protezione dei Dati (RPD) (obbligatoria solo nei casi espressamente previsti nell’art. 37 del Regolamento), l’individuazione di nuovi diritti per l’interessato (si pensi ad esempio al diritto all’oblio e al diritto alla portabilità dei dati trattati con mezzi automatizzati) e l’introduzione dell’obbligo generalizzato di comunicazione di eventuali violazioni dei dati personali (data breach).

Si tratta solo di alcune delle novità introdotte dal Regolamento europeo sulla protezione dei dati, che però consentono di comprendere come si renda necessario essere consapevoli che esiste una nuova disciplina che richiede alcuni cambiamenti e interventi tecnici, organizzativi e documentali.


3. Cosa cambierà per le informative privacy già esistenti?


L’obbligo di fornire l’informativa privacy all’interessato rimane anche con il Regolamento europeo sulla protezione dei dati. Occorre però rivedere le informative privacy che ad oggi vengono gestite, in quanto si rende necessario integrare il contenuto di tali documenti con gli elementi richiesti dal Regolamento 2016/679 (occorre ad esempio inserire i dati di contatto del DPO, nel caso designato, devono essere riportati i tempi di conservazione dei dati oggetto di trattamento, occorre indicare chiaramente le basi giuridiche, precisare se c’è un trasferimento di dati all’estero), tenendo presente che le informazioni devono essere fornite in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.


4. Consenso al trattamento dei dati: quando è necessario richiederlo?
E in quali casi, invece, il consenso non è necessario?


Il consenso è una delle condizioni di liceità. Questo vuol dire che in alcuni casi il trattamento deve farsi precedere dal consenso dell’interessato (si pensi all’invio a prospect di comunicazioni promozionali tramite email), in altri invece il trattamento può basarsi su altra base giuridica.

Così, il consenso non serve se il trattamento viene effettuato per l’adempimento di un obbligo di legge (si pensi agli obblighi in materia contabile e fiscale legati alla vendita di un bene) o per l’esecuzione di un contratto di cui è parte l’interessato (si pensi alle operazioni relative alla gestione dell’ordine di un prodotto acquistato online) o, ancora, per il perseguimento dell’interesse legittimo del titolare (base giuridica che giustifica ad esempio il trattamento dei dati di traffico in misura strettamente necessaria e proporzionata per garantire la sicurezza delle reti e dell’informazione).


5. Quali sono le misure minime di sicurezza da adottare per garantire la tutela dei dati trattati?


Il Regolamento generale sulla protezione dei dati prevede che il titolare e il responsabile del trattamento, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio, devono adottare le misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.

Il nuovo testo di riferimento non ripropone l’elenco di misure di sicurezza minime elencate negli artt. 34 e 35 del D. lgs. 196/2003 (Codice privacy) – obbligatorie, rispettivamente, per i trattamenti effettuati con e senza strumenti elettronici. Spetta infatti al titolare e al responsabile del trattamento, analizzando specificamente i rischi legati al trattamento dei dati, valutare, quali misure di sicurezza tecniche e organizzative adottare.


6. Leggendo il tuo libro si rileva che il Regolamento UE 2016/679 riserva particolare attenzione ai minori: come dovrebbe regolarsi un’associazione non profit che, all’interno del suo sito web, permette ai bambini di chiedere aiuto tramite un form contatti, un numero amico o un servizio di messaggistica? Cosa fare, cioè, nel caso in cui non sia possibile ottenere l’acquisizione del consenso dei genitori (o di chi ne fa le veci) al trattamento dei dati?


Sì, il Regolamento generale sulla protezione dei dati dedica particolare attenzione ai minori, stabilendo, ad esempio, che gli stessi potranno manifestare il loro consenso al trattamento solo se abbiano raggiunto i 16 anni (o la diversa età stabilita dal legislatore nazionale, purché non inferiore ai 13), rimanendo altrimenti necessario richiedere l’autorizzazione ai genitori o chi ne fa le veci.

Occorre però ricordare che il consenso è solo una delle condizioni di liceità, per cui possono esserci dei casi (come quello da te indicato) in cui il trattamento dei dati dei minori può essere effettuato senza dover richiedere il consenso, fondandolo su una delle altre basi giuridiche previste nel Regolamento europeo di prossima applicazione.