Faqs_2

Tratto da wp251 rev.01

Un intermediario di dati raccoglie dati da diverse fonti pubbliche e private, per conto dei suoi clienti o per finalità proprie. Raccoglie i dati per sviluppare profili sulle persone e inserirle in segmenti e poi vende queste informazioni alle imprese che desiderano migliorare l’orientamento dei loro beni e servizi. L’intermediario di dati esegue la profilazione inserendo una persona in una determinata categoria in base ai suoi interessi.

Tratto da wp251 rev.01

Infliggere una multa per eccesso di velocità esclusivamente sulla base delle prove fornite dall’autovelox è un processo decisionale automatizzato che non implica necessariamente la profilazione.
Tuttavia la decisione di infliggere la multa sarebbe basata sulla profilazione se le abitudini di guida della persona in questione fossero state monitorate nel tempo e, ad esempio, l’ammontare della multa fosse il risultato di una valutazione che coinvolge altri fattori quali l’eventuale recidiva di eccesso di velocità o l’eventuale recente violazione di altre disposizioni del codice della strada.

Libera elaborazione di elementi tratti da wp251 rev.01

Esistono potenzialmente tre modalità d’uso della profilazione:

1. profilazione generale, ad esempio l’inserimento di una persona in una determinata categoria in base ai suoi interessi, mediante un processo anche parzialmente automatizzato;
2. processo decisionale basato sulla profilazione, ad esempio, un individuo decide se accordare il prestito sulla base di un profilo prodotto con mezzi automatizzati;
3. decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produce effetti giuridici o incide in modo analogo significativamente sull’interessato (articolo 22, paragrafo 1), ad esempio, un algoritmo decide se il prestito viene accordato e la decisione viene trasmessa automaticamente alla persona, senza alcuna previa valutazione significativa da parte di un essere umano.

Tratto da wp251 rev.01

Alcuni assicuratori offrono tariffe e servizi assicurativi in base al comportamento di guida delle persone. Gli elementi presi in considerazione in questi casi potrebbero includere la distanza percorsa, il tempo trascorso alla guida e l’itinerario percorso, nonché previsioni basate su altri dati raccolti dai sensori dell’auto (intelligente). I dati raccolti vengono utilizzati per fini di profilazione con l’obiettivo di individuare comportamenti di guida errati (come accelerazione rapida, frenata improvvisa ed eccesso di velocità). Queste informazioni possono essere incrociate con altre fonti (ad esempio il clima, il traffico, il tipo di strada) in maniera da comprendere meglio il comportamento del conducente.

In tal caso, il titolare del trattamento deve assicurarsi di disporre di una base legittima per tale tipo di trattamento. Il titolare del trattamento deve inoltre fornire all’interessato informazioni sui dati raccolti e, se del caso, sull’esistenza di processi decisionali automatizzati di cui all’articolo 22, paragrafi 1 e 4, sulla logica applicata, nonché sulla rilevanza e sulle conseguenze previste di tale trattamento.

Tratto da wp251 rev.01

Alcune applicazioni mobili forniscono servizi di localizzazione che consentono all’utente di trovare ristoranti nelle vicinanze che offrono sconti. Tuttavia, i dati raccolti vengono utilizzati anche per creare un profilo dell’interessato per finalità di marketing, ossia per individuare le sue preferenze alimentari o il suo stile di vita in generale. L’interessato si aspetta che i suoi dati vengano utilizzati per trovare ristoranti, ma non per ricevere pubblicità relative alla consegna di pizza a domicilio soltanto perché l’applicazione ha stabilito che arriva a casa tardi. Questo ulteriore utilizzo dei dati relativi all’ubicazione potrebbe non essere compatibile con le finalità per le quali tali dati sono stati originariamente raccolti e può quindi richiedere il consenso dell’interessato.

Inoltre, in questo esempio, troverebbero applicazione anche le disposizioni sulla vita privata e le comunicazioni elettroniche (e-Privacy).

• quando l’impresa o organizzazione (in qualità di titolare o responsabile) ha 250 e più dipendenti, dovrà creare, aggiornare e custodire un registro per tutti i trattamenti che pone in essere, ed esso dovrà contenere tutte le informazioni tassative indicate all’articolo 30 del GDPR
• quando titolari o responsabili hanno meno di 250 dipendenti (ma non si qualificano come PMI) dovranno tenere un registro, contenente tutte le informazioni dell’articolo 30, qualora:
  • effettuino trattamenti che possono presentare un rischio, in tal caso, tuttavia, l’obbligo del registro riguarderà l’ambito dei soli trattamenti a rischio
  • trattino dati sensibili e/o dati relativi a condanne penali o reati, in tal caso, tuttavia, l’obbligo riguarderà il solo ambito dei trattamenti con dati sensibili o giudiziari
  • effettuino trattamenti non occasionali, in tal caso, tuttavia, l’obbligo riguarderà il solo ambito dei trattamenti non occasionali.
• quando l’impresa o organizzazione (in qualità di titolare o responsabile) ha l’obbligo del registro ma è una PMI (cioè è sotto-soglia, secondo i criteri UE), potrà adottare il registro semplificato predisposto dal Garante; tale registro, peraltro, riguarderà quei soli trattamenti che costituiscono l’eccezione alla deroga (perchè, ad esempio, contengono dati “sensibili” o “giudiziari”), come evidenziato al precedente punto.

FAQ Garante

Tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento (v. art. 30, par. 1 e 2 del RGPD).

In particolare, in ambito privato, i soggetti obbligati sono così individuabili:

• imprese o organizzazioni con  almeno 250 dipendenti;
• qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
• qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
• qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati.

Sono tenuti a realizzare, aggiornare e conservare il registro, sia il titolare del trattamento sia il suo responsabile, se nominato. Ciò comporta che, nel caso un titolare non abbia responsabili del trattamento, i trattamenti di propria pertinenza saranno descritti solo nel registro del titolare; diversamente, nel caso il titolare si avvalga anche di uno o più responsabili o sub-responsabili, ciascuno di essi ha l’obbligo di realizzare uno specifico registro per le attività che esegue in qualità di responsabile, creando sezioni descrittive delle attività di trattamento, appositamente per ogni titolare per conto del quale esso opera. Qualora l’ingente numero di clienti (titolari) rendesse difficoltosa la gestione e manutenzione di queste schede, distinte per titolare, il provvedimento del Garante consente di poter riportare il rinvio nel registro, «ad es., a schede o banche dati anagrafiche dei clienti (titolari del trattamento), contenenti la descrizione dei servizi forniti agli stessi, ferma restando la necessità che comunque tali schede riportino tutte le indicazioni richieste dall’art. 30, par. 2» del regolamento.

Con riferimento alla “descrizione delle categorie di trattamenti effettuati” (art. 30, par. 2, lett. b) GDPR), responsabili e sub-responsabili potranno «far riferimento a quanto contenuto nel contratto di designazione a responsabile che, ai sensi dell’art. 28» del GDPR, deve contenere queste informazioni: in questo modo si crea un’opportuna correlazione, evitando duplicazioni e possibili incongruenze.

V. FAQ Garante

Il provvedimento del Garante (v. FAQ) contiene alcune precisazioni anche riguardo all’ampiezza delle informazioni tassative da riportare nel registro ai sensi dell’articolo 30.

1. in merito alle finalità perseguite, l’Autorità ritiene opportuno indicare anche la relativa base giuridica, sia per dati comuni, che per le “categorie particolari di dati” e dati relativi a condanne penali e reati (ad es. se il trattamento è legittimato dal consenso dell’interessato o è necessario per l’esecuzione di obblighi contrattuali)
2. con riferimento alle “categorie di destinatari” andranno riportate non solo le categorie di appartenenza di altri titolari del trattamento  (cioè flussi che comportano tecnicamente delle “comunicazioni”) «ma anche gli eventuali altri soggetti ai quali – in qualità di responsabili e sub-responsabili del trattamento – siano trasmessi i dati da parte del titolare (…) Ciò al fine di consentire al titolare medesimo di avere effettiva contezza del novero e della tipologia dei soggetti esterni cui sono affidate le operazioni di trattamento dei dati personali» (in altre parole, la descrizione dell’ambito di circolazione dei dati personali)
3. in relazione ai trasferimenti esteri di dati andrà riportata la «indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del RGPD (es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, ecc.)»; si tratta di informazioni che nella prassi erano raramente raccolte e gestite in modo centralizzato, prima dell’applicazione del GDPR
4. «nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” (…) ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (es. norme di legge, prassi settoriali) indicativi degli stessi (es. “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”)», come per le informazioni del precedente punto, anche questo profilo richiede uno sforzo di determinazione e classificazione alquanto innovativo, rispetto alle prassi in atto
5. riguardo alla «“descrizione generale delle misure di sicurezza” andranno indicate le misure tecnico-organizzative adottate (…) (l)e misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. procedure organizzative interne; security policy ecc.).»; quindi, il registro deve specificare la misura adottata e non la sua modalità attuativa.

Fermo restando l’obbligo di aggiornamento costante del registro – «poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere» – esso «deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento. In quest’ultimo caso il Registro dovrà recare una annotazione del tipo:
“- scheda creata in data XY”
“- ultimo aggiornamento avvenuto in data XY”».

Il provvedimento del Garante (v. FAQ) non fa riferimento a “data certa” – come in precedenti adottati durante la vigenza del codice privacy – ma si limita a richiedere che il dato temporale riportato sulla scheda sia “verificabile”; in assenza di ulteriori interventi interpretativi, si ritiene che la “verificabilità” possa essere soddisfatta con qualsiasi mezzo o modalità che consenta di provare la veridicità di quanto riportato.

Il Regolamento individua dettagliatamente le informazioni che devono essere contenute nel registro delle attività di trattamento del titolare (art. 30, par. 1 del GDPR) e in quello del responsabile (art. 30, par. 2 del GDPR).

Può essere riportata nel registro qualsiasi altra informazione che il titolare o il responsabile ritengano utile indicare (ad es. le modalità di raccolta del consenso, le eventuali valutazioni di impatto effettuate, l’indicazione di eventuali “referenti interni” individuati dal titolare in merito ad alcune tipologie di trattamento ecc.).

Fonte: Garante FAQ