GDPR CHECKLIST LEGGE, Prove d'esame di Diritto dell'Unione Europea

Scarica GDPR CHECKLIST LEGGE e più Prove d'esame in PDF di Diritto dell'Unione Europea solo su Docsity! Documento “Il regolamento Ue/2016/679 General Data Protection Regulation (GDPR): nuove regole comunitarie e precisazioni in materia di protezione dei dati personali” Checklist di base per gli studi professionali Aprile 2018 1 A CURA DEL GRUPPO DI LAVORO PRIVACY CONSIGLIERE DELEGATO VICEPRESIDENTE Davide Di Russo COMPONENTI Paola Zambon (coordinatore) Floriana Carlino Gianfranco Gadda RICERCATORE CNDCEC Annalisa De Vivo RICERCATORE FNC Maria Adele Morelli 4 1. Inquadramento normativo Il 24 maggio 2016 è entrato ufficialmente in vigore il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, emanato il 27 aprile 2016, relativo alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati, che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – comunemente noto come GDPR, acronimo inglese di “General Data Protection Regulation”). Il regolamento troverà applicazione diretta a partire dal 25 maggio 2018 in tutti i Paesi facenti parte dell’Unione Europea, alcuni dei quali risultano tuttora sprovvisti di un’apposita disciplina interna in materia di protezione dei dati personali. Non può dirsi lo stesso per il nostro Paese in cui, già con la legge n. 675 del 31 dicembre 1996, si era data attuazione alla Direttiva di armonizzazione 95/46/CE. A questo primo intervento legislativo erano seguiti, principalmente, il D.P.R. 28 luglio 1999, n. 318 con il quale venivano individuate, in via preventiva, le misure minime di sicurezza per i dati personali oggetto di trattamento, e il D.Lgs. 28 dicembre 2001, n. 467, che apportava sostanziali modifiche alla disciplina in materia di privacy allora vigente. L’intera materia è, infine, confluita nel D.Lgs. 30 giugno 2003, n. 196 (Codice in materia dei dati personali), entrato in vigore il 1° gennaio 2004, che ha abrogato la disciplina previgente ed è stato, a sua volta, più volte aggiornato e modificato. L’analisi delle fonti legislative non può, peraltro, essere considerata esaustiva, dovendo l’interprete sempre considerare i numerosi provvedimenti emanati dal Garante Italiano per la protezione dei dati personali e ovviamente il formante giurisprudenziale degli ultimi venti anni. Nonostante la diretta applicabilità e vincolatività del GDPR in tutti i suoi elementi, in Italia l’art. 13 della Legge 25 ottobre 2017, n. 163 (cd. “Legge di delegazione europea 2016-2017”) ha delegato il Governo ad adottare uno o più decreti legislativi, entro il 21 maggio 2018, al fine di adeguare il quadro normativo nazionale alle disposizioni ivi contenute. Il nostro Codice in materia di trattamento dei dati personali, dunque, dovrà essere modificato in ossequio ai criteri di delega dettati dalla Legge di delegazione europea, che impongono: i) l’espressa abrogazione delle disposizioni del Codice incompatibili con quelle contenute nel regolamento; ii) la modifica del Codice stesso limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento. Più specificamente, nell’ambito delle suddette modifiche, dovrà prevedersi l’adeguamento del sistema sanzionatorio penale e amministrativo vigente alle disposizioni del GDPR, introducendo sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse; iii) il coordinamento delle disposizioni vigenti in materia di protezione dei dati personali con quelle recate dal regolamento (UE) 2016/6791. 1 È opportuno segnalare che, nel momento in cui si procede alla redazione del presente documento, il Consiglio dei Ministri ha provveduto a diffondere il seguente comunicato stampa del 21 Marzo 2018: “Il Consiglio dei Ministri, su proposta del Presidente Paolo Gentiloni e del Ministro della giustizia Andrea Orlando, ha approvato, in esame preliminare, un decreto legislativo che, in attuazione dell’art. 13 della legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163), introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. A far data dal 25 maggio 2018, data in cui le disposizioni di diritto europeo acquisteranno efficacia, il vigente Codice in 5 La delega, inoltre, abilita il governo a prevedere, ove opportuno, il ricorso a specifici provvedimenti attuativi e integrativi adottati dal Garante per la protezione dei dati personali, nell’ambito e per le finalità previste dal regolamento. A tale ultimo riguardo, si segnala che la recente Legge di bilancio 2018 (Legge 27 dicembre 2017, n. 205, pubblicata in G.U. n. 302 del 29.12.2017) all’art. 1, commi da 1020 a 1025, attribuisce al Garante, a tutela dei diritti fondamentali e delle libertà dei cittadini, determinati poteri di carattere regolamentare, di vigilanza e inibitori, e introduce direttamente alcune modifiche e innovazioni in materia di protezione dei dati personali, in relazione a determinati trattamenti, in vista della piena applicazione del GDPR. Ad ogni buon conto, ad oggi i decreti legislativi delegati summenzionati non sono ancora stati emanati. Tuttavia, oltre a comportare l’abrogazione della direttiva 95/46/CE, il regolamento GDPR troverà diretta applicazione a partire dal 25 maggio 2018, con conseguente prevalenza sul diritto interno, eventualmente ancora vigente, che dovesse risultare incompatibile con le disposizioni previste dal regolamento medesimo. Un primo tentativo di uniformazione della disciplina interna alle disposizioni del GDPR sembra essere stato compiuto dalla cd. Legge europea del 2017 (Legge 20 novembre 2017, n. 167), la quale ha modificato soltanto alcune disposizioni del Codice della privacy, in tema di responsabile del trattamento, di riutilizzo dei dati per finalità di ricerca scientifica o per scopi statistici, di conservazione dei dati relativi al traffico telefonico e telematico e di ruolo organico del personale alle dipendenze del Garante2. Peraltro, il Garante ha recentemente ribadito che non sono possibili proroghe rispetto alla data di piena e diretta applicazione del GDPR3. materia di protezione dei dai personali, di cui al decreto legislativo 30 giugno 2003, n. 196, sarà abrogato e la nuova disciplina in materia sarà rappresentata principalmente dalle disposizioni del suddetto Regolamento immediatamente applicabili e da quelle recate dallo schema di decreto volte ad armonizzare l’ordinamento interno al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy”. 2 Nello specifico l’art. 28, recante modifiche al Codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196 ha previsto l’introduzione all’articolo 29 del codice, dopo il comma 4, del seguente: «4-bis. Fermo restando quanto previsto ai commi 1, 2, 3 e 4, il titolare può avvalersi, per il trattamento di dati, anche sensibili, di soggetti pubblici o privati che, in qualità di responsabili del trattamento, forniscano le garanzie di cui al comma 2. I titolari stipulano con i predetti responsabili atti giuridici in forma scritta, che specificano la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento; i predetti atti sono adottati in conformità a schemi tipo predisposti dal Garante» e la riscrittura del comma 5 come segue: «5. Il responsabile effettua il trattamento attenendosi alle condizioni stabilite ai sensi del comma 4-bis e alle istruzioni impartite dal titolare, il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2, delle proprie istruzioni e di quanto stabilito negli atti di cui al comma 4-bis». Inoltre, il medesimo art. 28 della legge europea ha introdotto l’art. 110-bis (Riutilizzo dei dati per finalità di ricerca scientifica o per scopi statistici) al Codice il quale prevede: “1. Nell’ambito delle finalità di ricerca scientifica ovvero per scopi statistici può essere autorizzato dal Garante il riutilizzo dei dati, anche sensibili, ad esclusione di quelli genetici, a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati. 2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione o anche successivamente, sulla base di eventuali verifiche, il Garante stabilisce le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati nell’ambito del riutilizzo dei dati, anche sotto il profilo della loro sicurezza». Ulteriori informative sul GDPR sono reperibili, così come il testo normativo, sul sito istituzionale del Garante per la protezione dei dati personali (http://www.garanteprivacy.it/regolamentoue). 3 Si veda il comunicato stampa dell’Autorità Garante del 19 aprile 2018 reperibile al seguente link http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8469593. 6 2. Ambito di applicazione materiale e territoriale del GDPR Il regolamento GDPR eleva ad oggetto di tutela il trattamento dei soli dati personali, al fine di assicurare la protezione dei diritti e delle libertà delle persone fisiche in maniera equivalente in tutti gli Stati membri e la libera circolazione dei dati, disciplinando, conseguentemente, i principi e le condizioni per procedere al legittimo trattamento di tali dati. Sono, pertanto, esclusi dall’ambito di applicazione delle disposizioni del regolamento i trattamenti dei dati relativi alle persone giuridiche4: è evidente che in tal caso le disposizioni del GDPR troveranno applicazione con riferimento al trattamento dei dati personali del rappresentante legale. La definizione di dato personale assunta dal GDPR risulta particolarmente ampia. L’art. 4 del GDPR stabilisce che per dato personale debba intendersi “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”. Gli obiettivi che il regolamento persegue richiedono una sensibile estensione dell’ambito di applicazione delle sue disposizioni. In tal senso opera l’art. 2 del GDPR che, quanto all’ambito di applicazione materiale, specifica che il regolamento si applica al trattamento “interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali [che siano] contenuti in un archivio o destinati a figurarvi”5. Quanto all’ambito di applicazione territoriale, il par. 1 dell’art. 36 accoglie come criterio generale il cd. principio di stabilimento. Di conseguenza, il regolamento si applica ai trattamenti effettuati dai titolari del trattamento7 e dai responsabili del trattamento8 stabiliti9 nel territorio dell’Unione europea, a prescindere dalla circostanza che il trattamento sia o meno ivi concretamente effettuato 4In particolare, il considerando 14 chiarisce: “È opportuno che la protezione prevista dal presente regolamento si applichi alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali. Il presente regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto”. 5Il regolamento non trova applicazione con riguardo ai casi indicati nel par. 2 del medesimo art. 2, in particolare quando il trattamento è effettuato: i) per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione; ii) in materia di politica estera e sicurezza comune (PESC); iii) dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesso. È inoltre escluso dall’ambito di applicazione del regolamento il trattamento che sia effettuato da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico. 6“Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione”. 7 “La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”. 8“La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”. 9 In punto, il considerando 22 chiarisce che “lo stabilimento implica l’effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile. A tale riguardo, non è determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica”. 9 Ai fini che qui interessano non vi è dubbio che, a seguito dell’entrata in vigore del GDPR, assumono particolare rilievo le nuove disposizioni dedicate al consenso dell’interessato. L’art. 4 del GDPR definisce il consenso dell’interessato come una “qualsiasi manifestazione di volontà14 libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”. Come evidenziato nei primi contributi di commento al regolamento, tale definizione apre la strada alla possibilità che la dichiarazione di consenso non risulti necessariamente da una documentazione resa per iscritto, purché tale dichiarazione sia stata prestata in maniera inequivocabile. In punto, il considerando 32 specifica che “il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale (principio di libertà delle forme). Potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso”. c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati; d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale; e) è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo. Se la medesima finalità riguarda l’interessato e quest’ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato. Si applica la disposizione di cui all’articolo 82, comma 2; f) con esclusione della diffusione, è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale; g) con esclusione della diffusione, è necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell’interessato; h) con esclusione della comunicazione all’esterno e della diffusione, è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente con determinazione resa nota agli interessati all’atto dell’informativa ai sensi dell’articolo 13; i) è necessario, in conformità ai rispettivi codici di deontologia di cui all’allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell’articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati; i-bis) riguarda dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis; i-ter) con esclusione della diffusione e fatto salvo quanto previsto dall’articolo 130 del presente codice, riguarda la comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell’articolo 2359 c.c. ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili, come definite all’articolo 34, comma 1-ter, e purché queste finalità siano previste espressamente con determinazione resa nota agli interessati all’atto dell’informativa di cui all’articolo 13. 14 Da tale definizione sembrerebbe trarre un sensibile conforto la teoria negoziale della natura giuridica del consenso. 10 Quanto alla libera espressione del consenso, il considerando 42 esclude che lo stesso possa essere ritenuto liberamente espresso se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio. In tal senso, quindi, il regolamento si pone nel solco degli orientamenti già espressi dal Garante in tema di libera espressione del consenso15. Stesso dicasi in relazione al requisito relativo alla specificità del consenso, quale elemento già richiesto dal Codice della privacy. Il requisito della specificità è soddisfatto nel momento in cui il consenso sia applicato a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Differentemente, qualora il trattamento sia effettuato per la realizzazione di più finalità, il consenso dovrebbe essere prestato per ciascuna di esse. Le condizioni che devono essere soddisfatte affinché la prestazione del consenso possa ritenersi legittima sono ulteriormente specificate dall’art. 7 del GDPR, il quale si riferisce a situazioni che assumono particolare interesse e sulle quali occorre, pertanto, soffermarsi. Nello specifico la norma in esame esplicita la regola generale in base alla quale, in linea con il principio di accountability, il titolare del trattamento deve essere sempre in grado di dimostrare che l’interessato ha prestato - inequivocabilmente - il proprio consenso al trattamento dei suoi dati personali, con la conseguenza che è necessario porre particolare attenzione a tale “onere probatorio” nell’ipotesi in cui il consenso non venga acquisito per iscritto. Qualora, al contrario, il consenso sia prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso deve essere presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del GDPR è vincolante. Quando il trattamento è basato sul consenso, l’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. Tuttavia, la revoca non è idonea a pregiudicare la liceità del trattamento già effettuato e basato sul consenso precedentemente prestato. Il diritto di revocare il consenso prestato deve essere indicato nell’informativa comunicata all’interessato prima di esprimere il consenso medesimo. Particolare rilevanza riveste poi la regola in base alla quale “il consenso è revocato con la stessa facilità con cui è accordato”, comportando l’obbligo di prevedere le medesime forme e/o misure tecniche per la revoca del consenso già utilizzate al momento della raccolta del medesimo. 15 Si riporta il testo del considerando 43 che prevede: “per assicurare la libertà di espressione del consenso, è opportuno che il consenso non costituisca un valido presupposto per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento, specie quando il titolare del trattamento è un’autorità pubblica e ciò rende pertanto improbabile che il consenso sia stato espresso liberamente in tutte le circostanze di tale situazione specifica. Si presume che il consenso non sia stato liberamente espresso se non è possibile esprimere un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione”. 11 4. Formazione e consulenza in materia di privacy Com’è noto, i professionisti iscritti all’Albo dei Dottori Commercialisti e degli Esperti Contabili possono avere maturato esperienza professionale in tema di privacy (ciascuno nel proprio ambito e grazie al proprio percorso formativo) già a partire dalla Legge 675/96, passando poi all’attuale D. Lgs. 196/03 e approfondendo anche l’analisi del GDPR. La privacy, peraltro, rientra tra le materie oggetto della formazione professionale continua a cura degli Ordini territoriali e degli altri enti accreditati. Vi è, dunque, una moltitudine di iscritti all’Albo che da anni svolge attività di consulenza in tema di privacy, poiché ha seguito l’evolversi della norma accanto alle aziende clienti. Attualmente non sono previsti specifici requisiti professionali e/o obblighi formativi da assolvere per i soggetti che intendano fornire consulenza in materia di privacy o assumere l’incarico di Data Protection Officer16 (Responsabile della Protezione dei Dati, nel prosieguo anche: DPO). Bisognerà, quindi, attendere che la disciplina trovi una sua compiuta determinazione, grazie all’emanazione dei decreti delegati di cui in premessa, e che il Garante elabori eventuali ulteriori indicazioni. Nell’attesa di tali interventi normativi, si ritiene che l’iscritto all’Albo possa proseguire la propria attività di consulenza in materia di privacy e, in forza delle specifiche competenze maturate, ricoprire, in questa fase di iniziale applicazione del GDPR, l’incarico di DPO per società ed enti. In tal caso, però, dovranno tenersi in apposita considerazione i requisiti di indipendenza prescritti dal GDPR; in particolare, dovranno essere valutate attentamente eventuali situazioni potenzialmente idonee a generare un conflitto di interesse. Per quanto attiene ai chiarimenti intervenuti nella prassi sul punto, in una risposta ai quesiti in materia di certificazione delle competenze ai fini della prestazione di consulenza in materia di protezione dei dati personali17 il Garante ha evidenziato: “come in altri ambiti delle cosiddette “professioni non regolamentate”, si vanno diffondendo schemi di certificazione volontaria delle competenze professionali effettuate da appositi enti certificatori. Tali certificazioni (che non rientrano tra quelle disciplinate dall’art. 42 del Regolamento (UE) 2016/679), rilasciate anche all’esito della partecipazione ad attività formative e alla verifica dell’apprendimento, se possono rappresentare, al pari di altri titoli, uno strumento per valutare il possesso di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di per sé, a una "abilitazione" allo svolgimento del ruolo del DPO, né, allo stato, possono sostituire in toto la valutazione della p.a. nell’analisi del possesso dei requisiti del DPO necessari per svolgere i compiti da assegnargli in conformità all’art. 39 del Regolamento (UE) 2016/679”. 16Si tratta, come disciplinato dall’art. 37 del GDPR, di una figura dotata di particolari qualità professionali, in specie di conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati personali, nonché di capacità di assolvere all’adempimento di specifici compiti, anch’essi previsti dal GDPR. Il DPO si caratterizza per la sua indipendenza ed autonomia nell’assolvimento dell’incarico ad esso affidato, ancorché possa trattarsi di un dipendente del titolare del trattamento o di un soggetto ad esso legato da un rapporto di prestazione di servizi. 17 Documento Web n. 7057222 del 28 luglio 2017, disponibile al seguente link: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7057222. 14 Tale disamina dovrà essere poi estesa a tutti gli interessati e, dunque, anche al comparto fornitori e, ove presenti, ai dipendenti e tirocinanti, seguendo le stesse modalità utilizzate per la mappatura dei trattamenti riferiti ai clienti. 2. Compilazione (risposte «Sì» o «No»), con possibilità di commenti, ad ogni check di azioni possibili La check list proposta investe i diversi ambiti regolamentari per i quali occorre raggiungere la conformità dell’organizzazione dello studio, con singoli richiami agli articoli del regolamento che coinvolgono l’azione di monitoraggio per facilitare la verifica della maggiore o minore adeguatezza della propria organizzazione al regolamento stesso. Sul punto sono individuate le seguenti sotto- sezioni: • Dati personali trattati (pag. 4) • Diritti degli interessati (pagg. 5-6) • Accuratezza e conservazione (pag. 78) • Requisiti di trasparenza (pag. 8) • Altri obblighi del titolare (pag. 9) • Sicurezza del trattamento (pagg. 10-11) • Data breaches (pag. 12) • Trasferimento dati personali (pag. 13) La compilazione in autovalutazione delle singole tabelle, facilitata dai richiami agli articoli del Regolamento, permette in primo luogo di individuare gli ambiti di intervento per conformarsi al regolamento stesso, andando ad analizzare tutte le misure mancanti (colonna NO), con una prima sintetica individuazione delle azioni di rimedio da porre tempestivamente in essere in ottemperanza al GDPR. Nell’ipotesi in cui determinate attività di trattamento non risultino applicabili alla struttura in esame, sarà sufficiente indicare “non applicabile” nella relativa casella e neutralizzarne conseguentemente l’impatto sulla disamina complessiva. 3. Individuazione, al termine della compilazione, delle misure relative all’adeguato trattamento dei dati non ancora attuate. Il risultato complessivo dell’analisi, desunto dalle varie tabelle, conduce, poi, al completamento della tabella (colonna 9 di pag. 2 dell’allegata checklist) illustrata al precedente punto 1 della presente sezione; la corretta e completa compilazione della stessa può costituire una semplice base per la redazione del registro delle attività di trattamento di cui all’art. 30 del GDPR, ovviamente completo delle indicazioni ivi prescritte, di cui si dirà nel prosieguo (cfr. pag. 19 e nota 27). In particolare, con riferimento all’attività svolta generalmente dagli studi professionali, dovrà essere prestata particolare attenzione ai seguenti elementi: a. elencazione delle categorie di interessati e delle categorie di dati personali raccolti e conservati: tutti gli interessati vanno puntualmente censiti e raggruppati in categorie omogenee avendo cura di 15 uniformare, all’interno di ciascuna categoria, i dati raccolti e il relativo trattamento (cfr. check list punto 1); b. individuazione delle basi legittime tipiche sulle quali è fondato il trattamento dei dati nello studio professionale (es. contratto, obbligo normativo, consenso, interesse legittimo) e tipo di trattamento effettuato, con particolare attenzione ai minori (cfr. check list punto 1); c. focus sui diritti degli interessati: la checklist focalizza l’attenzione sui diritti riconosciuti agli interessati dal GDPR. Ci si riferisce in particolare al diritto di accesso ai dati personali, alla portabilità dei dati, al diritto di rettifica e di cancellazione, al diritto alla limitazione di trattamento, al diritto di opposizione. L’esito di tale fase di analisi dovrebbe essere utile all’elaborazione di un adeguato documento informativo comprensivo di tutte le prescrizioni di cui all’art. 13 del Regolamento, completato dalla previsione e documentazione delle adeguate misure per garantire l’esercizio di tali diritti agli interessati (cfr. check list punto 2); d. individuazione delle finalità del trattamento: lo scopo del trattamento deve essere chiaro e limitato all’obiettivo dichiarato del trattamento, determinato con accuratezza, e la conservazione dei dati deve essere effettuata evitando duplicazioni inutili (cfr. check list punto 3); e. garanzia di trasparenza verso i clienti e i dipendenti: opera in materia di redazione di corretta informativa affinché un trattamento possa considerarsi equo (fair) e chiaro per l’interessato e in modo che non costituisca violazione ad alcun elemento ai fini del GDPR (cfr. check list punto 421); f. adempimento degli altri obblighi del titolare: riveste un’importanza basilare nell’organizzazione degli studi, per non incorrere nelle pesanti sanzioni previste dal regolamento. Ci si riferisce principalmente alla corretta formalizzazione delle autorizzazioni al trattamento nei confronti degli incaricati al trattamento (dipendenti, collaboratori e tirocinanti dello studio) o di eventuali responsabili esterni del trattamento per conto del titolare, come prescritto dall’art. 29 del regolamento; analogamente, il titolare dello studio può figurare come responsabile del trattamento per conto di terzi. In questi casi, il trattamento dei dati da parte del responsabile del trattamento è consentito in presenza di esplicita istruzione da parte del titolare22 (cfr. check list punto 5); g. garanzia della sicurezza del trattamento e dimostrazione di aver posto in essere le misure idonee a tal fine: va dimostrato che, all’entrata in vigore del regolamento, il titolare/responsabile del trattamento abbia posto in essere tutte le misure di sicurezza fisiche, organizzative e tecnologiche adeguate, ovvero finalizzate a preservare sostanzialmente la sicurezza dei dati personali trattati. A titolo esemplificativo e non esaustivo, si segnalano quali misure di sicurezza dispositivi anti intrusione, allarmi , porte blindate, armadi chiusi a chiave per gli archivi cartacei, adeguati software di protezione quali antivirus e firewall, adeguata politica di utilizzo delle strumentazioni elettroniche e di tutti i dispositivi utilizzati, cambiamento periodico delle credenziali di accesso alla rete, monitoraggio degli accessi, salvataggi periodici e programmati dei dati trattati elettronicamente, valutazione dell’adozione di tecniche di pseudonimizzazione, con costante verifica e aggiornamento delle misure di sicurezza adottate. Il tutto è finalizzato a prevenire violazioni, anche accidentali, dei dati trattati (cfr. check list punto 6); 21 L’ultimo quesito previsto dall’indicata sezione della check list va risolto non solo con riferimento ai clienti di studio ma ogni qual volta il Dottore Commercialista effettui il trattamento di dati di ulteriori interessati. 22 Cfr. artt. 29 e 82 , co. 2 del GDPR. 16 h. chiara individuazione delle procedure da mettere in atto in caso di Data breaches, al fine di adempiere agli obblighi imposti dal GDPR in tali circostanze: in caso di violazione dei dati (cd. Data breach) il titolare del trattamento deve tempestivamente valutare se si presentino gli estremi per la comunicazione all’Autorità di controllo, da effettuarsi comunque entro le 72 ore dalla conoscenza dell’intrusione, ponendo conseguentemente in atto tutte le prescrizioni di cui all’art. 33 del regolamento. Occorre altresì valutare, in caso di rischio elevato per i diritti e le libertà delle persone fisiche, l’effettuazione della comunicazione agli interessati eventualmente coinvolti (cfr. check list punto 7); i. comunicazione del trasferimento di dati personali a titolari extra UE: i dati personali possono essere trasferiti verso Paesi dell’Unione Europea e verso Paesi terzi che rispettino il GDPR, nell’ambito delle finalità dichiarate con adeguata informativa all’interessato e con il suo consenso (cfr. check list punto 8). Da ultimo si evidenzia che, al fine di mantenere nel tempo la conformità alle prescrizioni del GDPR, le procedure sopra illustrate devono essere costantemente monitorate e integrate in relazione all’evoluzione delle norme regolamentari e alle modifiche degli assetti organizzativi dei singoli studi. 7. Interpretazioni, esempi e casi di interesse Si segnalano per la loro rilevanza nell’organizzazione del lavoro quotidiano di studio alcuni esempi e casi di interesse in materia di privacy. Tenuta dei fascicoli relativi ai clienti Contrariamente a quanto ritenuto nella prassi professionale, non occorre depennare, per motivi attinenti alla privacy, il nome dei clienti dalla copertina dei fascicoli cartacei, utilizzando numeri identificativi. Resta invece necessario adottare opportune modalità per rendere i fascicoli e la relativa documentazione accessibile agli autorizzati al trattamento nei casi e per le finalità previsti. Tanto si desume dalle indicazioni fornite dal Garante della privacy, con il parere del 3 giugno 2004 reso al Consiglio Nazionale Forense23. Utilizzo di software Ciascuno studio professionale potrà reperire sul mercato, se lo ritiene opportuno, eventuali tool software per monitorare lo stato del trattamento dei dati personali che consentano, inoltre, la redazione di parte della documentazione richiesta, ai fini dell’adempimento degli obblighi derivanti dal GDPR. Nondimeno, è importante che la norma venga compresa, almeno a livello logico, da ciascun dominus di studio, in modo che il ricorso a consulenze specialistiche configuri un’opzione residuale. Periodo di conservazione 23 In punto si segnala altresì che il considerando 15, relativo all’ambito di applicazione materiale del GDPR stabilisce che: “Non dovrebbero rientrare nell’ambito di applicazione del presente regolamento i fascicoli o le serie di fascicoli non strutturati secondo criteri specifici, così come le rispettive copertine”. 19 • che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito; • ricorrente o ripetuto a intervalli costanti; • che avviene in modo costante o a intervalli periodici. L’aggettivo “sistematico” ha almeno uno dei seguenti significati: • che avviene per sistema; • predeterminato, organizzato o metodico; • che ha luogo nell’ambito di un progetto complessivo di raccolta di dati; • svolto nell’ambito di una strategia26. Salvo casi particolari (ad esempio, ove lo Studio utilizzi telecamere a circuito chiuso o effettui tracciamento dell’ubicazione attraverso app su dispositivi mobili oppure utilizzi programmi di fidelizzazione o di pubblicità comportamentale), appare rara l’effettuazione, da parte del commercialista, di attività di monitoraggio sistematico e regolare. Aspetti documentali Ai fini del corretto adempimento degli obblighi derivanti dal GDPR, ogni misura adottata dovrà essere documentabile in ossequio al principio di “responsabilizzazione”. Pertanto, nonostante il registro dei trattamenti previsto dal GDPR non sia obbligatorio per gli studi professionali, se ne consiglia l’adozione27. 26 Cfr. Garante privacy; Linee Guida sui responsabili della protezione dei dati, cit. 27 L’ articolo 30 del GDPR rubricato Registri delle attività di trattamento prevede infatti che: 1. Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni: a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; b) le finalità del trattamento; c) una descrizione delle categorie di interessati e delle categorie di dati personali; d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate; f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1. 2. Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente: a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati; b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento; c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate; 20 Riteniamo opportuno richiamare l’attenzione dei colleghi anche su altri aspetti relativi alla conformità documentale richiesta ai fini del principio di responsabilizzazione. a) INFORMATIVE: Le informative sinora utilizzate potrebbero risultare incomplete alla luce di quanto richiesto dal GDPR. È consigliabile verificare la loro conformità al regolamento alla luce di quanto prescritto, in particolare, dagli articoli 13 e 14 del GDPR. COSA DOVREBBE CONTENERE L’INFORMATIVA Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato • Il Commercialista dovrà evidenziare in modo chiaro, trasparente e con linguaggio semplice: • l’identità e i dati di contatto del titolare del trattamento (e, ove applicabile, del suo rappresentante); • i dati di contatto del responsabile della protezione dei dati (se nominato); • le finalità del trattamento cui sono destinati i dati personali e la base giuridica del trattamento; • i legittimi interessi perseguiti dal titolare del trattamento o da terzi, se fungono da base giuridica del trattamento; • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali; • l’intenzione del titolare del trattamento di trasferire dati personali a un Paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o il riferimento alle garanzie appropriate od opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili; • il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; • l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati; • l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso anteriormente d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1. 3. I registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico. 4. Su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo. 5. Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10 21 COSA DOVREBBE CONTENERE L’INFORMATIVA prestato, nei casi di trattamento basato sul consenso, anche di categorie particolari di dati; • il diritto di proporre reclamo a un’autorità di controllo; • se la comunicazione di dati personali è un obbligo legale o contrattuale o un requisito necessario per la conclusione di un contratto e se l’interessato ha l’obbligo di fornire i dati personali, oltre alle possibili conseguenze circa la mancata comunicazione di tali dati; • l’esistenza di un processo decisionale automatizzato, compresa la profilazione e, in tali casi, le informazioni significative sulla logica utilizzata, oltre all’importanza e alle conseguenze previste di tale trattamento per l’interessato. Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato Occorre rendere note le informazioni di cui sopra (con esclusione del riferimento alla comunicazione dei dati personali come obbligo legale o contrattuale), con l’aggiunta: • delle categorie di dati personali oggetto di trattamento; • della fonte da cui hanno origine i dati personali e, se del caso, dell’eventualità che i dati provengano da fonti accessibili al pubblico. b) CONSENSO: Come detto, il trattamento dei dati può non basarsi sul consenso. Qualora il commercialista effettui il trattamento dei dati personali sulla base di un contratto con il cliente il consenso non è necessario. Parimenti, si ricorda che non è obbligatorio ottenere il consenso anche nei casi in cui il trattamento si renda necessario per adempiere ad un obbligo normativo o per legittimo interesse. Si rende, invece, certamente obbligatorio il consenso specifico in caso di trattamento di particolari categorie di dati (es. dati giudiziari o particolari categorie di dati, come quelli desumibili dalla documentazione attestante il sostenimento di spese mediche consegnate dal Cliente al Commercialista ai fini della relativa detrazione). c) DELEGHE AUTORIZZATIVE: il titolare del trattamento (dominus di Studio o Associazione o Società Professionale) dovrà autorizzare i propri collaboratori e tirocinanti ad effettuare il trattamento dei dati personali degli interessati. d) ORGANIZZAZIONE DI STUDIO: il titolare del trattamento (dominus di Studio o Associazione o Società Professionale) dovrà impostare tutte le proprie attività e l’organizzazione di studio rispettando i principi della “privacy by design” e “privacy by default”28,adottando 28 Si tratta dei principi desumibili dall’art. 25 del GDPR rubricato protezione dei dati fin dalla progettazione (privacy by design) e protezione per impostazione predefinita (privacy by default) in base al quale: “1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e 24 Glossario Si riportano a seguire le definizioni adottate dall’art. 4 del GDPR: 1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; 2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione; 3) «limitazione di trattamento»: il contrassegno dei dati personali conservati con l'obiettivo di limitarne il trattamento in futuro; 4) «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica; 5) «pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile; 6) «archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico; 7) «titolare del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri; 8) «responsabile del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento; 9) «destinatario»: la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione o degli Stati membri non sono considerate destinatari; il 25 trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento; 10) «terzo»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile; 11) «consenso dell'interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento; 12) «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati; 13) «dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione; 14) «dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici; 15) «dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute; 16) «stabilimento principale»: a) per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell'Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell'Unione e che quest'ultimo stabilimento abbia facoltà di ordinare l'esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale; b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell'Unione o, se il responsabile del trattamento non ha un'amministrazione centrale nell'Unione, lo stabilimento del responsabile del trattamento nell'Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento; 17) «rappresentante»: la persona fisica o giuridica stabilita nell'Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell'articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento; 26 18) «impresa»: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un'attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un'attività economica; 19) «autorità di controllo»: l'autorità pubblica indipendente istituita da uno Stato membro ai sensi dell'articolo 51; 20) «trattamento transfrontaliero»: a) trattamento di dati personali che ha luogo nell'ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell'Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure b) trattamento di dati personali che ha luogo nell'ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell'Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro.