Una redazione di oltre 50 collaboratori, esperti delle tematiche che stanno a cuore alle imprese

Le raccomandazioni del Garante al Regolamento sui dati personali

Il 28 aprile anche il Garante italiano ha emanato delle importanti Raccomandazioni operative sul nuovo Regolamento Europeo per la protezione dei dati personali.

Il Garante precisa in primo luogo che la guida è stata redatta con riferimento a tutte quegli aspetti del Regolamento che non prevedono interventi normativi, ciò conferma come ci sono ancora molti aspetti che attendono  un intervento adeguatore da parte del legislatore italiano.

Il Garante più volte sottolinea come il titolare del trattamento dovrà inevitabilmente adottare anche tutte quelle misure organizzative interne volte a garantire il rispetto delle prescrizioni dettate dal nuovo Regolamento. Questo aspetto sarà fondamentale soprattutto se, come sottolinea il Garante,  si tiene a mente che il Regolamento chiede a titolari e responsabili un vero e proprio atto di responsabilizzazione (Accountability) nel trattamento dei dati personali.

Il Garante precisa anche che rimangono in essere, in tutto o in parte, moltissimi provvedimenti che in questi anni ha via via adottato (es. videosorveglianza, sistemi antifrode, biometria).

Passano ad un esame più attendo la guida si suddivide in sei sezioni.

  • Fondamenti di liceità del trattamento: i fondamenti di liceità del trattamento sono indicati all’art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice. Tuttavia per i consensi forniti prima del 25 maggio 2018 occorre verificare che comprendano i vari aspetti delle novità introdotte.
  • Informativa: Sull’argomento si è già detto molto in precedenti contributi, sottolineando come questo documento e adempimento sia diventato, anche nei contenuti, maggiormente stringente rispetto a quanto previsto dall’attuale codice privacy. Come per il consenso è opportuno che i titolari di trattamento verifichino la rispondenza delle informative attualmente utilizzate ai nuovi criteri introdotti dalla norma.
  • Diritti degli interessati (accesso, cancellazione-oblio, limitazione del trattamento, opposizione, portabilità): rispetto al Codice Privacy cambiano in parte le modalità per l’esercizio dei diritti dell’interessato. Il riscontro per tutti i diritti (compreso il diritto di accesso) è stabilito in un mese (anziché quindici giorni). Il titolare, valutando la complessità del riscontro all’interessato può stabilire un contributo (ad oggi il diritto di accesso è gratuito) da chiedere all’interessato, ma soltanto se si tratta di richieste manifestamente infondate, eccessive o di più copie.

Il Garante fornisce poi anche tutta una serie di ulteriori raccomandazioni e indicazioni in relazione sia ai diritti già disciplinati (come il diritto di accesso, o alla limitazione del trattamento), sia a quelli di nuova introduzione (Diritto all’oblio, diritto alla portabilità).

  • Titolare, responsabile, incaricato del trattamento. Anche su questo punto molto si è già scritto e detto. Vale ancora la pena sottolineare come le novità siano molte e spesso accompagnate da prescrizioni particolarmente stringenti. Si pensi alla possibilità di contitolarità del trattamento o alla nomina di un sub-responsabile, tutti atti che necessitano, da parte dei titolari, di chiare definizioni di ruoli e poteri. Soprattutto si chiarisce che le disposizioni del Codice in materia di incaricati del trattamento (figura non esplicitamente prevista dal Regolamento) sono pienamente compatibili con la struttura e la filosofia del regolamento, in particolare alla luce del principio di “responsabilizzazione” di titolari e responsabili del trattamento che prevede l’adozione di misure atte a garantire proattivamente l’osservanza del regolamento nella sua interezza.
  • Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili (valutazione di impatto, registro dei trattamenti, misure di sicurezza, violazioni dei dati personali, nomina di un RDP-DPO): sotto questo aspetto più che altrove il Regolamento e quindi il Garante pongono con forza l’accento sul concetto di accountability ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.
  • Trasferimenti internazionali di dati: viene meno il requisito dell’autorizzazione nazionale. Ciò significa che il trasferimento verso un Paese terzo “adeguato” ai sensi della decisione assunta in futuro dalla Commissione, ovvero sulla base di clausole contrattuali modello, debitamente adottate, o di norme vincolanti d’impresa approvate attraverso la specifica procedura prevista nel regolamento, potrà avere inizio senza attendere l’autorizzazione nazionale del Garante (a differenza di quanto attualmente previsto dal Codice). Tuttavia, l’autorizzazione del Garante sarà ancora necessaria se un titolare desidera utilizzare clausole contrattuali ad-hoc (cioè non riconosciute come adeguate tramite decisione della Commissione europea) oppure accordi amministrativi stipulati tra autorità pubbliche – una delle novità introdotte dal regolamento.

Avv. Emiliano Vitelli
Consigliere European Privacy Centre

avatar

Emiliano Vitelli

Partecipa alla discussione