Guida al nuovo Regolamento Privacy

La guida italiana al Regolamento Europeo sui dati personali: il vademecum del Garante Privacy.

Il 28 aprile anche il Garante Privacy italiano, come hanno già fatto quello francese, quello tedesco ed altri, ha pubblicato una guida applicativa al nuovo Regolamento Europeo per la protezione dei dati personali n. 679/2016, con riferimento a tutte quegli aspetti che non prevedono interventi normativi. Il documento (“Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali”) intende fornire tutta una serie di suggerimenti operativi e raccomandazioni che possono aiutare (in particolar modo le imprese) ad approcciarsi alla nuova normativa, nonostante ci siano ancora molti suoi aspetti che attendono un intervento di adeguamento alla legge italiana.

Nuovo Regolamento UE

In primo luogo dovrà valutarsi e comprendere quanto dell’attuale codice della privacy rimarrà vigente e quanto abrogato. Basti pensare a tutte le disposizioni che hanno risvolti penali, la cui eliminazione comporterebbe un evidente vuoto normativo.

=> Nuove regole privacy: suggerimenti per aziende

Altro dato significativo è che, nelle varie raccomandazioni, il Garante più volte sottolinea come il titolare del trattamento dovrà inevitabilmente adottare anche tutte quelle misure organizzative interne volte a garantire il rispetto delle prescrizioni dettate dal nuovo Regolamento. Considerazione questa collegata all’altro aspetto caratterizzante la nuova normativa che la guida più volte sottolinea. Il Regolamento chiede a titolari e responsabili una responsabilizzazione (Accountability) delle proprie scelte che sia effettiva ed efficace.

Infine, elemento non meno importante, il Garante richiama come applicabili, in tutto o in parte, moltissimi provvedimenti che in questi anni ha via via adottato (es. videosorveglianza, sistemi anti-frode, biometria). Circostanza questa che senz’altro salva molti adempimenti adottati dalle imprese e che eventualmente dovranno attendere soltanto eventuali adeguamenti.

Passando ad un esame più attento della guida, appare chiaro come il Garante abbia preso in considerazione quelle parti del Regolamento che disciplinano soprattutto i principi fondanti della legge. Anche se da subito si notano i molteplici risvolti pratici che, anche i soli, principi hanno nell’applicazione del Regolamento medesimo.

=> Impatto sulle aziende del nuovo Regolamento Privacy

Guida Garante Privacy

La guida si suddivide così in sei sezioni.

1) Fondamenti di liceità del trattamento: sono indicati all’art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice. Tuttavia per i consensi forniti prima del 25 maggio 2018 occorre verificare che comprendano i vari aspetti delle novità introdotte. Si precisa poi che è compito del titolare procedere, se del caso, al necessario bilanciamento fra legittimo interesse del titolare o del terzo e diritti e libertà dell’interessato.

=> Privacy UE: cambiano le regole Marketing

2) Informativa: sull’argomento si è già detto molto, sottolineando come questo adempimento sia diventato, anche nei contenuti, maggiormente stringente rispetto a quanto previsto dall’attuale codice privacy. Come per il consenso, è opportuno che i titolari di trattamento verifichino la rispondenza delle informative attualmente utilizzate ai nuovi criteri introdotti dalla norma.

3) Diritti degli interessati (accesso, cancellazione-oblio, limitazione del trattamento, opposizione, portabilità): rispetto al Codice Privacy cambiano in parte le modalità per l’esercizio dei diritti dell’interessato. Il riscontro per tutti i diritti (compreso il diritto di accesso) è stabilito in un mese (anziché quindici giorni). Il titolare, valutando la complessità del riscontro all’interessato può stabilire un contributo (ad oggi il diritto di accesso è gratuito) da chiedere all’interessato, ma soltanto se si tratta di richieste manifestamente infondate, eccessive o di più copie.

=> Oblio su Internet: come fare ricorso

Il Garante fornisce poi anche tutta una serie di ulteriori raccomandazioni e indicazioni in relazione sia ai diritti già disciplinati (come il diritto di accesso, o alla limitazione del trattamento), sia a quelli di nuova introduzione (diritto all’oblio, diritto alla portabilità).

4) Titolare, responsabile, incaricato del trattamento. Anche su questo punto molto si è già scritto e detto. Vale ancora la pena sottolineare come le novità siano molte e spesso accompagnate da prescrizioni particolarmente stringenti. Si pensi alla possibilità di contitolarità del trattamento o alla nomina di un sub-responsabile, tutti atti che necessitano, da parte dei titolari, di chiare definizioni di ruoli e poteri.

=> Privacy: obbligo DPO in azienda

Ovviamente si richiama anche l’importante figura del DPO. Soprattutto si chiarisce che le disposizioni del Codice in materia di incaricati del trattamento (figura non esplicitamente prevista dal Regolamento) sono pienamente compatibili con la struttura e la filosofia del regolamento, in particolare alla luce del principio di “responsabilizzazione” di titolari e responsabili del trattamento che prevede l’adozione di misure atte a garantire proattivamente l’osservanza del regolamento nella sua interezza.

5) Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili (valutazione di impatto, registro dei trattamenti, misure di sicurezza, violazioni dei dati personali, nomina di un RDP-DPO): sotto questo aspetto più che altrove il Regolamento, e quindi il Garante, pongono con forza l’accento sul concetto di accountability ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.

6) Trasferimenti internazionali di dati: viene meno il requisito dell’autorizzazione nazionale. Ciò significa che il trasferimento verso un Paese terzo “adeguato” ai sensi della decisione assunta in futuro dalla Commissione, ovvero sulla base di clausole contrattuali modello, debitamente adottate, o di norme vincolanti d’impresa approvate attraverso la specifica procedura prevista nel regolamento, potrà avere inizio senza attendere l’autorizzazione nazionale del Garante (a differenza di quanto attualmente previsto dal Codice). Tuttavia, l’autorizzazione del Garante sarà ancora necessaria se un titolare desidera utilizzare clausole contrattuali ad-hoc (cioè non riconosciute come adeguate tramite decisione della Commissione europea) oppure accordi amministrativi stipulati tra autorità pubbliche – una delle novità introdotte dal regolamento.

Consulta: la Guida del Garante Privacy - il nuovo Regomaneto UE

_________

Avv. Emiliano Vitelli, Consigliere European Privacy Centre.

X
Se vuoi aggiornamenti su Guida al nuovo Regolamento Privacy

inserisci la tua e-mail nel box qui sotto:

Ho letto e acconsento l'informativa sulla privacy

Acconsento al trattamento di cui al punto 3 dell'informativa sulla privacy