Il 28 aprile anche il GarantePrivacy italiano, come hanno già fatto quello francese, quello tedesco ed altri, ha pubblicato una guida applicativa al nuovo RegolamentoEuropeo per la protezione dei dati personali n. 679/2016, con riferimento a tutte quegli aspetti che non prevedono interventi normativi. Il documento (“Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali”) intende fornire tutta una serie di suggerimenti operativi e raccomandazioni che possono aiutare (in particolar modo le imprese) ad approcciarsi alla nuova normativa, nonostante ci siano ancora molti suoi aspetti che attendono un intervento di adeguamento alla legge italiana.
Nuovo Regolamento UE
In primo luogo dovrà valutarsi e comprendere quanto dell’attuale codice della privacy rimarrà vigente e quanto abrogato. Basti pensare a tutte le disposizioni che hanno risvolti penali, la cui eliminazione comporterebbe un evidente vuoto normativo.
Altro dato significativo è che, nelle varie raccomandazioni, il Garante più volte sottolinea come il titolare del trattamento dovrà inevitabilmente adottare anche tutte quelle misureorganizzative interne volte a garantire il rispetto delle prescrizioni dettate dal nuovo Regolamento. Considerazione questa collegata all’altro aspetto caratterizzante la nuova normativa che la guida più volte sottolinea. Il Regolamento chiede a titolari e responsabili una responsabilizzazione (Accountability) delle proprie scelte che sia effettiva ed efficace.
Infine, elemento non meno importante, il Garante richiama come applicabili, in tutto o in parte, moltissimi provvedimenti che in questi anni ha via via adottato (es. videosorveglianza, sistemi anti-frode, biometria). Circostanza questa che senz’altro salva molti adempimenti adottati dalle imprese e che eventualmente dovranno attendere soltanto eventuali adeguamenti.
Passando ad un esame più attento della guida, appare chiaro come il Garante abbia preso in considerazione quelle parti del Regolamento che disciplinano soprattutto i principi fondanti della legge. Anche se da subito si notano i molteplici risvolti pratici che, anche i soli, principi hanno nell’applicazione del Regolamento medesimo.
Guida Garante Privacy
La guida si suddivide così in sei sezioni.
1) Fondamenti di liceità del trattamento: sono indicati all’art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice. Tuttavia per i consensi forniti prima del 25 maggio 2018 occorre verificare che comprendano i vari aspetti delle novità introdotte. Si precisa poi che è compito del titolare procedere, se del caso, al necessario bilanciamento fra legittimo interesse del titolare o del terzo e diritti e libertà dell’interessato.
2) Informativa: sull’argomento si è già detto molto, sottolineando come questo adempimento sia diventato, anche nei contenuti, maggiormente stringente rispetto a quanto previsto dall’attuale codice privacy. Come per il consenso, è opportuno che i titolari di trattamento verifichino la rispondenza delle informative attualmente utilizzate ai nuovi criteri introdotti dalla norma.
3) Diritti degli interessati (accesso, cancellazione-oblio, limitazione del trattamento, opposizione, portabilità): rispetto al Codice Privacy cambiano in parte le modalità per l’esercizio dei diritti dell’interessato. Il riscontro per tutti i diritti (compreso il diritto di accesso) è stabilito in un mese (anziché quindici giorni). Il titolare, valutando la complessità del riscontro all’interessato può stabilire un contributo (ad oggi il diritto di accesso è gratuito) da chiedere all’interessato, ma soltanto se si tratta di richieste manifestamente infondate, eccessive o di più copie.
Il Garante fornisce poi anche tutta una serie di ulteriori raccomandazioni e indicazioni in relazione sia ai diritti già disciplinati (come il diritto di accesso, o alla limitazione del trattamento), sia a quelli di nuova introduzione (diritto all’oblio, diritto alla portabilità).
4) Titolare, responsabile, incaricato del trattamento. Anche su questo punto molto si è già scritto e detto. Vale ancora la pena sottolineare come le novità siano molte e spesso accompagnate da prescrizioni particolarmente stringenti. Si pensi alla possibilità di contitolarità del trattamento o alla nomina di un sub-responsabile, tutti atti che necessitano, da parte dei titolari, di chiare definizioni di ruoli e poteri.
Ovviamente si richiama anche l’importante figura del DPO. Soprattutto si chiarisce che le disposizioni del Codice in materia di incaricati del trattamento (figura non esplicitamente prevista dal Regolamento) sono pienamente compatibili con la struttura e la filosofia del regolamento, in particolare alla luce del principio di “responsabilizzazione” di titolari e responsabili del trattamento che prevede l’adozione di misure atte a garantire proattivamente l’osservanza del regolamento nella sua interezza.
5) Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili (valutazione di impatto, registro dei trattamenti, misure di sicurezza, violazioni dei dati personali, nomina di un RDP-DPO): sotto questo aspetto più che altrove il Regolamento, e quindi il Garante, pongono con forza l’accento sul concetto di accountability ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.
6) Trasferimenti internazionali di dati: viene meno il requisito dell’autorizzazione nazionale. Ciò significa che il trasferimento verso un Paese terzo “adeguato” ai sensi della decisione assunta in futuro dalla Commissione, ovvero sulla base di clausole contrattuali modello, debitamente adottate, o di norme vincolanti d’impresa approvate attraverso la specifica procedura prevista nel regolamento, potrà avere inizio senza attendere l’autorizzazione nazionale del Garante (a differenza di quanto attualmente previsto dal Codice). Tuttavia, l’autorizzazione del Garante sarà ancora necessaria se un titolare desidera utilizzare clausole contrattuali ad-hoc (cioè non riconosciute come adeguate tramite decisione della Commissione europea) oppure accordi amministrativi stipulati tra autorità pubbliche – una delle novità introdotte dal regolamento.
CONDIVIDI CON I TUOI AMICI
Share List
I cookie ci aiutano a fornire i nostri servizi. Utilizzando tali servizi, accetti l'utilizzo dei cookie da parte nostra. AccettoInfo
Privacy & Cookies Policy
Privacy Overview
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
Il 28 aprile anche il Garante Privacy italiano, come hanno già fatto quello francese, quello tedesco ed altri, ha pubblicato una guida applicativa al nuovo Regolamento Europeo per la protezione dei dati personali n. 679/2016, con riferimento a tutte quegli aspetti che non prevedono interventi normativi. Il documento (“Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali”) intende fornire tutta una serie di suggerimenti operativi e raccomandazioni che possono aiutare (in particolar modo le imprese) ad approcciarsi alla nuova normativa, nonostante ci siano ancora molti suoi aspetti che attendono un intervento di adeguamento alla legge italiana.