Il Garante Privacy ha pubblicato la guida aggiornata al Regolamento Europeo per la protezione dei dati personali n. 679/2016 (GDPR).
Il documento (“Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali”) intende fornire tutta una serie di suggerimenti operativi e raccomandazioni che possono aiutare (in particolar modo le imprese) ad approcciarsi alla nuova normativa, nonostante ci siano ancora molti suoi aspetti che attendono un intervento di adeguamento alla legge italiana.
Guida del Garante Privacy al GDPR
In primo luogo la guida è pensata per il titolare del trattamento che deve adottare le misure organizzative interne volte a garantire il rispetto delle prescrizioni dettate dal Regolamento, in ottemperanza al principio di responsabilizzazione (Accountability) delle policies adottate.
Il Garante richiama anche una serie di provvedimenti che in questi anni ha via via adottato (es. videosorveglianza, sistemi anti-frode, biometria), con gli eventuali adeguamenti del caso. Di seguito i sei capitoli in cui è organizzata la guida.
Fondamenti di liceità del trattamento
Sono indicati all’art. 6 del Regolamento e coincidono, in linea di massima, con quelli previsti in passato dal Codice Privacy italiano. E’ compito del titolare procedere, se del caso, al necessario bilanciamento fra legittimo interesse del titolare o del terzo e diritti e libertà dell’interessato.
Informativa
Sull’argomento si è già detto molto e sono intervenute anche ulteriori obblighi in virtù di altri adempimenti di legge indirettamente connessi. Di fatto, l’adempimento è diventato, anche nei contenuti, molto stringente rispetto a quanto previsto in passato dal Codice Privacy, nonostante alcune semplificazioni intervenute nel corso degli anni.
Come per il consenso, è opportuno che i titolari di trattamento verifichino la rispondenza delle informative attualmente utilizzate ai nuovi criteri introdotti dalla norma.
Diritti degli interessati
Rispetto al vecchio Codice Privacy, il GDPR ha previsto diverse modalità per l’esercizio dei diritti dell’interessato(accesso, cancellazione-oblio, limitazione del trattamento, opposizione, portabilità). Il riscontro per tutti i diritti (compreso il diritto di accesso) è stabilito in un mese (anziché quindici giorni). Il titolare, valutando la complessità del riscontro all’interessato può stabilire un contributo (ad oggi il diritto di accesso è gratuito) da chiedere all’interessato, ma soltanto se si tratta di richieste manifestamente infondate, eccessive o di più copie.
Titolare, responsabile, incaricato del trattamento
Si analizza anche la possibilità di contitolarità del trattamento o alla nomina di un sub-responsabile, tutti atti che necessitano, da parte dei titolari, di chiare definizioni di ruoli e poteri. Ovviamente si richiama anche l’importante figura del DPO. Soprattutto si chiarisce che le disposizioni del Codice in materia di incaricati del trattamento (figura non esplicitamente prevista dal Regolamento) sono pienamente compatibili con la struttura e la filosofia del regolamento, in particolare alla luce del principio di “responsabilizzazione” di titolari e responsabili del trattamento che prevede l’adozione di misure atte a garantire proattivamente l’osservanza del regolamento nella sua interezza.
Approccio basato sul rischio del trattamento
In tema di misure di accountability di titolari e responsabili (valutazione di impatto, registro dei trattamenti, misure di sicurezza, violazioni dei dati personali, nomina di un RDP-DPO), il Regolamento, e quindi il Garante, pongono con forza l’accento sul concetto di accountability ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.
Trasferimenti internazionali di dati
Il trasferimento verso un Paese terzo “adeguato” ai sensi della direttive UEpotrà avere inizio senza attendere l’autorizzazione nazionale del Garante (a differenza di quanto un tempo previsto dal Codice Privacy). Tuttavia, l’autorizzazione del Garante sarà ancora necessaria se un titolare desidera utilizzare clausole contrattuali ad-hoc (cioè non riconosciute come adeguate tramite decisione della Commissione europea) oppure accordi amministrativi stipulati tra autorità pubbliche – una delle novità introdotte dal regolamento.
