GDPR: Guida 2023 del Garante Privacy

di Anna Fabi

Pubblicato 21 Giugno 2023
Aggiornato 2 Luglio 2024 07:54

logo PMI+ logo PMI+
Guida aggiornata del Garante Privacy al Regolamento Europeo sui Dati Personali (GDPR): il vademecum per datori di lavoro e DPO.

Il Garante Privacy ha pubblicato la guida aggiornata al Regolamento Europeo per la protezione dei dati personali n. 679/2016 (GDPR).

Il documento (“Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali”) intende fornire tutta una serie di suggerimenti operativi e raccomandazioni che possono aiutare (in particolar modo le imprese) ad approcciarsi alla nuova normativa, nonostante ci siano ancora molti suoi aspetti che attendono un intervento di adeguamento alla legge italiana.

Guida del Garante Privacy al GDPR

In primo luogo la guida è pensata per il titolare del trattamento che deve adottare le misure organizzative interne volte a garantire il rispetto delle prescrizioni dettate dal Regolamento, in ottemperanza al principio di responsabilizzazione (Accountability) delle policies adottate.

Il Garante richiama anche una serie di provvedimenti che in questi anni ha via via adottato (es. videosorveglianza, sistemi anti-frode, biometria), con gli eventuali adeguamenti del caso.  Di seguito i sei capitoli in cui è organizzata la guida.

Fondamenti di liceità del trattamento

Sono indicati all’art. 6 del Regolamento e coincidono, in linea di massima, con quelli previsti in passato dal Codice Privacy italiano. E’ compito del titolare procedere, se del caso, al necessario bilanciamento fra legittimo interesse del titolare o del terzo e diritti e libertà dell’interessato.

Informativa

Sull’argomento si è già detto molto e sono intervenute anche ulteriori obblighi in virtù di altri adempimenti di legge indirettamente connessi. Di fatto, l’adempimento è diventato, anche nei contenuti, molto stringente rispetto a quanto previsto in passato dal Codice Privacy, nonostante alcune semplificazioni intervenute nel corso degli anni.

Come per il consenso, è opportuno che i titolari di trattamento verifichino la rispondenza delle informative attualmente utilizzate ai nuovi criteri introdotti dalla norma.

Diritti degli interessati

Rispetto al vecchio Codice Privacy, il GDPR ha previsto diverse modalità per l’esercizio dei diritti dell’interessato(accesso, cancellazione-oblio, limitazione del trattamento, opposizione, portabilità). Il riscontro per tutti i diritti (compreso il diritto di accesso) è stabilito in un mese (anziché quindici giorni). Il titolare, valutando la complessità del riscontro all’interessato può stabilire un contributo (ad oggi il diritto di accesso è gratuito) da chiedere all’interessato, ma soltanto se si tratta di richieste manifestamente infondate, eccessive o di più copie.

Titolare, responsabile, incaricato del trattamento

Si analizza anche la possibilità di contitolarità del trattamento o alla nomina di un sub-responsabile, tutti atti che necessitano, da parte dei titolari, di chiare definizioni di ruoli e poteri. Ovviamente si richiama anche l’importante figura del DPO. Soprattutto si chiarisce che le disposizioni del Codice in materia di incaricati del trattamento (figura non esplicitamente prevista dal Regolamento) sono pienamente compatibili con la struttura e la filosofia del regolamento, in particolare alla luce del principio di “responsabilizzazione” di titolari e responsabili del trattamento che prevede l’adozione di misure atte a garantire proattivamente l’osservanza del regolamento nella sua interezza.

Approccio basato sul rischio del trattamento

In tema di misure di accountability di titolari e responsabili (valutazione di impatto, registro dei trattamenti, misure di sicurezza, violazioni dei dati personali, nomina di un RDP-DPO), il Regolamento, e quindi il Garante, pongono con forza l’accento sul concetto di accountability ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.

Trasferimenti internazionali di dati

Il trasferimento verso un Paese terzo “adeguato” ai sensi della direttive UEpotrà avere inizio senza attendere l’autorizzazione nazionale del Garante (a differenza di quanto un tempo previsto dal Codice Privacy). Tuttavia, l’autorizzazione del Garante sarà ancora necessaria se un titolare desidera utilizzare clausole contrattuali ad-hoc (cioè non riconosciute come adeguate tramite decisione della Commissione europea) oppure accordi amministrativi stipulati tra autorità pubbliche – una delle novità introdotte dal regolamento.