Venerdì 28 aprile, il Garante italiano ha emanato una nuova Guida in materia di protezione dei dati personali. Facendo riferimento al Regolamento Europeo, la Guida ha l’intento di descrivere alcune specifiche Raccomandazioni, rivolte ai titolari del trattamento. Tali Raccomandazioni, ad oggi non prevedono possibili interventi normativi, ma invitano i titolari del trattamento alla piena responsabilizzazione nel trattamento dei dati personali. Per tale motivo la Guida ha l’obiettivo principale di illustrare le principali problematiche che imprese e soggetti pubblici dovranno tenere in considerazione fino alla totale applicazione del regolamento, prevista il 25 maggio 2018. Tale Guida punta l’attenzione su sei macro aree specifiche:
- Fondamenti di liceità del trattamento: tali fondamenti sono indicati all’art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice. “Per i dati “sensibili” (si veda art. 9 regolamento) il consenso DEVE essere “esplicito”; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – art. 22)”. Inoltre scrive: “NON deve essere necessariamente “documentato per iscritto”, ma DEVE essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento”.
- Informativa: gli argomenti di tale informativa sono trattati in maniera inderogabile, tali per cui risultano più specifici rispetto al Codice, infatti “deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee”. E’ opportuno che i titolari di trattamento verifichino la rispondenza delle informative (…) con particolare riguardo ai contenuti obbligatori e alle modalità di redazione”.
- Diritti degli Interessati: Le modalità per l’esercizio di tutti i diritti da parte degli interessati sono stabilite, in via generale, negli artt. 11 e 12 del regolamento. Cosa cambia rispetto a prima? Adesso, Il titolare deve dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego, anziché quindici giorni. Inoltre, il titolare può stabilire un contributo da richiedere all’interessato, ma soltanto se si tratta di richieste manifestamente infondate, eccessive o di più copie. Il riscontro all’interessato deve avvenire in forma scritta (anche in forma elettronica) e in forma oral, ma solo quando lo richiede l’interessato stesso.
- Titolare, responsabile, incaricato del trattamento: disciplina la contitolarità del trattamento e impone ai titolari la definizione del rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati. In particolare, la definizione del ruolo e del potere, prevede che i titolari definiscano ora la contitolarità del trattamento o la nomina di un sub-responsabile. Tale responsabilizzazione del Titolare prevede quindi obblighi specifici in capo ai responsabili del trattamento.
- Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili: Il seguente approccio comporta notevoli novità per la protezione dei dati, poiché sono ora i titolari stessi che hanno il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento. In tal senso emerge preponderante il termine inglese di “accountability”, che fa riferimento alla “responsabilizzazione” dei titolari, attraverso l’adozione di comportamenti proattivi, tali da poter dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento. A tal proposito, l’intervento delle autorità di controllo avverrà a posteriori, ossia solo dopo le scelte assunte autonomamente dal titolare.
Trasferimenti internazionali di dati: Il cambiamento principale riguarda l’abolizione del requisito dell’autorizzazione nazionale. Infatti il trasferimento verso un Paese terzo “adeguato” ai sensi della decisione assunta in futuro dalla Commissione potrà avere inizio senza attendere l’autorizzazione nazionale del Garante (a differenza di quanto attualmente previsto dal Codice). Nonostante ciò, l’autorizzazione del Garante è comunque necessaria quando si intendono utilizzare clausole contrattuali non riconosciute come adeguate, tramite decisione della Commissione europea), oppure accordi amministrativi stipulati tra autorità pubbliche. Infine, come scritto dal Garante della Privacy: “i titolari o i responsabili del trattamento stabiliti in un Paese terzo potranno far valere gli impegni sottoscritti attraverso l’adesione al codice di condotta”.
