Privacy: come si applica il nuovo Regolamento UE 2016/679?
A distanza di circa un anno dalla pubblicazione del Regolamento UE 2016/679 il Garante Italiano per la privacy ha elaborato una prima “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali” (di seguito anche solo Guida).
E’ un documento estremamente importante, in quanto è la prima posizione dell’Autorità sulle modalità di implementazione dei contenuti del Regolamento. Infatti, pur essendo il Regolamento direttamente applicabile negli Stati Membri, con la conseguenza che le imprese e tutti i titolari del trattamento in genere sono già chiamati a lavorare per l’attuazione, tuttavia, nonostante le linee guida del Gruppo di Lavoro articolo 29, permangono ancora molti dubbi interpretativi. In particolare, per quanto riguarda le Imprese italiane, è importante capire quali provvedimenti e normative restano in vigore con l’entrata in vigore del Regolamento e cosa non deve più essere applicato.
Su questo aspetto il Garante chiarisce molti aspetti. Non scordiamoci, infatti, che per le nostre imprese sarà principalmente il Garante a verificare gli adempimenti, conoscere, quindi, le sue linee interpretative consente di meglio allineare gli adempimenti da implementare.
Più precisamente nella Guida il Garante ha tracciato un quadro generale delle principali innovazioni introdotte dalla normativa segnalando i punti di novità rispetto al Codice, fornendo al contempo indicazioni sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa.
Si ricorda, infatti, che la normativa è già in vigore dal 24 maggio 2016, anche se sarà pienamente efficace dal 25 maggio 2018.
Questi, a parere di chi scrive, i principali punti critici esaminati dal Garante.
- CONSENSO: Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche del nuovo Regolamento. I titolari del trattamento, quindi, possono già avviare un percorso di aggiornamento delle informative e acquisizione dei consensi.
- RAPPORTI CON ESTERNI: i titolari devono valutare l’esistenza di eventuali situazioni di contitolarità essendo obbligati in tal caso a stipulare l’accordo interno descritto all’art. 26, paragrafo 1, del regolamento. I titolari di trattamento devono verificare che i contratti o altri atti giuridici che attualmente disciplinano i rapporti con i rispettivi responsabili siano conformi a quanto previsto, in particolare, dall’art. 28, paragrafo 3, del regolamento ed apportare le necessarie integrazioni o modifiche
Sulla gestione degli esterni, il Garante ricorda che la Commissione UE e le autorità nazionali di controllo (di cui il Garante fa parte) stanno valutando la definizioni di clausole contrattuali o modelli da utilizzare come riferimento. - INCARICATI DEL TRATTAMENTO: le disposizioni del Codice in materia di incaricati del trattamento sono pienamente compatibili con la struttura e la filosofia del regolamento, in particolare alla luce del principio di “responsabilizzazione” di titolari e responsabili del trattamento che prevede l’adozione di misure atte a garantire proattivamente l’osservanza del regolamento nella sua interezza. In questo senso il Garante ritiene opportuno che titolari e responsabili del trattamento mantengano in essere la struttura organizzativa e le modalità di designazione degli incaricati di trattamento così come delineatesi negli anni anche attraverso gli interventi del Garante
- MISURE MINIME: le misure di sicurezza devono “garantire un livello di sicurezza adeguato al rischio” del trattamento (art. 32, paragrafo 1); in questo senso, la lista di cui al paragrafo 1 dell’art. 32 è una lista aperta e non esaustiva. Il Garante conferma che , non potranno sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza (ex art. 33 Codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati. Secondo quanto indicato dal Garante le prescrizioni contenute nel Codice e, in particolare, nell’Allegato “B” al Codice, e nei provvedimenti adottati ad hoc in questi anni potranno essere valutate dallo stesso Garante per la definizione di linee-guida o buone prassi.
- REGISTRO DEI TRATTAMENTI: è un nuovo adempimento del Regolamento UE. Il Garante precisa che la tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali che il titolare deve implementare. Lo stesso Garante, quindi, invita “tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta”.
I contenuti del registro sono fissati nell’art. 30; tuttavia, niente vieta a un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell’ottica della complessiva valutazione di impatto dei trattamenti svolti. Nello specifico, si richiama l’attenzione sulla sostanziale coincidenza fra i contenuti della notifica dei trattamenti di cui all’art. 38 del Codice e quelli che devono costituire il registro dei trattamenti ex art. 30 regolamento; l’Autorità sta valutando di mettere a disposizione un modello di registro dei trattamenti sul proprio sito, che i singoli titolari potranno integrare nei modi opportuni.
Il Garante si è riservato di modificare e integrare la Guida allo scopo di offrire sempre nuovi contenuti e garantire un adeguamento costante all’evoluzione della prassi interpretativa e applicativa della normativa. Tuttavia, i preziosi consigli del Garante sono già una base di partenza per cominciare la compliance dei sistemi di gestione del dato di tutti i titolari del trattamento.
Suggerimenti bibliografici:
- Regolamento Ue 2016/679 – testo italiano: http://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016R0679&from=IT
- Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali del Garante Italiano: http://www.garanteprivacy.it/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali
- Linee-guida sui responsabili della protezione dei dati (RPD) adottate dal Gruppo di lavoro Art. 29 il 13 dicembre 2016 – WP243 – versione italiana: http://194.242.234.211/documents/10160/0/Linee-guida+sui+responsabili+della+protezione+dei+dati+%28RPD%29+-+WP+243.pdf
- Linee-guida sul diritto alla “portabilità dei dati” adottate dal Gruppo di lavoro Art. 29 il 13 dicembre 2016- WP242 – versione italiana: http://194.242.234.211/documents/10160/5184810/Linee-guida+sul+diritto+alla+portabilit%C3%A0+dei+dati+-+WP+242.pdf
- Linee guida sulla protezione dei dati di valutazione d’impatto (DPIA) e determinare se il trattamento è “suscettibile di provocare un alto rischio” ai fini del regolamento 2016/679 – wp248, versione ancora non disponibile in lingua italiana http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083
A cura di: Alessandra Delli Ponti
L'Avvocato Alessandra Delli Ponti (www.avvocatodelliponti.it ) è Of counsel dello Studio Legale Stefanelli&Stefanelli (www.studiolegalestefanelli.it), con cui collabora dal 1999.
Ha maturato esperienza pluriennale in materia di privacy e diritto delle nuove tecnologie e lavora principalmente con imprese e professionisti.
Nel 2016 ha conseguito il diploma di Data Protection officer ottenendo la Certificazione del Personale Schema CDP – Privacy Officer e Consulente della Privacy, presso TÜV Italia srl.
Ha competenza nell'implementazione di sistemi di gestione e, in particolare, costruzione di Modelli Organizzativi di prevenzione e gestione dei rischi reato ai sensi del D.L.gs. 231/2001.
E' membro di diversi Organismi di Vigilanza (Odv) e possiede la qualifica per l'iscrizione con Audiotor 231 all'Albo SICEV.
