È online la guida del Garante sul GDPR: un vademecum all’applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali è stata pubblicata sul sito del Garante www.garanteprivacy.it, dov’è possibile consultarla in formato digitale. La guida riassume le novità introdotte dal GDPR e individua i principali adempimenti che le imprese e gli enti pubblici dovranno attuare per dare corretta applicazione alla nuova normativa Privacy, in vigore dal 24 maggio 2015, ma pienamente efficace solo a partire dal 25 maggio 2018. Il Garante Privacy suggerisce inoltre alcune azioni specifiche che possono essere intraprese dagli Stati Membri sin da ora, in quanto fondate su disposizioni specifiche del Regolamento che non richiedono interventi da parte del Legislatore nazionale (a differenza di altre disposizioni che invece richiedono lo sviluppo di una disciplina specifica per ciascuno Stato).

La nuova guida all’applicazione del GDPR

L’obiettivo del Garante Privacy è duplice: da un lato, si tratta di offrire una versione semplificata del Nuovo Regolamento GDPR Privacy, sottolineando le novità introdotte dal Legislatore Europeo al fine di armonizzare le normative dei vari Stati Membri e rafforzare le tutele, i diritti e i poteri di controllo dei cittadini; dall’altro, di aiutare imprese e pubbliche amministrazioni a dare attuazione al Nuovo Regolamento, dispensando consigli utili e pratici, immediatamente applicabili. La guida GDPR è suddivisa in 6 sezioni, che riprendono la struttura del Regolamento Europeo:

  1. fondamenti di liceità del trattamento;
  2. Informativa;
  3. Diritti degli interessati;
  4. Titolare, Responsabile, Incaricato del trattamento;
  5. Approccio basato sul rischio del trattamento e misure di Accountability di titolari e responsabili;
  6. Trasferimenti internazionali di dati.

Ciascuna sezione illustra le novità introdotte dal Legislatore Europeo con la nuova guida GDPR UE, segnalando le differenze rispetto alla precedente normativa Privacy e offrendo raccomandazioni pratiche in grado di semplificare il passaggio da una disciplina all’altra (nel tentativo di evitare i problemi che inevitabilmente sorgeranno quando si tratterà di affrontare casi pratici e concreti). Vediamoli brevemente insieme.

1) Fondamenti di liceità del trattamento

Il Regolamento conferma che il trattamento deve trovare fondamento in un’idonea base giuridica, la quale coincide con quanto attualmente previsto dal Codice Privacy: ovvero, il consenso dell’interessato (che deve essere, in tutti i casi, libero, specifico, informato e inequivocabile. Non è ammesso il consenso tacito o presunto). La differenza rispetto al passato riguarda la forma (che non deve necessariamente essere scritta), il consenso relativo ai dati sensibili e alle decisioni basate su trattamenti automatizzati (che deve essere sempre esplicito) e il trattamento di dati relativo ai minori (il cui consenso è valido a partire dai 16 anni: prima di allora, occorre raccogliere il consenso da parte dei genitori o altri esercenti la patria potestà).

2) Informativa Privacy

Cambiano tempi, modalità e contenuto dell’informativa utente. L’art. 13 del Nuovo Regolamento GDPR elenca in modo tassativo i contenuti dell’informativa Privacy (che sono più numerosi rispetto alla disciplina precedente). In particolare, il titolare deve sempre specificare i dati di contatto del RPD-DPO, ove esistente; la base giuridica del trattamento; qual è il suo interesse legittimo, se quest’ultimo costituisce la base giuridica del trattamento; se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumentiil periodo di conservazione dei dati (o i criteri seguiti per stabilire tale periodo di conservazione) e il diritto di presentare un reclamo all’autorità di controllo. Se il trattamento comporta processi decisionali automatizzati (compresa la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato. Se l’informativa non è raccolta direttamente presso l’interessato, deve essere fornita entro un termine ragionevole (che non può superare 1 mese dalla raccolta) oppure al momento della comunicazione dei dati (a terzi o all’Interessato). Quanto alle modalità, l’informativa deve avere forma preferibilmente scritta (e in formato elettronico, in caso di servizi offerti online) e deve essere espressa con linguaggio chiaro e semplice.

3) Diritti degli interessati

Una delle novità più significative introdotte dal Nuovo Regolamento Europeo riguarda la previsione di una serie di diritti e poteri significativi in capo ai soggetti Interessati. La guida GDPR UE sottolinea, in particolare, il diritto all’oblio e alla portabilità dei dati (non previsti dalla precedente disciplina normativa). Il diritto all’oblio non è che il diritto di un individuo ad essere “dimenticato” da archivi, banche dati, mezzi di informazione o motori di ricerca (c.d. de-indicizzazione), soprattutto in relazione a fatti pregiudizievoli alla propria persona. Grazie al Nuovo Regolamento Privacy EU, l’interessato ha ora il diritto di ottenere la cancellazione dei propri dati, anche online, da parte del Titolare del Trattamento, qualora i dati non siano più necessari per le finalità per le quali sono stati raccolti, abbia ritirato il consenso o si sia opposto al trattamento oppure il trattamento dei dati personali non sia altrimenti conforme al Nuovo Regolamento GDPR EU (c.d. trattamento illecito). Il diritto alla portabilità dei dati, invece, attribuisce all’Interessato la facoltà di richiedere e ricevere dal Titolare del trattamento, in formato leggibile, i dati che lo riguardano nonché il loro trasferimento da un Titolare del trattamento a un altro, senza impedimenti o perdita dei dati (ad eccezione dei casi in cui i dati sono conservati in archivi di interesse pubblico, come ad es. nell’archivio anagrafico).

4) Titolare, responsabile, incaricato del trattamento

Sotto questo profilo, il Nuovo Regolamento, disciplina la contitolarità del trattamento; fissa più dettagliatamente le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento, attribuendogli specifici compiti (deve trattarsi, infatti, di un contratto o altro atto giuridico conforme al diritto nazionale); consente la nomina di sub-responsabili del trattamento da parte di un responsabile, per specifiche attività di trattamento; prevede obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari

5) Rischio del trattamento e misure di Accountability di titolari e responsabili

La nuova disciplina europea in materia di tutela dei dati personali introduce in capo alle imprese una serie di obblighi, finalizzati a rafforzare le tutele in capo agli Interessati. Un esempio è costituito dai concetti di Privacy by Default e Privacy by Design: nel primo caso, il GDPR allude alla necessità di tutelare la vita privata dei cittadini di default, ovvero come impostazione predefinita dell’organizzazione aziendale, nel secondo caso, stabilisce che la protezione dei dati deve avvenire fin dal disegno o progettazione di un processo aziendale, tramite misure tecniche e organizzative idonee a garantire la loro integrità e riservatezza. Si tratta di una decisione volta a responsabilizzare Titolari e Responsabili, obbligandoli ad adottare comportamenti proattivi, in grado di dimostrare l’adozione di tutte le misure di sicurezza minime necessarie ad assicurare l’applicazione del Nuovo Regolamento. In questo contesto si inserisce anche l’obbligo di comunicare al Garante Privacy eventuali violazioni dei dati personali (prescrizione prima limitata ai soli “fornitori di servizi di comunicazione elettronica accessibili al pubblico”) – i c.d. casi di Data Breach – avente come fine quello di consentire al Garante di attivarsi in tempo per valutare gli eventuali danni e imporre le conseguenti misure correttive al Titolare del trattamento.

6) Trasferimenti internazionali di dati.

Tra le novità più significative introdotte dal Legislatore Europeo, occorre segnalare la previsione di garanzie ulteriori in caso di trasferimento di dati all’estero. Il trasferimento dei dati personali verso un paese situato al di fuori dell’Unione Europea o un’organizzazione internazionale che non rispetti gli standard di adeguatezza previsti in materia di tutela dei dati personali è vietato. Il trasferimento di dati è invece ammesso, senza la necessità dell’autorizzazione nazionale, qualora, secondo la Commissione Europea, tale Paese (od Organizzazione) garantisca un livello di protezione “adeguato”. Parimenti, l’autorizzazione del Garante è necessaria se un titolare desidera utilizzare clausole contrattuali ad-hoc (cioè non riconosciute come adeguate tramite decisione della Commissione europea) oppure accordi amministrativi stipulati tra autorità pubbliche.