di Luca Leone

È online la guida GDPR del Garante: un vademecum all’applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali è stata pubblicata sul sito del Garante www.garanteprivacy.it, dov’è possibile consultarla in formato digitale.

La guida riassume le novità introdotte dal GDPR e individua i principali adempimenti che le imprese e gli enti pubblici dovranno attuare per dare corretta applicazione alla nuova normativa Privacy, in vigore dal 24 maggio 2015, ma pienamente efficace solo a partire dal 25 maggio 2018.

Il Garante Privacy suggerisce inoltre alcune azioni specifiche che possono essere intraprese dagli Stati Membri sin da ora, in quanto fondate su disposizioni specifiche del Regolamento che non richiedono interventi da parte del Legislatore nazionale (a differenza di altre disposizioni che invece richiedono lo sviluppo di una disciplina specifica per ciascuno Stato).

La nuova guida all’applicazione del GDPR

L’obiettivo del Garante Privacy è duplice: da un lato, si tratta di offrire una versione semplificata del Nuovo Regolamento GDPR Privacy, sottolineando le novità introdotte dal Legislatore Europeo al fine di armonizzare le normative dei vari Stati Membri e rafforzare le tutele, i diritti e i poteri di controllo dei cittadini; dall’altro, di aiutare imprese e pubbliche amministrazioni a dare attuazione al Nuovo Regolamento, dispensando consigli utili e pratici, immediatamente applicabili.

La guida GDPR è suddivisa in 6 sezioni, che riprendono la struttura del Regolamento Europeo:

  1. fondamenti di liceità del trattamento;
  2. Informativa;
  3. Diritti degli interessati;
  4. Titolare, Responsabile, Incaricato del trattamento;
  5. Approccio basato sul rischio del trattamento e misure di Accountability di titolari e responsabili;
  6. Trasferimenti internazionali di dati.

Ciascuna sezione illustra le novità introdotte dal Legislatore Europeo con la nuova guida GDPR UE, segnalando le differenze rispetto alla precedente normativa Privacy e offrendo raccomandazioni pratiche in grado di semplificare il passaggio da una disciplina all’altra (nel tentativo di evitare i problemi che inevitabilmente sorgeranno quando si tratterà di affrontare casi pratici e concreti). Vediamoli brevemente insieme.

1) Fondamenti di liceità del trattamento

Il Regolamento conferma che il trattamento deve trovare fondamento in un’idonea base giuridica, la quale coincide con quanto attualmente previsto dal Codice Privacy: ovvero, il consenso dell’interessato (che deve essere, in tutti i casi, libero, specifico, informato e inequivocabile.

Non è ammesso il consenso tacito o presunto). La differenza rispetto al passato riguarda la forma (che non deve necessariamente essere scritta), il consenso relativo ai dati sensibili e alle decisioni basate su trattamenti automatizzati (che deve essere sempre esplicito) e il trattamento di dati relativo ai minori (il cui consenso è valido a partire dai 16 anni: prima di allora, occorre raccogliere il consenso da parte dei genitori o altri esercenti la patria potestà).

2) Informativa Privacy

Cambiano tempi, modalità e contenuto dell’informativa utente. L’art. 13 del Nuovo Regolamento GDPR elenca in modo tassativo i contenuti dell’informativa Privacy (che sono più numerosi rispetto alla disciplina precedente).

In particolare, il titolare deve sempre specificare i dati di contatto del RPD-DPO, ove esistente; la base giuridica del trattamento; qual è il suo interesse legittimo, se quest’ultimo costituisce la base giuridica del trattamento; se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumentiil periodo di conservazione dei dati (o i criteri seguiti per stabilire tale periodo di conservazione) e il diritto di presentare un reclamo all’autorità di controllo. Se il trattamento comporta processi decisionali automatizzati (compresa la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.

Se l’informativa non è raccolta direttamente presso l’interessato, deve essere fornita entro un termine ragionevole (che non può superare 1 mese dalla raccolta) oppure al momento della comunicazione dei dati (a terzi o all’Interessato). Quanto alle modalità, l’informativa deve avere forma preferibilmente scritta (e in formato elettronico, in caso di servizi offerti online) e deve essere espressa con linguaggio chiaro e semplice.

3) Diritti degli interessati

Una delle novità più significative introdotte dal Nuovo Regolamento Europeo riguarda la previsione di una serie di diritti e poteri significativi in capo ai soggetti Interessati.

La guida GDPR UE sottolinea, in particolare, il diritto all’oblio e alla portabilità dei dati (non previsti dalla precedente disciplina normativa). Il diritto all’oblio non è che il diritto di un individuo ad essere “dimenticato” da archivi, banche dati, mezzi di informazione o motori di ricerca (c.d. de-indicizzazione), soprattutto in relazione a fatti pregiudizievoli alla propria persona. Grazie al Nuovo Regolamento Privacy EU, l’interessato ha ora il diritto di ottenere la cancellazione dei propri dati, anche online, da parte del Titolare del Trattamento, qualora i dati non siano più necessari per le finalità per le quali sono stati raccolti, abbia ritirato il consenso o si sia opposto al trattamento oppure il trattamento dei dati personali non sia altrimenti conforme al Nuovo Regolamento GDPR EU (c.d. trattamento illecito).

Il diritto alla portabilità dei dati, invece, attribuisce all’Interessato la facoltà di richiedere e ricevere dal Titolare del trattamento, in formato leggibile, i dati che lo riguardano nonché il loro trasferimento da un Titolare del trattamento a un altro, senza impedimenti o perdita dei dati (ad eccezione dei casi in cui i dati sono conservati in archivi di interesse pubblico, come ad es. nell’archivio anagrafico).

4) Titolare, responsabile, incaricato del trattamento

Sotto questo profilo, il Nuovo Regolamento, disciplina la contitolarità del trattamento; fissa più dettagliatamente le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento, attribuendogli specifici compiti (deve trattarsi, infatti, di un contratto o altro atto giuridico conforme al diritto nazionale); consente la nomina di sub-responsabili del trattamento da parte di un responsabile, per specifiche attività di trattamento; prevede obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari

5) Rischio del trattamento e misure di Accountability di titolari e responsabili

La nuova disciplina europea in materia di tutela dei dati personali introduce in capo alle imprese una serie di obblighi, finalizzati a rafforzare le tutele in capo agli Interessati. Un esempio è costituito dai concetti di Privacy by Default e Privacy by Design: nel primo caso, il GDPR allude alla necessità di tutelare la vita privata dei cittadini di default, ovvero come impostazione predefinita dell’organizzazione aziendale, nel secondo caso, stabilisce che la protezione dei dati deve avvenire fin dal disegno o progettazione di un processo aziendale, tramite misure tecniche e organizzative idonee a garantire la loro integrità e riservatezza.

Si tratta di una decisione volta a responsabilizzare Titolari e Responsabili, obbligandoli ad adottare comportamenti proattivi, in grado di dimostrare l’adozione di tutte le misure di sicurezza minime necessarie ad assicurare l’applicazione del Nuovo Regolamento.

In questo contesto si inserisce anche l’obbligo di comunicare al Garante Privacy eventuali violazioni dei dati personali (prescrizione prima limitata ai soli “fornitori di servizi di comunicazione elettronica accessibili al pubblico”) – i c.d. casi di Data Breach – avente come fine quello di consentire al Garante di attivarsi in tempo per valutare gli eventuali danni e imporre le conseguenti misure correttive al Titolare del trattamento.

6) Trasferimenti internazionali di dati.

Tra le novità più significative introdotte dal Legislatore Europeo, occorre segnalare la previsione di garanzie ulteriori in caso di trasferimento di dati all’estero.

Il trasferimento dei dati personali verso un paese situato al di fuori dell’Unione Europea o un’organizzazione internazionale che non rispetti gli standard di adeguatezza previsti in materia di tutela dei dati personali è vietato.

Il trasferimento di dati è invece ammesso, senza la necessità dell’autorizzazione nazionale, qualora, secondo la Commissione Europea, tale Paese (od Organizzazione) garantisca un livello di protezione “adeguato”. Parimenti, l’autorizzazione del Garante è necessaria se un titolare desidera utilizzare clausole contrattuali ad-hoc (cioè non riconosciute come adeguate tramite decisione della Commissione europea) oppure accordi amministrativi stipulati tra autorità pubbliche.

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Condividi su twitter
Condividi su linkedin
Condividi su email

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.