Ieri (27/03/18) sul sito del Garante della Privacy sono state pubblicate le linee guida per l’applicazione del Regolamento Ue 679/2016 che si applicherà dal 25 maggio 2018.

Nella guida sono delineate in forma sintetica e schematica le principali problematiche che le imprese dovranno tenere presenti, evidenziando le novità introdotte dal Regolamento Ue 679/2016 e fornendo specifiche raccomandazioni su alcuni aspetti. In particolare, i temi trattati riguardano:

• Fondamenti di liceità del trattamento;
• Informativa;
• Diritti degli interessati;
• Titolare, responsabile, incaricato del trattamento;
• Approccio basato sul rischio del trattamento e misure di accountability dei titolari responsabili;
• Trasferimento dei dati verso Paesi terzi organismi internazionali;
• Le linee guida WP29

La guida ribadisce che il consenso non deve essere documentato per iscritto, anche se la forma scritta è la più idonea a dimostrare che l’interessato ha prestato il suo consenso esplicito ad uno specifico trattamento. Il consenso non è ammesso in modo tacito o presunto e deve essere manifestato attraverso una dichiarazione o un’azione inequivocabile dell’interessato. Pertanto, anche l’informativa dovrà essere chiaramente distinguibile da altre dichiarazione o richieste rivolte all’interessato e dovrà essere comprensibile, chiara e semplice.

I contenuti dell’informativa, elencati negli articoli 13 e 14 del Regolamento, sono ampliati rispetto al disposto del Dlgs 196/2003. Se esistenti, vanno sempre specificati i dati di contatto del RPD-DPO (Responsabile della protezione dei dati – Data Protecnion Officer). Il titolare deve specificare un periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione e il diritto di presentare un reclamo all’autorità di controllo. Devono inoltre essere esplicitati eventuali processi decisionali automatici attraverso la profilazione degli interessati. Nel caso in cui i dati personali non siano raccolti direttamente presso l’interessato, l’informativa dovrà essere fornita non oltre un mese da quando i dati sono stati raccolti.

Il Regolamento fissa inoltre i termini per le risposte da fornire all’interessato, prevedendo che il titolare deve dare riscontro all’interessato entro un mese dalla richiesta, anche in caso di diniego. In ogni caso la risposta andrà fornita entro un mese, estendibile fino a tre mesi in caso di particolari complessità.

Tra i diritti da tutelare ricordiamo:

• DIRITTO DI ACCESSO (avere copia dei dati personali oggetto del trattamento);
• DIRITTO DI CANCELLAZIONE (impone al titolare del trattamento oltre all’obbligo di cancellare i dati in suo possesso, di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati)
• DIRITTO DI LIMITAZIONE DEL TRATTAMENTO (ne è estesa l’applicazione non solo in caso di una violazione di liceità del trattamento, ma anche in caso di rettifica dei dati richiesta dall’interessato o di opposizione al loro trattamento. Il diritto alla limitazione prevede che il dato personale venga contrassegnato in attesa di determinazioni ulteriori).
• DIRITTO ALLA PORTABILITÀ DEI DATI (non si applica ai trattamenti non automatizzati).

Nel caso in cui vi sia la contitolarità tra più soggetti del trattamento dei dati, il Regolamento impone di delineare con “atto giuridicamente valido” il rispettivo ambito di responsabilità e compiti con particolare riguardo all’esercizio dei diritti degli interessati.

Il Regolamento fissa in modo più dettagliato, rispetto al codice, le caratteristiche dell’atto con cui il titolare designa un responsabile al trattamento.

Il responsabile del trattamento dei dati personali (RPD o DPO) è un soggetto designato dal titolare del trattamento per assolvere funzioni di supporto e controllo relativamente all’applicazione del Regolamento. Coopera con l’Autorità e costituisce il punto di contatto, anche rispetto agli interessati per le questioni connesse al trattamento dei dati personali. Per tali ragioni il suo nominativo va comunicato al Garante e deve disporre delle risorse necessarie per l’espletamento dei propri compiti.

L’approccio alla gestione dei dati deve essere basato sulla responsabilizzazione dei titolari e degli altri responsabili, attraverso l’adozione di comportamenti proattivi tali da dimostrare la concreta adozione delle misure finalizzate all’applicazione del regolamento.

A tal fine, il registro dei trattamenti, anche se non obbligatorio per gli organismi con meno di 250 dipendenti qualora non effettuino trattamenti a rischio, è consigliato e suggerito non solo al fine dell’eventuale supervisione da parte del Garante, ma anche per disporre di un quadro completo ed aggiornato dei trattamenti, indispensabile per l’analisi e valutazione dei rischi.

In caso di violazione di dati personali, i titolari dovranno notificare le violazioni di cui sono venuti a conoscenza entro 72 ore e comunque “senza ingiustificato ritardo”.

Il trasferimento dei dati verso Paesi terzi e organismi internazionali, quando interessi un Paese terzo “adeguato”, potrà essere avviato in determinate circostanze senza la preventiva autorizzazione del Garante. Autorizzazione comunque ancora necessaria se un titolare desidera utilizzare delle clausole non riconosciute come “adeguate” dalla Commissione europea.

In ultimo, la Guida rimanda alla consultazione delle “Linee guida sui responsabili della protezione dei dati” predisposta dal Gruppo di Lavoro Articolo 29 istituito dalla direttiva 95/46/CE che illustra in maniera approfondita la figura dell’RDP, definendone le attività, i compiti e le interazioni con gli altri soggetti coinvolti nel trattamento dei dati.

ALLEGATI:

- Modello comunicazione al Garante dei dati dell’RPD

- Nuove Faq sul Responsabile della Protezione dei Dati (RPD) in ambito privato