La Guida del Garante per la protezione dei dati personali sul Regolamento Europeo 2016/679

29 aprile 2017

Il Garante per la protezione dei dati personali ha pubblicato una prima guida applicativa del Regolamento generale europeo sulla protezione dei dati (Reg. UE 2016/679).

Attraverso l'analisi di 6 macro-argomenti (Fondamenti di liceità del trattamento; Informativa; Diritti degli interessati; Titolare, responsabile, incaricato del trattamento; Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili; Trasferimenti internazionali di dati) la Guida ripercorre le principali novità introdotte dal Regolamento e fornisce alcuni spunti pratici e raccomandazioni per la sua applicazione. Tra le raccomandazioni più rilevanti, si segnalano, in particolare:

a. Consenso: il Garante ha ammesso la validità del consenso prestato da coloro che hanno compiuto 16 anni (stando al dettato dell'art. 8 del Regolamento, tuttavia, tale previsione varrebbe solo per i trattamenti di dati personali effettuati in relazione ai servizi della società dell'informazione). Inoltre, a livello generale, non occorrerà rinnovare i consensi ove gli stessi siano stati raccolti in linea con i requisiti previsti dal Regolamento. In tal senso, la particolare severità che ha da sempre contraddistinto la normativa privacy italiana rappresenta un vantaggio: i consensi raccolti dovrebbero già essere informati, liberi, specifici e inequivocabili.

b. Legittimo interesse: il bilanciamento di interessi non dovrà più essere effettuato dal Garante, bensì dagli stessi titolari del trattamento in piena autonomia. A tal fine, il Garante ricorda che per i trattamenti per i quali si è già provveduto in passato ad effettuare un bilanciamento di interessi, i titolari potranno fare affidamento sui principi e le prescrizioni ivi contenute (si vedano, ad esempio, i provvedimenti in materia di dati biometrici, videosorveglianza e antifrode).

c. Informativa: le informazioni di cui all'art. 13 potranno essere rese anche tramite icone standardizzate, ma solo in combinazione con l'informativa completa ed esaustiva.

d. Designazione dei responsabili del trattamento: il Garante indica in prima battuta la forma del contratto, anche se non esclude la possibilità che venga utilizzato qualsiasi atto giuridico conforme al diritto nazionale. Inoltre, il garante evidenzia come, pur non prevedendo espressamente la figura dell' "incaricato" del trattamento, il Regolamento non ne esclude la presenza in quanto fa riferimento a "persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile".

e. Registro dei trattamenti: il Garante invita tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell'organizzazione, a dotarsi di tale registro e, in ogni caso, "a compiere un'accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta". Infine, con riferimento al rispetto del principio di "responsabilizzazione" o "accountability", il Garante dichiara apertamente che le misure minime di sicurezza previste dall'art. 33 del Codice Privacy non saranno più obbligatorie a partire dal 25 maggio 2018, poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati come da art. 32 del Regolamento.

f. Misure minime di sicurezza (art. 33 del Codice Privacy): il Garante ne esclude l'obbligatorietà generalizzata a partire dal 25 maggio 2018, poiché la valutazione sull'utilità delle stesse sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati come da art. 32 del Regolamento.

Autori