È stata pubblicata la guida aggiornata del Garante privacy riguardante il regolamento Ue sulla protezione dei dati in vista dell’imminente entrata in vigore del 25 maggio 2018. Ecco cosa prevede.

È online la guida applicativa del Garante Privacy sul Regolamento Ue in materia di protezione dei dati personali, il cosiddetto Gdpr.

La guida è stata aggiornata alle più recenti disposizioni. L’obiettivo è  quello di offrire un panorama delle principali problematiche che imprese e soggetti pubblici dovranno tenere presenti. Anche perché si avvicina il giorno della piena applicazione del regolamento. Questa è prevista per il 25 maggio.

La guida applicativa al Gdpr suggerisce, attraverso raccomandazioni specifiche, alcune azioni che privati, aziende e Pa possono intraprendere sin d’ora.

Il documento del Garante viene suddiviso per macroaree. Esso si sofferma sul consenso, l’informativa e il trattamento dei dati.

In merito al consenso al trattamento dati personali, esso relativamente ai dati sensibili deve essere esplicito. E questo anche con riferimenti ai trattamenti automatizzati, “compresa la profilazione”.

Non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”.

Questo sebbene tale modalità sia idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito”.

Oltre a questo, il titolare deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento.

Per i minori, il consenso è valido a partire dai 16 anni (limite abbassabile dalla normativa nazionale a 13 anni).

Tra le raccomandazioni, il Garante precisa che “il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento, se si vuole continuare a fare ricorso a tale base giuridica”.

In particolare occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato. Infine, bisognerà prestare attenzione alla formula utilizzata per chiedere il consenso (che deve essere comprensibile, semplice, chiara).

Informativa

L’art. 13 del regolamento elenca in modo tassativo i contenuti dell’informativa che va fornita entro un termine ragionevole non oltre 1 mese dalla raccolta, o al momento della comunicazione dei dati.

Nella guida al Gdpr, si afferma che “il titolare deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati – Data Protection Officer), ove esistente, la base giuridica del trattamento”.

Ma anche “qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti”.

Sempre secondo l’Autorità, il regolamento Gdpr prevede ulteriori informazioni “necessarie per garantire un trattamento corretto e trasparente”.

Queste sono in primis la specificazione da parte del titolare del periodo di conservazione dei dati o dei criteri seguiti per stabilire tale periodo. E, in secondo luogo, il diritto di presentare un reclamo all’autorità di controllo.

È poi opportuno che i titolari di trattamento verifichino la rispondenza delle informative attualmente utilizzate a tutti i criteri sopra delineati. Ciò “con particolare riguardo ai contenuti obbligatori e alle modalità di redazione, in modo da apportare le modifiche o le integrazioni eventualmente necessarie ai sensi del regolamento”.

Diritti degli interessati

Riguardo ai diritti degli interessati (diritto di accesso, all’oblio, di limitazione del trattamento, di portabilità dei dati, ecc.) e alle modalità del loro esercizio, queste sono stabilite negli artt. 11 e 12 del regolamento.

Il termine per la risposta all’interessato è per tutti i diritti (compreso quello di accesso), 1 mese, estendibile fino a 3 mesi in casi di particolare complessità. Ancora, “il titolare deve comunque dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego”.

Il riscontro all’interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità.

Ma non solo. Esso può essere dato oralmente solo se così richiede l’interessato stesso.

Infine, “la risposta fornita all’interessato non deve essere solo ‘intelligibile’, ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro”.

Tra le raccomandazioni della guida al Gdpr, si legge quanto segue.

“È opportuno che i titolari di trattamento adottino le misure tecniche e organizzative eventualmente necessarie per favorire l’esercizio dei diritti e il riscontro alle richieste presentate dagli interessati”, si legge.

Riscontro “che – a differenza di quanto attualmente previsto – dovrà avere per impostazione predefinita forma scritta (anche elettronica)”.

Un capitolo a parte merita la contitolarità del trattamento.

Il regolamento lo disciplina, all’art. 26, e “impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti”.

Ciò “con particolare riguardo all’esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente”.

Inoltre, vengono fissate le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti.

“Deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine di dimostrare che il responsabile fornisce ‘garanzie sufficienti’ – quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, e categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento”.

Infine, sempre in base alle raccomandazione del Garante, “i titolari di trattamento dovrebbero valutare attentamente l’esistenza di eventuali situazioni di contitolarità, essendo obbligati in tal caso a stipulare l’accordo interno di cui parla l’art. 26, paragrafo 1, del regolamento”.

Sarà necessario, in particolare, individuare il “punto di contatto per gli interessati” previsto dal suddetto articolo ai fini dell’esercizio dei diritti previsti dal regolamento.

 

 

 

 

Leggi anche:

DESIGNAZIONE DEL DPO: GLI AVVOCATI SONO ESONERATI

- Annuncio pubblicitario -

LASCIA UN COMMENTO O RACCONTACI LA TUA STORIA

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui