Italian Italian English English Arabic Arabic
Search

Regolamento privacy UE: aggiornata la Guida applicativa dal Garante

LAW FIRM - STUDIO LEGALE PAOLO SPATARO > Law-Firm News  > Regolamento privacy UE: aggiornata la Guida applicativa dal Garante

Regolamento privacy UE: aggiornata la Guida applicativa dal Garante

È stata pubblicata ieri la versione aggiornata della Guida applicativa del Regolamento (UE) 2016/679, con la quale il Garante Privacy ha recepito le più recenti riflessioni sul tema della protezione dei dati personali allo scopo di suggerire alcune azioni concrete che possono essere intraprese fin da subito da aziende e PA in vista della piena operatività del Regolamento a partire dal prossimo 25 maggio.

Consenso. Il consenso al trattamento dei dati personali è un elemento fondamentale del nuovo assetto di protezione della privacy. Ai sensi dell’art. 9 del regolamento per i dati “sensibili” il consenso deve essere esplicito, «lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – art. 22). Non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per i dati sensibili); inoltre, il titolare (art. 7.1) deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento». Per i minori, il consenso è valido a partire dai 16 anni, limite che la normativa nazionale può abbassare a 13 anni. Precisa inoltre il Garante che «il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento, se si vuole continuare a fare ricorso a tale base giuridica».

Informativa. L’art. 13 elenca in modo tassativo i contenuti dell’informativa che il titolare deve fornire entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato). In particolare devono essere specificati i dati di contatto del RPD-DPO (Responsabile della protezione dei dati – Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti.

Diritti degli interessati. Gli artt. 11 e 12 del regolamento specificano le modalità di esercizio dei diritti da parte degli interessati e quindi, il diritto di accesso, il diritto di cancellazione (c.d. diritto all’oblio), il diritto di limitazione del trattamento, il diritto alla portabilità dei dati. Il termine per la risposta all’interessato è, per tutti i diritti (compreso il diritto di accesso), 1 mese, estendibile fino a 3 mesi in casi di particolare complessità (secondo la valutazione del titolare). Il titolare deve comunque dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego. Il Garante raccomanda ai titolari di trattamento l’adozione delle «misure tecniche e organizzative eventualmente necessarie per favorire l’esercizio dei diritti e il riscontro alle richieste presentate dagli interessati, che – a differenza di quanto attualmente previsto – dovrà avere per impostazione predefinita forma scritta (anche elettronica)».

Contitolarità del trattamento. Il regolamento, all’art. 26, disciplina la contitolarità del trattamento e «impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati». Secondo la raccomandazione del Garante «titolari di trattamento dovrebbero valutare attentamente l’esistenza di eventuali situazioni di contitolarità, essendo obbligati in tal caso a stipulare l’accordo interno di cui parla l’art. 26, paragrafo 1, del regolamento. Sarà necessario, in particolare, individuare il “punto di contatto per gli interessati” previsto dal suddetto articolo ai fini dell’esercizio dei diritti previsti dal regolamento».

Qui la Guida del Garante Privacy allApplicazione del Regolamento Europeo