Il 28 aprile 2017 il Garante italiano per la protezione dei dati personali (il "Garante") ha pubblicato una prima approfondita "Guida all'applicazione del Regolamento europeo in materia di protezione dei dati personali" (la "Guida").

In particolare il Garante, oltre a ricordare la scadenza del 25 maggio 2018 per adeguarsi al contenuto del Regolamento n. 679 del 2016 (il "Regolamento"), aiuta a individuare "cosa cambia" e "cosa non cambia" rispetto all'architettura privacy disciplinata dal decreto legislativo n. 196 del 2003 (il "Codice") fornendo specifiche raccomandazioni e suggerendo alcune azioni che è bene che le aziende compiano sin da ora, tra cui la verifica di informative, consensi e contratti in essere.

La Guida è articolata in sei aree tematiche.

  1. Fondamenti di liceità del trattamento

    Il Garante evidenzia che il Regolamento conferma in linea di massima i fondamenti di liceità del trattamento dei dati personali previsti dal Codice (quali, ad esempio, il consenso, l'adempimento degli obblighi contrattuali, l'interesse legittimo)[1].

    In materia di trattamento di dati sensibili[2], il Regolamento prevede espressamente che il consenso debba essere esplicito[3]. Il Garante chiarisce che "esplicito" non vuol dire necessariamente "documentato per iscritto" o con "la forma scritta" e tuttavia riconosce la forma scritta quale modalità idonea a configurare l'inequivocabilità del consenso e il suo essere esplicito, come richiesto dalla norma europea.

    Il Garante precisa che il consenso raccolto prima del 25 maggio 2018 resta valido solo se presenta tutti i requisiti richiesti dal Regolamento e raccomanda, in caso contrario, di adoperarsi tempestivamente e raccogliere nuovamente il consenso in conformità alle nuove prescrizioni.

  2. Informativa

    La Guida evidenzia come i contenuti della nuova informativa, elencati in modo tassativo nel Regolamento[4], sono più ampi rispetto a quanto previsto nel Codice[5].

    In particolare, l'informativa deve indicare, tra l'altro, oltre che l'identità e i dati di contatto di titolare e responsabile, anche il periodo di conservazione dei dati e il diritto di proporre reclamo[6].

    Il Garante sottolinea come - diversamente da quanto previsto dal Codice[7] - ove i dati personali non siano raccolti presso l'interessato, l'informativa deve essere fornita entro un termine ragionevole, che non può superare un mese dalla raccolta, oppure al momento della comunicazione dei dati[8].

    Il Regolamento fornisce delle indicazioni più dettagliate rispetto a quanto previsto dal Codice anche circa le modalità con le quali deve essere fornita l'informativa, da darsi in linea di principio per iscritto e preferibilmente in formato elettronico[9].

    Il Garante raccomanda ai titolari di verificare prima del 25 maggio 2018 la conformità delle informative già in uso ai requisiti previsti dal Regolamento, in modo tale da avere il tempo di apportare le eventuali modifiche ed integrazioni nel rispetto della scadenza europea.

  3. Diritti degli interessati

    Il Garante fornisce una disamina approfondita delle principali novità apportate in relazione ai diritti degli interessati ed in particolare al diritto di accesso[10], al diritto all'oblio[11], al diritto di limitazione di trattamento[12] ed al diritto alla portabilità dei dati[13].

    Per quanto riguarda le modalità di esercizio dei diritti[14], la Giuda sottolinea come tra le novità del Regolamento vi sia la previsione esplicita di un termine per fornire la risposta da parte del titolare (massimo un mese, estendibile a tre mesi in casi di particolare complessità). Il titolare deve sempre dare un riscontro all'interessato anche in caso di diniego; la risposta deve essere concisa, trasparente e facilmente accessibile e deve essere data in forma scritta, salvo sia l'interessato stesso a richiedere che venga data in forma orale.

    L'esercizio dei diritti è gratuito, ma è riconosciuta al titolare la possibilità di stabilire un eventuale contributo spese in base alla complessità del riscontro dell'interessato se si tratta di richieste manifestamente infondate o eccessive o se relative a più copie dei dati personali[15].

    Il Garante raccomanda che i titolari si dotino di misure tecniche e organizzative adeguate al fine di favorire l'esercizio dei diritti ed il riscontro alle richieste ricevute ed anticipa che intende valutare l'opportunità di definire linee guida specifiche su questo tema.

  4. Soggetti privacy

    La Guida evidenzia le numerose novità introdotte in relazione ai soggetti privacy coinvolti nel trattamento dei dati.

    Anzitutto la contitolarità del trattamento riceve esplicita disciplina e viene imposto ai titolari di definire espressamente rispettivo ambito di responsabilità e compiti, con particolare riguardo all'esercizio dei diritti degli interessati[16].

    Con riferimento al responsabile del trattamento, il Regolamento definisce con maggiore dettaglio rispetto al Codice le caratteristiche dell'atto di nomina, che deve avere la forma di un contratto o di un altro atto giuridico vincolante e deve contenere tassativamente alcuni elementi, quali la natura, durata e finalità del trattamento, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e delle disposizioni contenute nel Regolamento[17].

    La Guida evidenzia come il Regolamento preveda degli obblighi specifici in capo ai soggetti privacy, quali la tenuta dei registri dei trattamenti, l'adozione di misure tecniche ed organizzative idonee a garantire la sicurezza dei trattamenti, nonché la designazione del cd. "data protection officer" ove previsto.

    Il Garante raccomanda che i titolari valutino attentamente l'esistenza di eventuali situazioni di contitolarità essendo in tal caso richiesto un accordo interno e che verifichino i contratti/altri atti giuridici in essere.

    La Guida chiarisce che le disposizioni previste dal Codice relative agli incaricati del trattamento[18] sono compatibili con le previsioni del Regolamento e raccomanda che titolari e responsabili mantengano le modalità di designazione e le strutture organizzative che sono in linea con la disciplina nazionale.

    Il Garante anticipa che la Commissione e le autorità nazionali competenti stanno valutando la definizione di clausole contrattuali modello da utilizzare nei contratti tra i soggetti privacy e che il Garante sta esaminando i codici deontologici vigenti.

    Per quanto riguarda gli schemi di certificazione, il Garante precisa che si attende il legislatore nazionale affinché stabilisca le modalità di accreditamento dei soggetti certificatori. La Guida anticipa che anche l'Art. 29 Working Party[19] sta lavorando su questi temi.

  5. Approccio basato sul rischio e misure di accountability di titolari e responsabili

    La Guida evidenzia come uno degli elementi caratterizzanti del Regolamento consista nella "responsabilizzazione" (cd. "accountability") dei soggetti privacy, ossia nell'adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure idonee ad assicurare l'applicazione del Regolamento.

    Il Garante sottolinea come i titolari siano chiamati a definire in autonomia modalità, garanzie e limiti del trattamento dei dati personali dagli stessi condotto, in conformità ad alcuni criteri definiti dal legislatore comunitario.

    Il primo criterio è identificato nel concetto della cd. protezione dei dati "by default e by design", attraverso una analisi preventiva finalizzata a configurare ex ante il trattamento dei dati che verrà effettuato e prevedendo sin dall'inizio le garanzie indispensabili alla tutela dei diritti degli interessati[20]. Il secondo criterio è relativo al cd. "impact assessment", ovvero la valutazione del rischio di impatti negativi su libertà e diritti degli interessati, che andranno analizzati attraverso un apposito processo di valutazione che tenga conto anche delle misure tecniche ed organizzative che il titolare intende adottare per mitigare i rischi stessi[21]. A tale proposito il Garante rinvia alle linee guida in materia pubblicate dall'Art. 29 Working Party[22].

    La Guida sottolinea le novità introdotte dal Regolamento in relazione alla tenuta del registro delle operazioni di trattamento[23], che deve avere forma scritta, anche elettronica. Il registro è strumento fondamentale ed indispensabile per ogni valutazione e analisi del rischio e il Garante ne raccomanda l'adozione a tutti gli operatori. Il Garante anticipa inoltre che sta valutando di predisporre un modello di registro dei trattamenti consultabile sul proprio sito web, da adattare caso per caso.

    Il Garante precisa come in base al nuovo Regolamento la valutazione relativa all'adozione delle misure di sicurezza deve essere in rapporto ai rischi specificamente individuati e chiarisce che dopo il 25 maggio 2018 non potranno sussistere obblighi generalizzati di adozione di misure minime di sicurezza quali quelle attualmente previste dal Codice[24]. Il Garante tuttavia precisa che per alcune tipologie di trattamenti potranno rimanere in vigore le misure di sicurezza attualmente previste attraverso disposizioni di legge volta per volta applicabili, nonché la possibilità di utilizzare l'adesione a specifici codici di condotta o schemi di certificazione che attestino l'adeguatezza delle misure di sicurezza adottate.

    Con riguardo alle novità introdotte dal Regolamento in relazione alla notifica delle violazioni di dati personali ed in particolare all'obbligo per i titolari di notificare le violazioni di dati personali di cui vengano a conoscenza[25], il Garante chiarisce che la notifica all'Autorità non è obbligatoria in senso assoluto, ma è subordinata alla valutazione del rischio per gli interessati. Il Garante raccomanda ai titolari di adottare le misure necessarie a documentare tutte le violazioni subite, anche se non notificate all'Autorità, essendo peraltro tenuti a fornire tale documentazione, su richiesta, al Garante in caso di accertamenti.

  6. Trasferimenti di dati verso Paesi terzi e organismi internazionali

    Il Garante chiarisce che viene meno il requisito dell'autorizzazione nazionale al trasferimento dei dati nei Paesi extra UE, ove sia intervenuta la decisione di adeguatezza della Commissione ovvero tramite procedure specifiche previste dal Regolamento stesso (ad es. sulla base di clausole contrattuali standard o delle cd. "binding corporate rules"). L'autorizzazione nazionale continuerà ad essere necessaria ove il titolare intenda utilizzare clausole contrattuali ad hoc o accordi amministrativi stipulati tra autorità pubbliche. Il Regolamento riconosce altresì la possibilità di ricorrere a codici di condotta e a schemi di certificazione al fine di dimostrare di avere le garanzie adeguate per il trasferimento dei dati[26].

    Il Garante chiarisce che le decisioni di adeguatezza adottate fino ad ora dalla Commissione (a partire dal Privacy Shield e dalle clausole contrattuali standard per titolari e responsabili) e gli accordi internazionali in materia di trasferimento dati stipulati prima del 24 maggio 2016 dagli Stati membri restano in vigore fino a loro eventuale revisione o modifica.

  7. Conclusioni

Come evidenziato, tramite la Guida il Garante fornisce agli operatori del settore un primo set di preziose direttive su alcuni temi chiave del sistema privacy, anticipando gli orientamenti che intenderà seguire nonché la pubblicazione di eventuali ulteriori guide e modelli.

In particolare, fra tutte, il Garante raccomanda ai titolari del trattamento di non attendere il 25 maggio 2018 per verificare la conformità della struttura in essere con la normativa comunitaria, ma invita ad avviare sin da subito gli accertamenti necessari al fine di potere attuare per tempo gli eventuali correttivi.