Guida all'applicazione del Regolamento europeo in materia di protezione dei dati personali

A distanza di circa un anno dalla pubblicazione del Regolamento UE 2016/679 il Garante Italiano per la privacy ha elaborato una prima Guida per l’applicazione della nuova normativa .

E’ la prima presa di posizione dell’Autorità che sarà poi chiamata a verificare l’attuazione da parte delle imprese italiane del Regolamento UE e, a parere di chi scrive, il documento pubblicato è molto interessante sotto due punti di vista, innanzitutto il Garante ha colto l’occasione per tracciare un quadro generale delle principali innovazioni introdotte dalla normativa segnalando i punti di novità rispetto al Codice, inoltre fornisce utili indicazioni sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa.

Si ricorda, infatti, che la normativa è già in vigore dal 24 maggio 2016 anche se sarà pienamente efficace dal 25 maggio 2018.

Questi, a parere di chi scrive, i principali punti indicati Garante.

  1. CONSENSO: Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche del nuovo regolamento.

  2. RAPPORTI CON ESTERNI: i titolari devono valutare l'esistenza di eventuali situazioni di contitolarità essendo obbligati in tal caso a stipulare l'accordo interno di cui parla l'art. 26, paragrafo 1, del regolamento. I titolari di trattamento devono verificare che i contratti o altri atti giuridici che attualmente disciplinano i rapporti con i rispettivi responsabili siano conformi a quanto previsto, in particolare, dall'art. 28, paragrafo 3, del regolamento ed apportare le necessarie integrazioni o modifiche.

  3. INCARICATI DEL TRATTAMENTO: le disposizioni del Codice in materia di incaricati del trattamento sono pienamente compatibili con la struttura e la filosofia del regolamento, in particolare alla luce del principio di "responsabilizzazione" di titolari e responsabili del trattamento che prevede l'adozione di misure atte a garantire proattivamente l'osservanza del regolamento nella sua interezza. In questo senso il Garante ritiene opportuno che titolari e responsabili del trattamento mantengano in essere la struttura organizzativa e le modalità di designazione degli incaricati di trattamento così come delineatesi negli anni anche attraverso gli interventi del Garante.

  4. MISURE MINIME: le misure di sicurezza devono "garantire un livello di sicurezza adeguato al rischio" del trattamento (art. 32, paragrafo 1); in questo senso, la lista di cui al paragrafo 1 dell'art. 32 è una lista aperta e non esaustiva. Il Garante conferma che , non potranno sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure "minime" di sicurezza (ex art. 33 Codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati. Secondo quanto indicato dal Garante le prescrizioni contenute nel Codice e, in particolare, nell'Allegato "B" al Codice, e nei provvedimenti adottati ad hoc in questi anni potranno essere valutate dallo stesso Garante per la definizione di linee-guida o buone prassi.

  5. REGISTRO DEI TRATTAMENTI: è un nuovo adempimento del Regolamento UE. Il Garante precisa che la tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali che il titolare deve implementare. Lo stesso Garante, quindi, invita “tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell'organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un'accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta”. I contenuti del registro sono fissati nell'art. 30; tuttavia, niente vieta a un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell'ottica della complessiva valutazione di impatto dei trattamenti svolti. Nello specifico, si richiama l'attenzione sulla sostanziale coincidenza fra i contenuti della notifica dei trattamenti di cui all'art. 38 del Codice e quelli che devono costituire il registro dei trattamenti ex art. 30 regolamento; l'Autorità sta valutando di mettere a disposizione un modello di registro dei trattamenti sul proprio sito, che i singoli titolari potranno integrare nei modi opportuni.

Il Garante si è riservato di modificare e integrare la Guida allo scopo di offrire sempre nuovi contenuti e garantire un adeguamento costante all'evoluzione della prassi interpretativa e applicativa della normativa. Tuttavia, i preziosi consigli del Garante sono già una base di partenza per cominciare la compliance dei sistemi di gestione del dato di tutti i titolari del trattamento.