Background/Scenario

Il 22 febbraio 2018, l’Autorità Garante per la protezione dei dati personali (d’ora in avanti, “Garante”) ha adottato il provvedimento n. 121 (“Provvedimento”) in cui espone le modalità di monitoraggio e di verifica dell’applicazione del Regolamento UE 2016/679 (“GDPR” o “Regolamento”) e fornisce ulteriori chiarimenti riguardo all’informativa da fornire e le buone prassi da applicare quando il trattamento dei dati è basato sul legittimo interesse.

Il Provvedimento in questione, che è un atto dovuto sulla base del comma 1021 della Legge di Bilancio n. 205/2017, sarà applicabile, salvo diversa determinazione, sei mesi dopo l’entrata in vigore del decreto legislativo (“Decreto”) che armonizzerà la normativa privacy italiana con le disposizioni del GDPR. Si ricorda che questo Decreto, approvato in via preliminare il 21 marzo dal Consiglio dei Ministri, è tuttora in attesa di approvazione definitiva: a tal proposito, si precisa che la delega ex art. 13 della Legge di delegazione europea 2016-2017, prorogata di tre mesi, scadrà il 22 agosto 2018.

Al riguardo, il Garante ha precisato in un recente comunicato stampa del 19 aprile che è sbagliato ritenere che l’applicazione differita del Provvedimento implichi anche un differimento dello svolgimento delle funzioni ispettive e sanzionatorie. Pertanto, non si tratta di un grace period concesso alle aziende le quali, come viene specificato, potranno vedersi sottoposte a delle sanzioni anche prima che il Provvedimento sia diventato applicabile.

Questioni principali

> Attraverso quali modalità il Garante svolgerà il monitoraggio e la vigilanza sulla corretta applicazione del GDPR?

Al fine di tutelare i diritti fondamentali e le libertà dei cittadini, il Garante potrà esercitare i poteri conferitigli ai sensi dell’art. 58 del GDPR. Questi poteri, tuttavia, dovranno essere esercitati nel rispetto delle garanzie procedurali e consentendo la partecipazione del titolare o del responsabile del trattamento al procedimento che li riguarda.

Il Garante potrà, tra l’altro:

  • prescrivere azioni correttive quali la limitazione e persino il divieto del trattamento;
  • formulare richieste di informazioni e di esibizione di documenti;
  • disporre accessi a banche dati o archivi e disporre altre ispezioni e verifiche;
  • denunciare fatti configurabili come reati perseguibili d’ufficio, qualora ne venga a conoscenza nell’esercizio o a causa delle sue funzioni.

> Secondo quali criteri viene valutata l’adeguatezza di un’infrastruttura ai fini dell’interoperabilità dei formati, con particolare riferimento al diritto alla portabilità (art. 20 del GDPR)?

Il Garante afferma che al diritto dell’interessato alla portabilità dei dati di cui all’art. 20 GDPR, non corrisponde anche un obbligo in capo al titolare del trattamento di introdurre o mantenere sistemi di trattamento tecnicamente compatibili.

Ciononostante, il titolare del trattamento dovrà rispettare alcuni requisiti minimi circa il formato (“strutturato”, “di uso comune” e “leggibile da dispositivo automatico”) al fine di favorirne l’interoperabilità. Dall’altra parte sarà il Garante a verificare se, nel caso concreto, il formato prescelto è quello più idoneo a consentire la trasmissione dei dati personali.

In questo senso un formato dovrebbe offrire, in linea di principio, un ampio margine di portabilità e garantire che i dati siano riutilizzabili con un minimo sforzo, mentre il titolare dovrebbe fornire quanti più dati tecnici necessari per garantire la continuità dei servizi e la semantica specifica delle informazioni.

Il Garante verificherà altresì che non vengano posti in essere impedimenti di natura giuridica, tecnica o finanziaria, volti ad evitare o rallentare l’accesso, la trasmissione o il riutilizzo dei dati, rinviando alle Linee guida sul diritto alla portabilità dei dati del Gruppo di Lavoro Art. 29 (il ”WP29”) per alcuni esempi di impedimenti vietati (es. la richiesta di corrispettivi, eccessiva complessità nel recupero dei dati, l’offuscamento deliberato dei dati o la previsione di vincoli settoriali specifici e ingiustificati o eccessivi in termini di standard o accreditamenti richiesti).

> A quali condizioni una trasmissione diretta dei dati ad un titolare diverso è tecnicamente fattibile, ai sensi dell’art. 20, comma 2 GDPR?

Con riferimento alla fattibilità tecnica, quale presupposto dell’obbligo in capo al titolare di trasmettere i dati dell’interessato direttamente ad un diverso titolare, il Garante ha evidenziato i seguenti punti:

  • la possibilità di instaurare in modo sicuro una comunicazione fra due sistemi;
  • l’adeguatezza del sistema ricevente di ricevere i dati in ingresso;
  • l’obbligo del titolare di illustrare l’esistenza di eventuali impedimenti tecnici che precludono la trasmissione diretta.

Inoltre, il Garante prospetta di poter fungere da promotore di iniziative di collaborazione fra i produttori e le associazioni di categoria, al fine di favorire lo sviluppo di un insieme condiviso di standard e formati interoperabili.

> Quali sono gli accertamenti da compiere nel caso in cui il trattamento sia basato sul legittimo interesse?

Il titolare o terzi che intendono trattare dati personali basandosi sul legittimo interesse di cui l’art. 6, paragrafo 1, lett.f) del GDPR, dovranno valutare che su quest’ultimo non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato. Il Garante specifica che in situazioni in cui l’interessato non può ragionevolmente attendersi un ulteriore trattamento dei dati, questi interessi e diritti fondamentali devono ritenersi prevalenti.

Il bilanciamento in questione, quale espressione del più generale principio di accountability di cui l’art. 5 del GDPR, dovrà essere fatto secondo i criteri rinvenibili nel Regolamento ed altri documenti del WP29 che indicano alcuni casi in cui la sussistenza e la prevalenza di un legittimo interesse è presunta (es. trattamento dati di clienti, di lavoratori dipendenti e trattamenti relativi a sistemi di videosorveglianza).

> Qual è il formato dell’informativa e secondo quali modalità dovrà essere comunicata?

Secondo le indicazioni del Garante l’informativa, la quale informa l’interessato del fatto che il trattamento avviene sulla base di un legittimo interesse, dovrebbe essere impostata su due livelli:

Una prima informativa cd. breve, presentata in forma di banner a comparsa immediata (pop-up), dovrebbe contenere indicazioni essenziali relative al trattamento, mentre una seconda informativa cd. estesa, resa su più livelli, dovrebbe racchiudere ulteriori dettagli tra cui il legittimo interesse perseguito, il soggetto portatore di tale interesse, e l’esistenza del diritto all’opposizione dell’interessato.

Infine, il Garante precisa che le predette indicazioni dovranno, in ogni caso, essere esplicite, chiare e separate.

Azioni / implicazioni pratiche

Premesso che l’applicazione del Provvedimento è differita di 6 mesi e 15 giorni (cd. vacatio legis) dalla pubblicazione del Decreto, salvo che il Garante anticipi l’applicabilità anteriormente a tale data, il titolare (o il responsabile del trattamento) che intenda trattare dati sulla base di un legittimo interesse dovrà, al fine di allinearsi alle indicazioni del Garante:

1. prima di iniziare il trattamento, debitamente considerare i seguenti profili:

  • il trattamento non deve riguardare categorie particolari di dati personali di cui gli artt. 9 e 10 del GDPR;
  • l’applicazione di una diversa base giuridica ex art. 6 del GDPR non risulta più appropriata;
  • gli specifici scopi perseguiti devono essere attentamente individuati al fine di consentire il bilanciamento di cui sopra, la predisposizione di garanzie adeguate e la tutela di altri diritti fondamentali;
  • le finalità sono legittime in quanto non contrastanti con altri settori dell’ordinamento;
  • che la qualità dei dati sia salvaguardata per garantire l’esattezza e l’aggiornamento delle informazioni;
  • la raccolta e l’utilizzazione dei dati avviene in conformità al principio di minimizzazione (data minimization);
  • è assicurata la protezione dei dati fin dalla progettazione e per impostazione predefinita (data protection by design and by default), nonché l’adozione di adeguate misure di sicurezza;
  • è stata effettuata la valutazione di impatto di cui all’art. 35 del GDPR,considerato che il trattamento fondato sul legittimo interesse, allorché venga effettuato tramite l’uso di nuove tecnologie o strumenti automatizzati, può di per sé presentare un rischio elevato per i diritti e le libertà fondamentali degli interessati, ferma restando la necessità di consultare preventivamente il Garante ai sensi dell’art. 36 del GDPR, qualora all’esito di tale valutazione vi rimanga un elevato rischio residuo;

2. è stata fornita all’interessato un’informativa da cui risulta il fatto che i dati vengono trattati sulla base di un legittimo interesse, in cui è specificato quale sia l’interesse perseguito in concreto, ed è sottolineato il diritto di opposizione dell’interessato.

3. sono state fornite all’interessato, secondo le regole della buona prassi, le indicazioni essenziali risultanti dal bilanciamento precedentemente effettuato, eventualmente considerando la possibilità di pubblicare la valutazione d’impatto o parte di essa, per dimostrare trasparenza e responsabilizzazione.