Il Garante ha modificato e integrato la guida al Regolamento Ue; il CNDCEC preannuncia l’arrivo di proprie Linee guida e della relativa modulistica
Il Garante per la protezione dei dati personali, con un comunicato pubblicato ieri, ha reso noto l’aggiornamento della “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali”, nell’ambito della quale si delinea il quadro generale delle novità introdotte dal Regolamento Ue 679/2016.
Rispetto alla versione precedente, si segnala, in particolare, la modifica e l’integrazione del testo con le Linee guida sul Regolamento finora adottate dal gruppo di lavoro “Articolo 29” (WP29) e l’inserimento di tali Linee guida in un’appendice finale.
Fra queste vi sono le Linee guida sui responsabili della protezione dei dati, sul diritto alla “portabilità dei dati” e in materia di processi decisionali automatizzati e profilazione.
Con specifico riguardo al Responsabile della protezione dei dati (RPD, o Data Protection Officer, c.d. DPO – artt. 37–39 del Regolamento), si fa presente la pubblicazione anche delle recenti FAQ nel settore privato, nelle quali il Garante della privacy ha fornito alcuni chiarimenti in merito a compiti, requisiti, obbligo o meno di designazione e modalità per la nomina di tale nuova figura professionale (si veda “Compiti dettagliati per il Responsabile per la protezione dei dati” del 27 marzo 2018).
Tornando alla Guida sul Regolamento Ue 679/2016, si tratta di un documento di sintesi nel quale vengono prospettate le principali questioni che occorre tener presente per l’applicazione della nuova normativa prevista per il 25 maggio 2018, anche mediante raccomandazioni specifiche e indicazioni sulle prassi da seguire e sugli adempimenti da attuare.
Le sezioni trattate sono 6: fondamenti di liceità del trattamento, informativa, diritti degli interessati, soggetti coinvolti nel trattamento dei dati personali (titolare, responsabile, incaricato del trattamento), approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili, trasferimenti di dati verso Paesi terzi e organismi internazionali.
Con riferimento ai fondamenti di liceità del trattamento, il Regolamento (art. 6) conferma l’obbligo di un’idonea base giuridica, che corrisponde in linea di massima a quella del vigente Codice della privacy: ad esempio il consenso al trattamento, che deve essere libero, specifico, informato e inequivocabile; non è ammesso il consenso tacito o presunto.
Fra le novità del Regolamento evidenziate nella Guida sul punto, si richiama la previsione del consenso“esplicito” solo per categorie particolari di dati (art. 9) e per le decisioni basate su trattamenti automatizzati, compresa la profilazione (art. 22).
L’informativa da fornire all’interessato ai fini del trattamento dei propri dati, già presente nel Codice della privacy, si arricchisce di un contenuto più dettagliato (artt. 13 e 14 del Regolamento, rispettivamente riguardanti i casi di dati raccolti o meno presso l’interessato). Costituiscono nuovi elementi da inserire, ad esempio, i dati di contatto del Responsabile della protezione dei dati, ove esistente, e il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione.
Fra i diritti degli interessati, viene esteso il campo di applicazione del diritto alla cancellazione (diritto all’oblio – art. 17 del Regolamento) ne viene esteso il campo di applicazione.
Quanto alle figure coinvolte nel trattamento dei dati personali, il Regolamento continua a prevedere, rispetto al Codice della privacy, quelle del titolare e del responsabile del trattamento dei dati, definendone, però, in maniera più precisa ruoli e compiti.
In particolare, sono stabilite con maggiore specificità le caratteristiche dell’atto con cui il titolare designa il responsabile del trattamento.
Sottolinea ancora il Garante Privacy che, nonostante il Regolamento non preveda espressamente, come il Codice, la figura dell’incaricato del trattamento, la sua presenza non è comunque da escludere (art. 4 n. 10 del Regolamento).
Sempre sul nuovo Regolamento Ue 679/2016, si segnala la pubblicazione ieri, da parte del CNDCEC, dell’Informativa n. 25/2018, nella quale, al fine dell’adeguamento alle nuove disposizioni europee, si rende noto che sono in fase di predisposizione le Linee guida in materia di privacy e protezione dei dati personali, che verrà poi inviata a ciascun Consiglio dell’Ordine.
Insieme alle Linee guida, il CNDCEC preannuncia anche il rilascio della relativa modulistica riguardante:
– gli atti o i contratti di nomina dei responsabili del trattamento;
– gli accordi di contitolarità sul trattamento dei dati personali;
– l’informativa per il trattamento dei dati personali;
– la designazione del Responsabile della protezione dei dati.