Gdpr: la guida aggiornata del Garante privacy
La guida, scaricabile sul sito del garante e sotto allegata, recepisce le riflessioni più recenti sul tema della protezione dei dati personali e suggerisce, attraverso raccomandazioni specifiche, alcune azioni che privati, aziende e Pa possono intraprendere sin d’ora perché fondate su precise disposizioni del regolamento che non lasciano spazi a interventi ulteriori del legislatore nazionale. Inoltre, la guida suggerisce possibili approcci rispetto ad alcune delle principali novità introdotte dal regolamento.

Suddivisa per macroaree, nel dettaglio la guida si sofferma sul consenso, l’informativa e il trattamento dei dati:

Consenso trattamento dati personali

Ex art. 9 del regolamento Ue, ricorda il Garante, il consenso relativamente ai dati sensibili deve essere esplicito, anche con riferimenti ai trattamenti automatizzati, “compresa la profilazione”. Non deve essere necessariamente “documentato per iscritto”, né
 è richiesta la “forma scritta”, anche se tale modalità è idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito”. Inoltre, il titolare deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento. Per i minori, il consenso è valido a partire dai 16 anni (limite abbassabile dalla normativa nazionale a 13 anni). Infine, precisa il Garante, tra le raccomandazioni, “il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento, se si vuole continuare a fare ricorso a tale base giuridica”. Nello specifico, occorre: verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato; prestare attenzione alla formula utilizzata per chiedere il consenso (che deve essere comprensibile, semplice, chiara).

Informativa

L’art. 13 del regolamento, spiega il Garante, elenca in modo tassativo i contenuti dell’informativa che va fornita entro un termine ragionevole non oltre 1 mese dalla raccolta, o al momento della comunicazione dei dati. In particolare, si legge nella guida, “il titolare deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati – Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti”.

Il regolamento, inoltre, precisa l’Autorità, prevede ulteriori informazioni “necessarie per garantire un trattamento corretto e trasparente”, ossia: la specificazione da parte del titolare del periodo di conservazione dei dati o dei criteri seguiti per stabilire tale periodo, e il diritto di presentare un reclamo all’autorità di controllo.

È opportuno, suggerisce il Garante nelle raccomandazioni, che “i titolari di trattamento verifichino la rispondenza delle informative attualmente utilizzate a tutti i criteri sopra delineati, con particolare riguardo ai contenuti obbligatori e alle modalità di redazione, in modo da apportare le modifiche o le integrazioni eventualmente necessarie ai sensi del regolamento”.

Diritti degli interessati

Le modalità per l’esercizio di tutti i diritti da parte degli interessati (diritto di accesso, all’oblio, di limitazione del trattamento, di portabilità dei dati, ecc.) sono stabilite, in via generale, negli artt. 11 e 12 del regolamento. Il termine per la risposta all’interessato, spiega il Garante privacy è, “per tutti i diritti (compreso quello di accesso), 1 mese, estendibile fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego”. 
Il riscontro all’interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità; può essere dato oralmente solo se così richiede l’interessato stesso. Infine, “la risposta fornita all’interessato non deve essere solo ‘intelligibile’, ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro”.

Tra le raccomandazioni, infine, “è opportuno che i titolari di trattamento adottino le misure tecniche e organizzative eventualmente necessarie per favorire l’esercizio dei diritti e il riscontro alle richieste presentate dagli interessati, che – a differenza di quanto attualmente previsto – dovrà avere per impostazione predefinita forma scritta (anche elettronica)”.

Contitolarità del trattamento

Il regolamento disciplina, all’art. 26, la contitolarità del trattamento e “impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente”. Inoltre, fissa in modo più dettagliato rispetto al Codice la caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: “deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine di dimostrare che il responsabile fornisce ‘garanzie sufficienti’ 
– quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, e categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento”. Secondo la raccomandazione del Garante, infine, “i titolari di trattamento dovrebbero valutare attentamente l’esistenza di eventuali situazioni di contitolarità, essendo obbligati in tal caso a stipulare l’accordo interno di cui parla l’art. 26, paragrafo 1, del regolamento. Sarà necessario, in particolare, individuare il “punto di contatto per gli interessati” previsto dal suddetto articolo ai fini dell’esercizio dei diritti previsti dal regolamento”.