Sicurezza e Giustizia

PRIMA GUIDA APPLICATIVA DEL GARANTE SUL NUOVO REGOLAMENTO UE PRIVACY

di Marco Massavelli

Garante della Privacy – Guida applicativa del 28 aprile 2017

Il Garante per la privacy ha elaborato una prima Guida all’applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali. La Guida traccia un quadro generale delle principali innovazioni introdotte dalla normativa e fornisce indicazioni utili sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa, già in vigore dal 24 maggio 2016 e che sarà pienamente efficace dal 25 maggio 2018.


 

In data 28 aprile 2017 il Garante per la Privacy italiano ha pubblicato una dettagliata “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali”, che ha l’obiettivo di offrire un primo strumento di ausilio ai soggetti pubblici e alle imprese che stanno affrontando il passaggio alla nuova normativa privacy. Il testo della Guida è articolato in 6 sezioni tematiche: Fondamenti di liceità del trattamento; Informativa; Diritti degli interessati; Titolare, responsabile, incaricato del trattamento; Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili; Trasferimenti internazionali di dati. Ogni sezione illustra in modo semplice e diretto cosa cambierà e cosa rimarrà immutato rispetto all’attuale disciplina del trattamento dei dati personali, aggiungendo preziose raccomandazioni pratiche per una corretta implementazione delle nuove disposizioni.

Per quanto concerne la prima sezione tematica, i Fondamenti di liceità del trattamento, il regolamento conferma che ogni trattamento deve trovare fondamento in un’idonea base giuridica.

I Fondamenti di liceità del trattamento sono indicati all’articolo 6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati). Le novità riguardano i seguenti principi:

  • per i dati “sensibili”, il consenso deve essere “esplicito”;
  • il consenso non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito”;
  • il titolare deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento;
  • il consenso dei minori è valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci;
  • il consenso deve essere, in tutti i casi, libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito o presunto: in particolare, non sono legittime le caselle pre-spuntate su un modulo.
  • il consenso deve essere manifestato attraverso apposita “dichiarazione o azione positiva inequivocabile”.

 

Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento.
In relazione al rapporto tra interesse legittimo prevalente di un titolare o di un terzo, il Garante precisa che il bilanciamento fra legittimo interesse del titolare o del terzo e diritti e libertà dell’interessato non spetta all’Autorità ma è compito dello stesso titolare: si tratta di una delle principali espressioni del principio di «responsabilizzazione» introdotto dal nuovo pacchetto protezione dati.

La seconda sezione tematica riguarda la c.d. “Informativa”. I contenuti sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del regolamento, e in parte sono più ampi rispetto al Codice.
Il titolare deve sempre specificare i dati di contatto del RPD-DPO, ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti. Il regolamento prevede anche ulteriori informazioni in quanto necessarie per garantire un trattamento corretto e trasparente: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo.
Nel caso di dati personali non raccolti direttamente presso l’interessato, l’informativa deve essere fornita entro un termine ragionevole che non può superare un mese dalla raccolta, oppure al momento della comunicazione dei dati (a terzi o all’interessato), diversamente da quanto prevede attualmente l’articolo 13, comma 4, del Codice.

 

..continua su EDICOLeA

 


Altri articoli di Marco Massavelli

UN CASO REALE DI DATA BREACH ITALIANO -
di Marco Massavelli (N. III_MMXVII)
La società Wind Tre s.p.a. ha comunicato il 21 marzo 2017 al Garante della privacy, ai sensi dell’art. 32-bis del Codice, un caso di “data breach” che ha riguardato il sistema informatico di selfcare “tre.it”, con la conseguente illecita visualizzazione ed acquisizione di credenziali contenute in un file recante dati personali riferiti provvisoriamente a 5118 clienti. Con una nota integrativa del 23 giugno 2017 si è appreso che i dati riguardano 28.173 numeri di telefono.
SCOUT SPEED: PRIME SENTENZE CONTRASTANTI TRA LORO CIRCA L’ELEVABILITÀ DELLA MULTA SENZA PRESEGNALAZIONE -
di Marco Massavelli (N. I_MMXVII)
Tribunale ordinario di Rovigo, Sentenza n. 1023 del 22 novembre 2016. Gli Scout Speed sono nuovi modelli di autovelox installati su auto civette della polizia, che funzionano anche se il mezzo della polizia sul quale è installato è in movimento; l’apparecchio è inoltre in grado di fotografare le auto avanti e dietro quella della polizia e quelle provenienti dall’opposto senso di marcia. Nella sentenza n. 654/2016 del GdP di Firenze viene affermato che la contestazione immediata deve considerarsi un “principio fondamentale per le infrazioni al codice della strada” obbligando ad un “maggior rigore nel procedimento di irrogazione della sanzione”. Tuttavia, secondo la sentenza n. 1023/2016 del Tribunale di Rovigo la legge non prevede l’obbligo di presegnalamento della postazione della polizia, trattandosi di accertamento dinamico.
LE NUOVE REGOLE SUL DIRITTO ALL’INTERPRETAZIONE E ALLA TRADUZIONE NEI PROCEDIMENTI PENALI -
di Marco Massavelli (N. IV_MMXVI)
Decreto legislativo 23 giugno 2016, n. 129 (GU Serie Generale n.163 del 14-7-2016) Nel 2014, in attuazione di una Direttiva europea, sono state inserite nell’ordinamento nazionale nuove regole in materia di diritto ad avere l’interprete e la traduzione degli atti per coloro che siano sottoposti a procedimento penale. Pochi mesi fa, il quadro normativo di riferimento è stato ulteriormente integrato con il decreto legislativo 23 giugno 2016, n. 129. Analizziamo le regole da un punto di vista strettamente pratico-operativo, al fine di fornire utili spunti per l’attività della polizia giudiziaria e degli organi inquirenti.
Translate »