Protezione dei dati personali: la nuova guida del Garante
Protezione dei dati personali pubblicata la nuova guida del Garante
In occasione dei cinque anni dalla piena applicazione del GDPR, (General Data Protection Regulation) il Garante per la protezione dei dati personali, ha reso disponibile sul proprio sito la nuova “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali”
Il regolamento generale sulla protezione dei dati, ufficialmente regolamento (UE) n. 2016/679 , è un regolamento dell’Unione europea in materia di trattamento dei dati personali e di privacy, adottato il 27 aprile 2016.
Sono passati ormai cinque anni dal 2018, anno in cui è stato pubblicato il testo del Decreto Italiano in Gazzetta Ufficiale, che adegua la normativa italiana alle disposizioni comunitarie, entrato in vigore il 25 maggio dello stesso anno.
Nonostante sia già passato tutto questo tempo, l’argomento privacy presenta lati non chiari a tutti e che quindi meritano il giusto approfondimento.
Per questo motivo il Garante della Privacy italiano ha deciso di rinnovare ed aggiornare il proprio vademecum su questa importante normativa.
La guida tratta un argomento che impatta direttamente sulla vita degli utenti della rete e sulla tutela della loro priacy ed ogni trattamento di dati personali deve trovare fondamento in un’idonea base giuridica.
La Guida si propone pertanto come un utile strumento di consultazione per chi opera in ambito pubblico e privato.
Si tratta di un manuale agile, sia per le per le pubbliche amministrazioni sia per piccole e medie imprese, e offre una panoramica sui principali aspetti che imprese e soggetti pubblici devono tenere presenti per dare piena attuazione al Regolamento:
· i diritti dell’interessato
· i doveri dei titolari;
· la trasparenza sull’uso dei dati personali alla liceità del loro trattamento.
Nella Guida si fa riferimento ai:
· contenuti, tempi e modalità con cui il titolare deve fornire l’informativa all’interessato;
· le circostanze per la notifica al Garante privacy, ed eventualmente agli interessati, della
violazione di dati personali;
· provvedere alla designazione del Responsabile della protezione dei dati, una delle novità
introdotte dal Regolamento, che dovrà essere una figura indipendente, autorevole e con
competenze manageriali, che offra consulenza e supporto al titolare e funga da punto di contatto
con il Garante.
Nella Guida, il Garante ricorda che con il GDPR la privacy diventa parte integrante delle attività di un’organizzazione: non è più solo un obbligo formale, ma un elemento integrato.
Si fa riferimento al principio di responsabilizzazione (“accountability”), in base al quale il titolare del trattamento dei dati, deve adottare comportamenti proattivi e attività dimostrabili, finalizzati al rispetto della normativa.
Inoltre, la Guida fa una panoramica dei nuovi diritti riconosciuti alle persone:
· di poter trasferire i propri dati da un titolare del trattamento a un altro, compresi i social network
(“diritto alla portabilità“) Si tratta di uno dei nuovi diritti previsti dal Regolamento, anche se non è
del tutto sconosciuto ai consumatori (si pensi alla portabilità del numero telefonico). Non si
applica ai trattamenti non automatizzati (quindi non si applica agli archivi o registri cartacei) e
sono previste specifiche condizioni per il suo esercizio. In particolare, sono “portabili”:
a) i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato
con l’interessato (tale diritto quindi non si applica ai dati il cui trattamento si fonda
sull’interesse pubblico o sull’interesse legittimo del titolare, per esempio);
b) i dati che siano stati “forniti” dall’interessato al titolare.
· il diritto all’oblio, cioè il diritto di non veder riproposte informazioni personali quando non sono
più necessarie rispetto alle finalità per le quali sono state raccolte.
Il Regolamento infine, vieta in linea di principio il trasferimento di dati personali al di fuori della UE e dello Spazio economico europeo, a meno che intervengano specifiche garanzie, elencate in ordine gerarchico:
· adeguatezza del Paese terzo riconosciuta tramite decisione della Commissione europea (art. 45
del regolamento);
· in assenza di decisioni di adeguatezza della Commissione, garanzie adeguate di natura
contrattuale o pattizia che devono essere fornite dai titolari o dai responsabili coinvolti, fra cui le
norme vincolanti d’impresa (art. 47 del regolamento) e clausole contrattuali standard (art. 46,
par. 2 lett. c, e lett. d del regolamento);
· in assenza di decisioni di adeguatezza applicabili al trasferimento, o di altre garanzie adeguate,
utilizzo di deroghe al divieto di trasferimento applicabili in specifiche situazioni.