Protezione dati personali: pubblicato in Gazzetta Ufficiale il decreto di recepimento del regolamento 679/2016 sulla protezione dei dati personali.
E’ stato pubblicato sulla Gazzetta Ufficiale il decreto italiano relativo alla PRIVACY.
Il decreto privacy è stato pubblicato nella G.U. n. 205 del 04-09-2018 entrerà il vigore il 19 settebre 2018.
Il DECRETO LEGISLATIVO 10 agosto 2018, n. 101 contiene le “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).”
Il decreto PRIVACY, entrerà in vigore il 19.09.2018.
Dal Garante per la protezione dei dati personali arriva una guida all´applicazione del Regolamento europeo in materia di protezione dei dati personali.
Guida all´applicazione del Regolamento europeo in materia di protezione dei dati personali
(La presente Guida è soggetta a integrazioni e modifiche alla luce dell´evoluzione della riflessione a livello nazionale ed europeo)
La Guida intende offrire un panorama delle principali problematiche che imprese e soggetti pubblici dovranno tenere presenti in vista della piena applicazione del regolamento, prevista il 25 maggio 2018.
Attraverso raccomandazioni specifiche vengono suggerite alcune azioni che possono essere intraprese sin d´ora perché fondate su disposizioni precise del regolamento che non lasciano spazi a interventi del legislatore nazionale (come invece avviene per altre norme del regolamento, in particolare quelle che disciplinano i trattamenti per finalità di interesse pubblico ovvero in ottemperanza a obblighi di legge).
Vengono, inoltre, segnalate alcune delle principali novità introdotte dal regolamento rispetto alle quali sono suggeriti possibili approcci.
La presente Guida è soggetta a integrazioni e modifiche alla luce dell´evoluzione della riflessione a livello nazionale ed europeo.
Indice
Fondamenti di liceità del trattamento
Titolare, responsabile, incaricato del trattamento
Informativa
Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili
TITOLARE, RESPONSABILE, INCARICATO DEL TRATTAMENTO
Cosa cambia?
Il regolamento:
disciplina la contitolarità del trattamento (art. 26) e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all´esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente;
fissa più dettagliatamente (rispetto al Codice) le caratteristiche dell´atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell´art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” – quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento;
consente la nomina di sub-responsabili del trattamento da parte di un responsabile (si veda art. 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest´ultimo risponde dinanzi al titolare dell´inadempimento dell´eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l´evento dannoso “non gli è in alcun modo imputabile” (si veda art. 82, paragrafo 1 e paragrafo 3);
prevede obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare, la tenuta del registro dei trattamenti svolti (ex art. 30, paragrafo 2); l´adozione di idoneemisure tecniche e organizzative per garantire la sicurezza dei trattamenti (ex art. 32 regolamento); la designazione di un RPD-DPO (si segnalano, al riguardo, le linee-guida in materia di responsabili della protezione dei dati adottate dal Gruppo “Articolo 29”, disponibili qui anche nella versione in italiano: www.garanteprivacy.it/regolamentoue/rpd), nei casi previsti dal regolamento o dal diritto nazionale (si veda art. 37 del regolamento). Si ricorda, inoltre, che anche il responsabile non stabilito nell´Ue dovrà designare un rappresentante in Italia quando ricorrono le condizioni di cui all´art. 27, paragrafo 3, del regolamento – diversamente da quanto prevedeva l´art. 5, comma 2, del Codice.
Cosa non cambia?
Il regolamento definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE (e, quindi, al Codice italiano). Pur non prevedendo espressamente la figura dell´ “incaricato” del trattamento (ex art. 30 Codice), il regolamento non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l´autorità diretta del titolare o del responsabile” (si veda, in particolare, art. 4, n. 10, del regolamento).
RACCOMANDAZIONI
I titolari di trattamento dovrebbero valutare attentamente l´esistenza di eventuali situazioni di contitolarità (si vedano, in proposito, le indicazioni fornite dal Garante in vari provvedimenti, fra cui http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/39785), essendo obbligati in tal caso a stipulare l´accordo interno di cui parla l´art. 26, paragrafo 1, del regolamento. Sarà necessario, in particolare, individuare il “punto di contatto per gli interessati” previsto dal suddetto articolo ai fini dell´esercizio dei diritti previsti dal regolamento.
I titolari di trattamento dovrebbero verificare che i contratti o altri atti giuridici che attualmente disciplinano i rapporti con i rispettivi responsabili siano conformi a quanto previsto, in particolare, dall´art. 28, paragrafo 3, del regolamento.
Dovranno essere apportate le necessarie integrazioni o modifiche, in particolare qualora si intendano designare sub-responsabili nei termini sopra descritti. La Commissione e le autorità nazionali di controllo (fra cui il Garante) stanno valutando la definizione di clausole contrattuali modello da utilizzare a questo scopo.
Attraverso l´adesione a codici deontologici ovvero l´adesione a schemi di certificazione il responsabile può dimostrare le “garanzie sufficienti” di cui all´art. 28, paragrafi 1 e 4.
Il Garante sta valutando i codici deontologici attualmente vigenti per alcune tipologie di trattamento nell´ottica dei requisiti fissati nel regolamento (art. 40), mentre per quanto concerne gli schemi di certificazione occorrerà attendere anche l´intervento del legislatore nazionale che dovrà stabilire alcune modalità di accreditamento dei soggetti certificatori (se diversi dal Garante: si veda art. 43). In ogni caso, il Gruppo “Articolo 29” sta lavorando sui temi e sarà opportuno tenere conto degli sviluppi che interverranno in materia nei prossimi mesi.
Le disposizioni del Codice in materia di incaricati del trattamento sono pienamente compatibili con la struttura e la filosofia del regolamento, in particolare alla luce del principio di “responsabilizzazione” di titolari e responsabili del trattamento che prevede l´adozione di misure atte a garantire proattivamente l´osservanza del regolamento nella sua interezza.
In questo senso, e anche alla luce degli artt. 28, paragrafo 3, lettera b), 29, e 32, paragrafo 4, in tema di misure tecniche e organizzative di sicurezza, si ritiene che titolari e responsabili del trattamento possano mantenere in essere la struttura organizzativa e le modalità di designazione degli incaricati di trattamento così come delineatesi negli anni anche attraverso gli interventi del Garante (si veda art. 30 del Codice e, fra molti, http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1507921, ovvero http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1508059 per quanto riguarda la pubblica amministrazione, ovvero http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1813953 in materia di tracciamento delle attività bancarie) in quanto misure atte a garantire e dimostrare “che il trattamento è effettuato conformemente” al regolamento (si veda art. 24, paragrafo 1, del regolamento).
Il Garante per la privacy ha elaborato una prima Guida all’applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali. (altro…)
Utilizziamo cookie per finalità tecniche e analitiche. Cliccando su "Impostazioni Cookie", acconsenti solo a specifici tipi di cookie. Cliccando su "Accetta", acconsenti all’uso di tutti i cookie. Cliccando su "Rifiuta", non acconsenti all'uso dei cookie.
Utilizziamo i cookie per migliorare la tua esperienza di navigazione e per aiutarci migliorare il nostro sito. Per maggiori dettagli consulta la cookie policy qui. Proseguendo nella navigazione si accetta l’uso dei cookie in caso contrario è possibile abbandonare il sito.
I cookie necessari sono assolutamente essenziali per il corretto funzionamento del sito web. Questi cookie garantiscono le funzionalità di base e le caratteristiche di sicurezza del sito web, in modo anonimo.
Cookie
Durata
Descrizione
cookielawinfo-checkbox-analytics
11 months
I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Analisi".
cookielawinfo-checkbox-functional
11 months
I cookie vengono utilizzati per registrare il consenso dell'utente per i cookie nella categoria "Funzionali".
cookielawinfo-checkbox-necessary
11 months
I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Necessari".
cookielawinfo-checkbox-others
11 months
I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Altro.
cookielawinfo-checkbox-performance
11 months
I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Prestazioni".
viewed_cookie_policy
11 months
Vengono utilizzati per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.
I cookie funzionali aiutano a svolgere determinate funzionalità come la condivisione del contenuto del sito Web su piattaforme di social media, la raccolta di feedback e altre funzionalità di terze parti.
I cookie per le prestazioni vengono utilizzati per comprendere e analizzare gli indici chiave delle prestazioni del sito Web che aiutano a fornire una migliore esperienza utente per i visitatori.
I cookie analitici vengono utilizzati per capire come i visitatori interagiscono con il sito web. Questi cookie aiutano a fornire informazioni sulle metriche del numero di visitatori, frequenza di rimbalzo, fonte di traffico, ecc.
I cookie pubblicitari vengono utilizzati per fornire ai visitatori annunci e campagne di marketing pertinenti. Questi cookie tracciano i visitatori attraverso i siti Web e raccolgono informazioni per fornire annunci personalizzati.