Il Garante pubblica le sue prime linee guida sul RGPD

Scenario
Il 28 aprile il Garante per la Protezione dei Dati Personali (“Garante”) ha pubblicato la sua prima linea guida sulle nuove disposizioni del Regolamento Generale sulla Protezione dei Dati (“RGPD”), costituito da una panoramica schematica delle modifiche all’attuale quadro giuridico e di raccomandazioni su come affrontarle.

Il Garante si è concentrato su sei aspetti specifici:

1. Liceità del trattamento;
2. Informativa;
3. Diritti del soggetto interessato;
4. Titolare, responsabile e persone autorizzate a trattare dati personali;
5. Principio di accountability;
6. Trasferimento dei dati.

I seguenti paragrafi riassumono i consigli pratici forniti dal Garante su ciascun aspetto.

1. Liceità del trattamento
a) Secondo il Garante, il consenso raccolto prima del 25 maggio 2018 è considerato valido solo se rispetta già i requisiti del RGPD. Ad esempio, il trattamento di speciali categorie di dati personali (art. 9 RGPD) assieme al trattamento per scopi di profilazione (art. 22 RGPD) richiedono sempre un “consenso esplicito”, che può anche non essere “per iscritto” ai sensi del RGPD, ma il titolare dei dati deve essere comunque in grado di dimostrarne la raccolta. Inoltre, per essere valido, il consenso deve essere liberamente dato da soggetti di età superiore ai 16 anni e chiaramente distinguibile da altre materie (ad es. Termini di servizio);

b) Per essere lecito, il trattamento necessario “per proteggere gli interessi vitali” del soggetto interessato e “il legittimo interesse perseguito dal titolare del trattamento” devono essere valutati dal titolare del trattamento (non più dal Garante, in conformità al principio di accountability) tenendo in considerazione il considerando 47 del RGPD, la giurisprudenza della Garante sul bilanciamento degli interessi e le linee guida attuali e future del Gruppo di Lavoro Articolo 29.

2. Informativa
Le informative devono sempre contenere i requisiti indicati negli artt. 13 e 14 del RGPD. In questo modo il Garante sottolinea che i titolari del trattamento dovranno verificare che le proprie informative siano in conformità ai requisiti del RGPD prima e comunque entro il 25 maggio 2018. Tra questi requisiti, è importante che i titolari affrontino i seguenti requisiti in modo rapido in quanto potrebbero richiedere più tempo del previsto e ampie discussioni interne prima di raggiungere la conformità: l’obbligo di specificare “il periodo per il quale i dati personali saranno conservati o, se non è possibile, i criteri utilizzati per determinare tale periodo” oppure, ove applicabile, l’indicazione del fatto che il titolare intenda trasferire dati personali in un paese terzo e la base giuridica pertinente per tale trasferimento. Il Garante affronta anche il tema delle icone standardizzate e leggibili da dispositivi automatici al fine di rendere visibile e chiaramente intelligibile una panoramica significativa sui trattamenti di dati (ad esempio le fornite per i trattamenti di video sorveglianza). I soggetti interessati devono ricevere tempestivamente l’informativa, in particolare quando i dati personali non vengono raccolti direttamente presso di loro (quindi al massimo entro un mese). L’impossibilità o lo “sforzo sproporzionato” di fornire un’informativa deve essere dimostrato dal titolare del trattamento (principio di accountability) conformemente alla giurisprudenza del Garante.

3. Diritti del soggetto interessato

Secondo il Garante:

a) Il titolare del trattamento dei dati adotta le misure appropriate al fine di fornire al soggetto interessato tutte le informazioni di cui all’art. 13 e 14 e qualsiasi comunicazione ai sensi degli articoli da 15 a 22 e 34 RGPD in forma concisa, trasparente, intelligibile e facilmente accessibile, utilizzando una lingua semplice e chiara. Le informazioni al soggetto l’interessato devono avvenire per iscritto per impostazione predefinita (oralmente solo se richiesto dall’interessato). Il Garante prenderà presto in considerazione l’emissione di specifiche linee guida per determinare un contributo spese ragionevole in caso di richieste manifestamente infondate o eccessive tenendo in considerazione la propria giurisprudenza;

b) Il diritto di accesso ai dati personali non include più la comunicazione delle modalità o dei mezzi del trattamento, ma include sempre il diritto del soggetto interessato ad avere una copia dei propri dati personali. A questo proposito, il Garante incentiva l’uso di meccanismi automatizzati per consentire ai soggetti interessati di accedere ai propri dati personali in modo autonomo;

c) Il campo di applicazione del diritto all’oblio è più ampio dell’attuale diritto alla cancellazione dei dati personali, in quanto include il nuovo obbligo di adottare misure ragionevoli, incluse le misure tecniche, per informare gli ulteriori titolari del trattamento che stanno elaborando quei dati personali “pubblici” che il soggetto interessato ha chiesto la cancellazione da parte di tali controllori di tutti i collegamenti, copie o repliche di tali dati personali;

d) Il nuovo diritto alla limitazione del trattamento di dati personali è altresì diverso rispetto al precedente blocco/sospensione delle attività di trattamento: concretamente, richiede che i titolari del trattamento “tagghino” i dati personali per consentire una restrizione veloce e automatizzata. È interessante notare che il Garante suggerisce questo approccio non solo per i dati in formato digitale, ma anche per i dati cartacei senza fornire ulteriori spiegazioni su come taggare documenti cartacei;

e) laddove applicabile, il diritto alla portabilità dei dati deve essere implementato secondo le nuove linee guida adottate dal Gruppo di Lavoro Articolo 29 e alla giurisprudenza della Garante sul bilanciamento del diritto di accesso.

4. Titolare, responsabile e persone autorizzate a trattare dati personali
a) Poiché l’RGPD regola la situazione dei contitolari del trattamento, il Garante suggerisce che tutti i titolari del trattamento coinvolti debbano preventivamente impostare i rispettivi diritti ed obblighi, in modo che i soggetti interessati possano effettivamente esercitare i propri diritti quando si verificano trattamenti congiunti;

b) Prima del 25 maggio 2018, tutti i contratti per il trattamento di dati devono essere riesaminati per assicurarsi che siano allineati con l’art. 28 RGPD. A questo proposito, e diversamente da quanto previsto in precedenza dall’attuale quadro giuridico italiano, il responsabile dei dati è finalmente autorizzato, mediante un’autorizzazione generale del titolare del trattamento, a subappaltare operazioni di trattamento. Il Garante sta attualmente considerando insieme alle altre parti interessate a livello europeo di fornire clausole tipo per questi contratti;

c) Inoltre, in linea di massima, i titolari e i responsabili del trattamento devono garantire che le persone autorizzate a trattare dati personali si siano impegnate alla riservatezza o siano soggette ad un adeguato obbligo legale di riservatezza conforme alle decisioni del Garante in materia.

5. Accountability e approccio basato sui rischi
Poiché tale principio è completamente nuovo nel panorama giuridico italiano sulla protezione dei dati, il Garante suggerisce di attuare nella pratica quanto segue:

a) Laddove possibile, il registro dei trattamenti costituisce uno strumento fondamentale non solo come prova di conformità in caso di ispezioni da parte del Garante (principio di accountability), ma anche per una corretta gestione dei dati personali. Infatti, mentre il contenuto del registro è descritto all’art. 30 RGPD, il Garante evidenzia il fatto che il titolare possa migliorarne ulteriormente il contenuto con altre informazioni relative al trattamento dei dati (ad esempio con le informazioni richieste nel modulo per la notifica del trattamento ai sensi dell’art. 38 del Codice Privacy). Il Garante sta considerando di fornire un modello di registro dei trattamenti da integrare direttamente all’interno delle strutture organizzative;

b) In base al principio di accountability, non esiste più un insieme minimo di misure organizzative e di sicurezza (Allegato B) da attuare da parte dei titolari o dai responsabili del trattamento, ad eccezione delle pubbliche amministrazioni che trattano dati sensibili in conformità ad un interesse pubblico. Ciascun parte coinvolta sarà responsabile della scelta delle misure di sicurezza descritte nell’art. 32 RGPD, che non deve essere considerato esaustivo. A questo proposito, il Garante sta prendendo in considerazione di fornire best practise alla luce della sua attuale giurisprudenza;

c) Per quanto riguarda il cd. data breach ora applicabile a tutti i titolari del trattamento, il Garante precisa che il contenuto delle comunicazioni di cui all’art. 33 e 34 del DPPR non sono esaustivi e pertanto, in base alle linee guida ci prossima emanazione da parte del Comitato europeo per la protezione dei dati, il Garante aggiornerà e adatterà adeguatamente il suo attuale modello di notifica. A questo proposito il Garante chiarisce che, oltre alla determinazione dei casi che costituiscono un “alto rischio per i diritti e le libertà delle persone fisiche” (obbligo del titolare del trattamento ai sensi del principio di accountability), il titolare dovrà indicare “qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio” come prova in caso di ispezione da parte del Garante;

d) Se del caso, i titolari e i responsabili del trattamento devono nominare un responsabile della protezione dei dati in conformità delle linee guida del nuovo Gruppo di Lavoro Articolo 29.

6. Trasferimento dei dati
In primo luogo, il Garante riconosce che un trasferimento a un paese terzo in base ad una decisione di adeguatezza adottata dalla Commissione europea o sulla base di clausole contrattuali standard debitamente firmate o di business corporate rules approvate con la specifica procedura di cui all’art. 47 del RGPD può avvenire senza aspettare alcuna autorizzazione specifica del Garante (v. art. 45, n. 1, e art. 46, paragrafo 2 del RGPD).
Tuttavia, per conformarsi ai meccanismi di trasferimento di cui all’art. 44-49 RGPD, il Garante osserva che nel caso in cui il trattamento di dati sia basato su clausole contrattuali ad hoc o accordi amministrativi tra soggetti interessati (ad esempio autorità organismi pubblichi), sarà richiesta un’autorizzazione preventiva da parte del Garante ai sensi dell’art. 46 (3) RGPD.

Implicazioni pratiche
5 suggerimenti – Imprese/organizzazioni devono tempestivamente:

1. Verificare se la base giuridica per i trattamenti dati è conforme al RGPD;
2. Aggiornare le informative in conformità agli elementi necessari previsti dal RGPD (tenendo presente che le discussioni sulla conservazione dei dati e sul trasferimento dei dati possono essere lunghe e difficili);
3. Avviare procedure di valutazione dei rischi per individuare e applicare adeguate misure tecniche e organizzative volte a garantire un livello di sicurezza adeguato al rischio, rispettare il principio della protezione dei dati by design e by default e essere pronti a svolgere valutazioni d’impatto sulla protezione dei dati;
4. Verificare in che modo si è in grado di rispettare i nuovi diritti dei soggetti, ad esempio la portabilità, la limitazione dell’trattamento e il diritto di cancellazione (“diritto all’oblio”);
5. Creare una procedura per dimostrare la conformità (e documentarne le evidenze) con il RGPD.

Il Garante ha confermato che nel prossimo futuro si prevedono ulteriori linee guida sul RGPD. Quindi rimanete sintonizzati!

Per saperne di più clicca qui