Guida di ICO (l’Autorità inglese Garante per la protezione dei dati personali) al Regolamento Generale sulla Protezione dei Dati

 

Background

L’Autorità Garante Inglese per la protezione dei dati personali, l’Information Commissioner’s Office (d’ora in avanti, “ICO”), ha pubblicato una Guida al Regolamento Generale Sulla Protezione dei Dati (d’ora in avanti, “Guida”). La Guida è rivolta a coloro che hanno la responsabilità quotidiana della protezione dei dati ed è finalizzata ad illustrare le disposizioni del Regolamento UE 2016/679 (d’ora in avanti, “RGPD”), al fine di aiutare concretamente le aziende nel loro processo di adeguamento al Regolamento.

La Guida include alcuni link che indirizzano direttamente al testo del RGPD, ad altre linee guida dell’ICO nonché alle più recenti linee guida elaborate dal Gruppo di lavoro ex articolo 29 (d’ora in avanti, “WP29”).

 

Principali questioni

La Guida è divisa in diverse sezioni, che possono essere così sintetizzate:

 

La Guida, essendo concepita come un documento vivente, prevede questa sezione dedicata ad una panoramica delle ultime notizie riguardanti il ​​RGPD e sarà aggiornata mensilmente da ICO.

 

Queste sezioni sono dedicate all’ambito di applicazione del RGPD, e alle definizioni di dati personali e di dati sensibili, andando quindi a chiarire le disposizioni degli articoli 5, 6 e 9 (2) del RGPD.

 

Questa sezione offre alcuni chiarimenti sull’importanza della fase di raccolta e della gestione del consenso; nella stessa sezione ICO fornisce tre checklist di aiuto nelle fasi della richiesta, della registrazione e della gestione del consenso stesso.

 

ICO dedica una sezione all’illustrazione dei diritti degli interessati previsti dal RGPD (diritto di essere informato, diritto di accesso, rettifica, cancellazione, diritto alla limitazione del trattamento, diritto alla portabilità dei dati, diritto di opposizione, diritti relativi al processo decisionale automatizzato inclusa la profilazione).

 

La Guida include una sezione dedicata alle disposizioni del RGPD che promuovono la responsabilità e la governance dei titolari e dei responsabili del trattamento dei dati; in questa sezione è previsto un elenco di azioni raccomandate per dimostrare la conformità al Regolamento.

 

La sezione in questione è dedicata ai contratti tra titolari e responsabili del trattamento; ICO prevede due checklist contenenti alcuni requisiti minimi che dovrebbero essere inseriti nel contratto, come per esempio la responsabilità dei responsabili del trattamento.

 

Questa sezione offre alcuni chiarimenti sull’obbligo di mantenere specifiche evidenze riguardanti alcuni trattamenti.

 

Questa sezione descrive brevemente i principi di data protection by design e data protection by default richiamando le linee guida ICO sulla privacy by design.

 

La Guida chiarisce che cos’è una valutazione d’impatto sulla protezione dei dati, quando è necessaria e quali informazioni deve contenere.

 

L’ICO chiarisce, in questa sezione, quando dovrebbe essere nominato un responsabile della protezione dei dati, quali sono i suoi compiti e quali qualifiche deve avere, nonché quali obblighi deve rispettare il datore di lavoro nell’individuare questa figura.

 

Questa sezione è dedicata ai Codici di condotta e alle certificazioni, con particolare riguardo alle loro implicazioni pratiche.

 

L’ICO fa qui riferimento alla propria guida, precedentemente pubblicata, come buon punto di partenza per le aziende dal punto di vista della security.

 

La guida riporta in questa sezione una panoramica dei principi relativi al trasferimento dei dati, con un’attenzione particolare a quelle che potrebbero essere considerate le relative garanzie adeguate.

 

Questa sezione fa riferimento ai recenti orientamenti del WP29 sulla notifica di una violazione dei dati personali, specificando che cos’è una violazione dei dati personali e chiarendo quando la notifica all’autorità di controllo e la comunicazione agli interessati sono obbligatorie.

 

L’ICO dedica una sezione alle deroghe al RGPD che gli Stati Membri possono introdurre grazie alla previsione dell’art. 23. La sezione sintetizza le condizioni che devono sussistere affinché tali deroghe siano lecite.

 

Quest’ultima sezione è dedicata alle disposizioni relative alla protezione dei dati personali dei minori, con particolare attenzione ai requisiti necessari delle offerte di servizi online a loro rivolte.

 

Implicazioni pratiche

La Guida, che fornisce chiarimenti su come interpretare le disposizioni di RGPD e consente di essere costantemente aggiornati sulle ultime novità riguardanti il RGPD, può essere utilizzata da coloro che hanno la responsabilità quotidiana della protezione dei dati, come supporto nel loro processo di adeguamento al Regolamento.