Cosa dice il Garante Privacy sul Regolamento Europeo

Ad aprile 2017 il Garante per la protezione dei dati personali ha pubblicato online una prima Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali.

Viste le diverse interpretazioni, critiche e perplessità sulla nuova normativa, una posizione ufficiale da parte del Garante della privacy sul Regolamento Europeo risulta particolarmente utile e preziosa.

La guida rilasciata è comunque parziale, come specificato dal Garante stesso: "soggetta a integrazioni e modifiche alla luce dell’evoluzione della riflessione a livello nazionale ed europeo” ma che comunque “intende offrire un panorama delle principali problematiche che imprese e soggetti pubblici dovranno tenere presenti in vista della piena applicazione del Regolamento”.

Lo scopo della Guida è, dunque, di fornire -attraverso raccomandazioni specifiche- “alcune azioni che possono essere intraprese sin d’ora perché fondate su disposizioni precise del Regolamento che non lasciano spazi a interventi del legislatore nazionale”.

‍La Guida è strutturata in maniera molto semplice e leggibile, suddivisa in paragrafi tematici.

Vi proponiamo alcuni dei passaggi più importanti che trattano di come può essere acquisito il consenso privacy e come dove essere resa l’informativa all’interessato a norma del GDPR.

La forma del consenso al trattamento

I fondamenti di liceità del trattamento sono indicati all’art. 6 del Regolamento e coincidono, in linea di massima, con quelli previsti dalla normativa precedentemente in vigore. Il Garante si concentra sul consenso ed in particolare su come deve essere espresso il consenso per il trattamento dei dati “sensibili” (nel nuovo Regolamento indicati come “categorie particolari di dati personali”; cfr. art. 9).

‍Il consenso al trattamento di tali dati deve essere “esplicito“: non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”. Ovviamente la forma “scritta” o “documentata per iscritto” è la modalità più sicura per evitare di equivocare il consenso e per renderlo esplicito.

Pur se non in forma scritta, il titolare deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento. Quanto ai minori, il loro consenso è valido a partire dai 16 anni, prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.

Questo approccio dà maggiore risalto alla sostanza che alla forma del consenso e tenta di superare una certa rigidità imposta finora dalla normativa sulla privacy.

‍Consensi già raccolti prima del 25 maggio, che fare?‍

Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche previste dal nuovo Regolamento.

In caso contrario, è necessario raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il Regolamento, se si vuole continuare a fare ricorso a questa base giuridica.

In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile dalle altre richieste o dichiarazioni rivolte all’interessato, per esempio all’interno di una modulistica. Ciò significa che oggi è imprescindibile prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara. I soggetti pubblici non devono, di regola, chiedere il consenso per il trattamento dei dati personali in quanto è prevista una specifica base giuridica per l’esecuzione di compiti di interesse pubblico o connessi all’esercizio di pubblici poteri.

L'interesse legittimo prevalente di un titolare o di un terzo

Una notevole novità introdotta dal nuovo Regolamento riguarda il cd. “balance of interests” ossia il bilanciamento fra legittimo interesse del titolare o del terzo e l’interesse e i diritti e libertà dell’interessato.

‍Tale balance, fino ad oggi, è stato di stretta competenza delle Autorità Garanti, ma dal 25 maggio 2018 sarà una valutazione esclusiva del titolare del trattamento. Si tratta, a tutti gli effetti, di una delle principali espressioni del principio di “responsabilizzazione” introdotto dal nuovo pacchetto di protezione dei dati (cd. accountability).

Per approfondire questo argomento vi invitiamo a leggere il nostro articolo sul legittimo interesse.

L'informativa privacy secondo il GDPR

Il Garante si concentra, poi, su uno dei “classici” adempimenti privacy: l’informativa. Introdotta fin dalle primissime norme in materia è sempre stata ribadita nelle disposizioni succedutesi nel tempo, pur con qualche ritocco o distinguo.

I contenuti dell’informativa -ricorda l’Autorità- sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del Regolamento e in parte sono ampliati rispetto al Codice privacy.

In particolare, il titolare deve sempre:

• specificare i dati di contatto del DPO (cioè il Data Protection Officer, nuova figura introdotta proprio dal GDPR)
• indicare la base giuridica del trattamento e, nel caso, chiarire qual è il suo interesse legittimo (se quest’ultimo costituisce una base giuridica)
• precisare se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti e con quali garanzie
• specificare il periodo di conservazione dei dati o i criteri seguiti per stabilirlo
• informare l’interessato del suo diritto di presentare un reclamo all’autorità di controllo
• indicare se il trattamento comporta processi decisionali automatizzati (compresa la profilazione), illustrando la logica di tali processi decisionali e le eventuali previste per l’interessato.

Il titolare deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il nuovo diritto alla portabilità dei dati), eventualmente se esiste un responsabile del trattamento e la sua identità, e quali sono le categorie di destinatari dei dati oggetto di trattamento.

Tempi per la consegna dell'informativa GDPR

In caso di raccolta dei dati presso l’interessato, l’informativa deve essere fornita prima di effettuare la raccolta dei dati.

‍Nel caso di dati personali non raccolti direttamente presso l’interessato (per esempio, conferiti da terzi) l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione dei dati (a terzi o all’interessato).

L’informativa dovrà essere consegnata al momento della prima comunicazione all’interessato se i dati sono destinati alla comunicazione con l’interessato, oppure non oltre la prima comunicazione dei dati personali, nel caso sia prevista la comunicazione ad un altro destinatario.

Modalità di presentazione dell'informativa

La Guida del Garante sottolinea il fatto che “il Regolamento specifica molto più in dettaglio” rispetto al Codice privacy “le caratteristiche dell’informativa, che deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee".

L’informativa può essere fornita:

• per iscritto e preferibilmente in formato elettronico,
• oralmente, se si rispettano le caratteristiche precedentemente illustrate (si pensi al caso dei conversazioni telefoniche per acquisti e contratti),
• anche mediante “icone” utili per presentare i contenuti dell’informativa in forma sintetica. Questa modalità è ancora in definizione ma se ne prevede l’utilizzo sempre e solo in combinazione con l’informativa estesa (art. 12, paragrafo 7).

Anche in questo caso, il principio di accountability impone che, a differenza del regime precedente, spetti al titolare valutare autonomamente se la prestazione dell’informativa in caso di dati personali raccolti da fonti diverse dall’interessato risulti troppo onerosa.

Hai ancora dubbi su come gestire le informative e i consensi con il nuovo regolamento europeo? Contattaci e saremo felici di aiutarti.