Nel sito http://www.garanteprivacy.it è stata pubblicata la guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali, con l’intento dichiarato di esporre “le principali problematiche che imprese e soggetti pubblici dovranno tenere presenti in vista della piena applicazione del regolamento, prevista il 25 maggio 2018”. Oltre a segnalare alcune delle principali novità, consiglia dei percorsi già praticabili in quanto basati su disposizioni del Regolamento che non potranno essere modificate da interventi legislativi nazionali. La guida è suddivisa in sei “capitoli”: Fondamenti di liceità del trattamento – Titolare, responsabile, incaricato del trattamento – Informativa – Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili – Diritti degli interessati – Trasferimenti internazionali di dati.

 

Il consenso deve essere esplicito

Il Regolamento conferma che ogni trattamento deve essere basato su una idonea base giuridica e i fondamenti di liceità (art. 6) coincidono, per lo più, con quelli attualmente previsti D.lgs. 196/2003, il nostro Codice della privacy: consenso, adempimento degli obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati. Rispetto ai dati sensibili (art. 9 del Regolamento), si conferma che il consenso deve essere sempre libero, specifico, informato e inequivocabile, che non è ammesso il consenso tacito o presunto e che deve essere manifestato attraverso “dichiarazione o azione positiva inequivocabile”. Una delle novità è che il consenso deve essere esplicito, anche per decisioni basate su trattamenti automatizzati: non deve essere necessariamente documentato per iscritto e non è richiesta la forma scritta, ma il titolare deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento. Il consenso dei minori è valido dai 16 anni di età, prima occorre raccogliere il consenso dei genitori o di chi ne fa le veci. Il consenso raccolto prima del 25 maggio 2018 resta valido se ha tutte le caratteristiche appena descritte; se così non fosse ci si deve attivare entro tale data per raccogliere nuovamente il consenso degli interessati.

Il Regolamento, oltre a chiarire espressamente che l’interesse legittimo del titolare o del terzo non costituisce idonea base giuridica per i trattamenti svolti dalle autorità pubbliche in esecuzione dei rispettivi compiti, conferma che deve prevalere sui diritti e le libertà fondamentali dell’interessato, per costituire un valido fondamento di liceità. C’è di nuovo che il bilanciamento fra legittimo interesse del titolare o del terzo e diritti e libertà dell’interessato non spetta all’Autorità, ma è compito dello stesso titolare, il che rappresenta “una delle principali espressioni del principio di responsabilizzazione introdotto dal nuovo pacchetto protezione dati”.

 

I diritti degli interessati

Nel Regolamento si ribadisce che il titolare del trattamento deve agevolare l’esercizio dei diritti da parte dell’interessato, adottando ogni misura tecnica e organizzativa idonea, con il responsabile che è tenuto a collaborare ai fini dell’esercizio dei diritti degli interessati. Resta un diritto del titolare chiedere informazioni per identificare l’interessato, che ha il dovere di fornirle secondo idonee modalità.

Tra le novità, il termine per la risposta all’interessato, che per tutti i diritti, compreso quello di accesso, è di un mese, ma può arrivare fino a tre mesi in casi di particolare complessità; il titolare deve comunque fornire un riscontro all’interessato entro un mese dalla richiesta, anche in caso di diniego. Spettano al titolare la valutazione della complessità del riscontro all’interessato e stabilire l’importo dell’eventuale contributo da chiedergli, ma soltanto se si tratta di richieste manifestamente infondate o eccessive (anche ripetitive), a differenza di quanto prevede il nostro Codice (art. 9, comma 5, e 10, commi 7 e 8), ovvero se sono chieste più “copie” dei dati personali nel caso del diritto di accesso; in quest’ultimo caso il titolare deve tenere conto dei costi amministrativi sostenuti. Il riscontro all’interessato può essere dato oralmente solo se questi lo richiede l’interessato stesso, mentre di regola deve avvenire in forma scritta anche tramite strumenti elettronici che ne favoriscano l’accessibilità. La risposta, oltre che fornita con un linguaggio semplice e chiaro e “intelligibile”, deve essere concisa, trasparente e facilmente accessibile.

Secondo il Garante è utile che i titolari di trattamento adottino le misure tecniche e organizzative eventualmente necessarie per favorire l’esercizio dei diritti e il riscontro alle richieste presentate dagli interessati, esercizio che – a differenza di quanto oggi previsto – dovrà avere per impostazione predefinita la forma scritta (anche elettronica).

 

Il diritto di accesso

Prevede in ogni caso il diritto di ricevere una copia dei dati personali oggetto di trattamento: c’è di nuovo che fra le informazioni che il titolare deve fornire non rientrano le modalità del trattamento, mentre deve essere indicato il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definirlo, e anche le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi. Oltre all’osservanza delle prescrizioni relative alla modalità di esercizio di questo e degli altri diritti, i titolari possono consentire agli interessati di consultare direttamente, da remoto e in modo sicuro, i propri dati personali.

 

Diritto di cancellazione

Il cosiddetto diritto all’oblio (art.17) – invocato in tristi casi di cronaca e anche per il suicidio di persone schiacciate dal peso di una immorale gogna mediatica – si configura come un diritto alla cancellazione dei propri dati personali in una forma fortificata. E’ infatti previsto l’obbligo per i titolari – se hanno reso pubblici i dati personali dell’interessato pubblicandoli, ad esempio, in un sito web – di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi “qualsiasi link, copia o riproduzione” (paragrafo 2). Questo diritto ha un campo di applicazione più esteso di quello attualmente previsto dal Codice, poiché l’interessato ha il diritto di chiedere la cancellazione dei propri dati, ad esempio, anche dopo revoca del consenso al trattamento (paragrafo 1).

 

Il diritto di limitazione del trattamento

Definito dall’art. 18, è un diritto diverso e più esteso rispetto al blocco del trattamento disciplinato dall’art. 7, comma 3, lett. a), del D.lgs. 196/2003, esercitabile non solo in caso di violazione dei presupposti di liceità del trattamento come alternativa alla loro cancellazione, ma anche se l’interessato chiede la rettifica dei dati, in attesa di tale rettifica da parte del titolare, o si oppone al loro trattamento in attesa della valutazione da parte del titolare (art. 21 del Regolamento). E’ vietato ogni altro trattamento – esclusa la conservazione – del dato di cui si chiede la limitazione, salvo che in determinate circostanze come possono essere il consenso dell’interessato, l’accertamento dei diritti in sede giudiziaria, la tutela dei diritti di un’altra persona fisica o giuridica o un interesse pubblico rilevante. Poiché il diritto alla limitazione prevede che il dato personale sia “contrassegnato” in attesa di ulteriori determinazioni, il Garante raccomanda che i titolari prevedano nei propri sistemi informativi (elettronici o meno) misure idonee a tale scopo.

 

Il diritto alla portabilità dei dati

E’ uno dei nuovi diritti previsti dal Regolamento (art. 20), anche se non è del tutto ignoto ai consumatori, se si pensa alla portabilità del numero telefonico. Si applica ai trattamenti automatizzati e, quindi, non si applica agli archivi o registri cartacei, e sono fissate specifiche condizioni per il suo esercizio. Nello specifico, sono portabili solo i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con lo stesso – esempio: non si applica ai dati il cui trattamento si fonda sull’interesse pubblico o sull’interesse legittimo del titolare – e soltanto i dati forniti dall’interessato al titolare. Il titolare, inoltre, deve essere in grado di trasferire direttamente i dati portabili a un altro titolare indicato dall’interessato, se è tecnicamente possibile. Il Gruppo “Articolo 29” – è un organismo consultivo e indipendente, composto da un rappresentante delle Autorità di protezione dei dati personali designate da ciascuno Stato membro, dal Gepd (Garante europeo della protezione dei dati) e da un rappresentante della Commissione – ha pubblicato di recente linee-guida ad hoc che illustrano e spiegano i requisiti e le caratteristiche del diritto alla portabilità, con particolare riguardo ai diritti di terzi interessati i cui dati siano potenzialmente compresi fra quelli “relativi all’interessato” dei quali quest’ultimo chiede la portabilità. Il Garante, poiché la trasmissione dei dati da un titolare all’altro prevede che si utilizzino formati interoperabili, raccomanda che i titolari chiamati ad applicare questo diritto “adottino sin da ora le misure necessarie a produrre i dati richiesti in un formato interoperabile secondo le indicazioni fornite nel considerando 68 e nelle linee-guida del Gruppo Articolo 29”.