12. Nuovo Regolamento Europeo: il 25 maggio è arrivato, a che punto siamo con il GDPR?

29/05/2018

12. Nuovo Regolamento Europeo: il 25 maggio è arrivato, a che punto siamo con il GDPR?

Dal 25 maggio, il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (cd. “GDPR”) è applicabile in tutta Europa.

 

Il GDPR è entrato in vigore nel 2016: è stato dunque lasciato agli operatori e agli Stati membri un periodo di due anni per l’adeguamento, rispettivamente, delle loro strutture aziendali e dei sistemi nazionali. Nonostante ciò, in Italia non è stata ancora emanata una legge di modifica del “vecchio” D. Lgs. 196/2003 (cd. “Codice”) e molti operatori, anche del campo pubblicitario, non sono ancora del tutto pronti per l’applicazione del GDPR. Inoltre, è notizia recente che il termine per l’emanazione del decreto di recepimento della delega per l’adeguamento del sistema italiano al GDPR è slittato ad agosto. Tra gli adempimenti richiesti agli operatori, si segnalano sicuramente la stesura delle nuove informative privacy, la nomina per atto scritto dei responsabili del trattamento e dei sub-responsabili, la tenuta dei registri dei trattamenti, l’effettuazione di una Data Protection Impact Assessment ove necessario, la nomina di un Data Protection Officer (cd. “DPO”) ove richiesto.

Durante questi due anni, tuttavia, il mercato è stato costellato da interpretazioni errate del GDPR, che vanno contro la lettera degli articoli del GDPR e contro i chiarimenti dei Garanti europei. Le interpretazioni sbagliate hanno talvolta contribuito al ritardo degli operatori italiani, rispetto ai competitor europei, nell’adeguamento dei loro sistemi privacy. Si pensi ad esempio alla falsa affermazione secondo cui il GDPR si applica al settore relativo alle comunicazioni elettroniche. L’art. 95 del GDPR è chiaro nell’escludere che esso introduca nuovi adempimenti in materia di informativa e consenso in tale settore (materie già regolate dalla Direttiva 2002/58/CE – cd. “Direttiva e-privacy”), affermando che il GDPR “non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comuni­cazione nell'Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE”. E gli obblighi specifici della Direttiva e-privacy in Italia sono stati trasposti nel Titolo X del Codice e sono stati oggetto di un Provvedimento del Garante per la protezione dei dati personali (cd. “Garante”) che ha permesso, come noto, agli editori di un sito web di ottenere il consenso informato degli utenti per l’installazione di cookie, anche di terza parte, tramite delle modalità semplificate (e, cioè, con il banner mostrato all’utente all’ingresso del sito web e la possibilità di acconsentire al trattamento tramite click o scroll su un’area della pagina). Il gestore di un sito web italiano che ha già implementato una modalità per l’ottenimento del consenso per l’installazione dei cookie, propri e/o di terze parte, non deve far altro, tuttalpiù, che modificare il testo dell’informativa cookie mostrata all’utente, con i nuovi elementi richiesti obbligatoriamente dal GDPR.

Altro tema “caldo” che è emerso da più fronti è quello relativo ai consensi degli interessati già acquisiti in vigenza del Codice. Molti operatori hanno deciso di “buttare” i dati personali raccolti negli anni e contenuti nei loro database e di chiedere un nuovo consenso a tutti gli interessati. Anche per tale questione, tuttavia, non è stato ben interpretato il GDPR, il quale afferma, al Considerando 171, che “Qualora il trattamento si basi sul consenso a norma della direttiva 95/46/CE, non occorre che l'interessato presti nuovamente il suo consenso, se questo è stato espresso secondo modalità conformi alle condizioni del presente regolamento, affinché il titolare del trattamento possa proseguire il trattamento in questione dopo la data di applicazione del presente regolamento”. Se gli interessati hanno espresso un consenso specifico, libero ed informato, a norma delle disposizioni del Codice, il trattamento può proseguire (e non occorre ottenere nuovamente un consenso). Altra materia cui i pareri sono stati discordanti e perlopiù contrari alle interpretazioni dei Garanti europei è quella del trattamento dei dati “sensibili” (che oggi il GDPR definisce categorie particolari di dati). Per il loro trattamento occorrerà un “consenso esplicito”, ma che – diversamente da quanto molti pensato – non dovrà necessariamente trattarsi di un consenso ottenuto in forma scritta (come era invece previsto dal Codice per i dati sanitari).

Bisogna inoltre chiarire un altro punto fondamentale: il DPO non ha nulla a che vedere con il “responsabile interno del trattamento”. Il DPO infatti, che potrà essere un soggetto interno o un soggetto esterno, avrà funzioni consultive, di supporto e di controllo delle attività di trattamento. Ha inoltre il compito di rappresentare il punto di “contatto” tra chi lo ha nominato e l’Autorità (o gli interessati). Inoltre, a differenza di quanto pensato da alcuni, per essere DPO non occorre alcuna specifica certificazione e/o corso di formazione apposito. Lo stesso Garante, d’altronde, già a settembre 2017 (Newsletter n. 432 del 15 settembre 2017) aveva affermato che non vi fossero abilitazioni allo svolgimento di tale funzione, né tanto meno servisse essere iscritti in un albo apposito.

Per concludere, è importante ribadire che il Garante italiano, a differenza di quello francese, non ha concesso alcun grace period: non vi sarà dunque alcun differimento dell’effettuazione di controlli e/o ispezioni.

Questo sito utilizza cookie, anche di terze parti, per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsenti all’uso dei cookie.