Marzo 2018: Evento sul nuovo regolamento sulla “privacy”

Lo studio sta organizzando un incontro di approfondimento in merito alla prossima entrata in vigore del nuovo Regolamento (UE) 2016/679, relativo alla protezione dei dati personali, che rappresenta un cambiamento radicale a livello globale. Poiché l’entrata in vigore è prevista per il prossimo 25 maggio, lo studio ha ritenuto di fare cosa utile riunendo consulenti legali e specialisti tecnici informatici, per informare i clienti sui comportamenti da tenere e gli adeguamenti tecnologici necessari per essere pronti alle nuove incombenze.
La data dell’incontro verrà comunicata a breve.

Di seguito l’estratto di un articolo sull’argomento, tratto da Eutekne.info, a firma Carlo Nocera:

“Il nuovo Regolamento (UE) 2016/679 rappresenta una “rivoluzione normativa” in relazione alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati: un cambiamento radicale, previsto dal prossimo 25 maggio, non solo a livello europeo ma a livello globale.
La necessità di concepire un Regolamento europeo nasce dalla considerazione che l’evoluzione tecnologica aveva progressivamente e altrettanto inesorabilmente resa obsoleta la “vecchia” Direttiva 95/46/CE la quale, adottata nel 1995 con gli obiettivi di salvaguardare il diritto fondamentale alla protezione dei dati e garantire la libera circolazione dei dati personali tra gli Stati membri, mostrava ormai i segni del tempo.
Lo sviluppo tecnologico ha, infatti, dato il via al fenomeno inarrestabile della condivisione e raccolta di dati, con trasformazioni di carattere sociale ed economico. Pubblica autorità e imprese utilizzano ormai costantemente dati personali nell’ambito della propria attività: dati che, molto spesso, gli stessi privati diffondono nella rete.
Ne è derivata, nel corso degli anni, una frammentazione delle legislazioni nazionali degli Stati membri quanto alle modalità di applicazione della protezione dei dati personali, che ha alimentato incertezze giuridiche per la regolamentazione del fenomeno in quell’ambito senza confini rappresentato da internet.
Il nuovo Regolamento, perciò, sostituirà le attuali 28 legislazioni nazionali in materia di protezione dei dati e determinerà nel nostro Paese, la cui vigente legislazione – DLgs. n. 196/2003 – resta valida in termini di obiettivi e principi e troverà conferma per alcuni ambiti per i quali il Regolamento europeo lascia margini “discrezionali” agli Stati membri, l’avvento di un quadro giuridico certamente più coerente con l’evoluzione tecnologica e, soprattutto, maggiormente garantista e protettivo di quel “valore digitale” di servizi e prodotti che è il “dato personale”.
Date queste premesse, ci si dovrebbe attendere un, più o meno, “sereno” viatico verso la fine di maggio e, invece, lo scenario è stato innovato da un improvvido tocco di fine legislatura, a cura dell’art. 1, commi 1020-1025 della legge di bilancio 2018 (L. 205/2017).
È, infatti, stato previsto che il Garante Privacy, con proprio provvedimento da adottare entro due mesi dalla data di entrata in vigore della legge di bilancio, provveda ai seguenti adempimenti:

  • disciplinare le modalità con cui il Garante stesso monitora l’applicazione del Regolamento GDPR e vigila sulla sua applicazione (disposizione accettabile se ci trovassimo di fronte a una Direttiva e non a un Regolamento);
  • disciplinare le modalità di verifica, anche attraverso l’acquisizione di informazioni dai titolari dei dati personali (figura di nuovo conio del legislatore nazionale, forse intendeva riferirsi al “titolare del trattamento dei dati”), trattati per via automatizzata o tramite tecnologie digitali, della presenza di adeguate infrastrutture per l’interoperabilità dei formati con cui i dati sono messi a disposizione dei soggetti interessati, ai fini della portabilità dei dati ai sensi dell’art. 20 del Regolamento, sia ai fini dell’adeguamento tempestivo alle disposizioni del Regolamento stesso (ma il Regolamento non impone alcun adeguamento generalizzato delle infrastrutture);
  • predisporre un modello di informativa da compilare a cura dei “titolari di dati personali” che effettuano un trattamento fondato sull’interesse legittimo, il quale prevede l’uso di nuove tecnologie o di strumenti automatizzati (previsione incauta se solo si riflette sull’impossibilità di definire, in proposito, standard applicativi);
  • definire linee guida o best practice in materia di trattamento dei dati personali fondato sull’interesse legittimo del titolare (previsione conflittuale con l’attribuzione Regolamentare al Comitato europeo per la protezione dei dati).

Viene inoltre previsto, dai commi 1022 e 1023, che il “titolare di dati personali”, nel caso in cui effettui un trattamento fondato sull’interesse legittimo che prevede l’uso di nuove tecnologie o di strumenti automatizzati, sia tenuto a dare tempestiva comunicazione al Garante nazionale, mediante un’informativa relativa all’oggetto, alle finalità e al contesto del trattamento: solo dopo 15 giorni lavorativi dall’invio dell’informativa, in assenza di risposta da parte del Garante, il titolare dovrebbe poter procedere al trattamento mediante la formazione di tale “silenzio-assenso”.
Il che dovrebbe tradursi nell’avvio di un’istruttoria sulla base dell’informativa ricevuta e, se si ravvisasse il rischio che dal trattamento possa derivare una lesione di diritti e libertà dei soggetti interessati, potrà essere disposta la moratoria del trattamento per un periodo massimo di 30 giorni, idoneo a consentire al Garante un supplemento istruttorio finalizzato, nella peggiore delle ipotesi ravvisabile nell’individuazione di una lesione dei diritti dell’interessato, all’emanazione di un provvedimento di inibizione all’utilizzo dei dati.”