La Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali offre una panoramica sulle problematiche che le imprese e i soggetti pubblici dovranno tenere presenti a partire dal 25 maggio 2018.

Fondamenti di liceità del trattamento in merito alla protezione dei dati

Il regolamento conferma che ogni trattamento deve trovare fondamento in una base giuridica idonea. I fondamenti di liceità sono indicati nell’art. 6 del regolamento e si tratta principalmente di consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.

Informativa

I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13 e 14 (paragrafo 1). L’informativa deve avere determinate caratteristiche rispetto alla protezione dei dati : deve essere coincisa, trasparente, intelligibile pe l’interessamento e facilmente accessibile. Occorre, quindi, utilizzare sempre un linguaggio chiaro e semplice e soprattutto utilizzare un supporto scritto, preferibilmente in formato elettronico.

Titolare, responsabile, incaricato del trattamento

Il regolamento disciplina la contitolarità del trattamento e impone ai titolari di definire l’ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati, che hanno la possibilità di rivolgersi indifferentemente a uno dei titolari operanti congiuntamente. Inoltre il regolamento fissa in modo più dettagliato le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento, attribuendo ad esso dei compiti specifici. Sempre per garantire maggiore protezione per la protezione dei dati.

Approccio basato sul rischio e misure di accountability

Il regolamento pone l’accento sulla responsabilizzazione di titolari e responsabili e quindi sull’adozione dei comportamenti da adottare. È una grande novità per la protezione dei dati, in quanto sono i titolari ad avere il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali. Il primo criterio è sintetizzato con l’espressione inglese “data protection by default and by design”, la necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili al fine di soddisfare i requisiti del regolamento e tutelare i diritti degli interessati.

Trasferimenti di dati verso Paesi terzi e organismi internazionali

Con il nuovo regolamento viene meno il requisito dell’autorizzazione nazionale e ciò vuol dire che il trasferimento verso un altro paese potrà avvenire senza autorizzazione nazionale del Garante. Tuttavia questa sarà ancora necessaria se un titolare desidera utilizzare clausole contrattuali ad hoc o accordi amministrativi. Inoltre, il regolamento consente di ricorrere anche a codici di condotta, ossia schemi di certificazione per dimostrare le garanzie adeguate. I titolari o responsabili del trattamento potranno, quindi, far valere gli impegni sottoscritti attraverso l’adesione al codice di condotta. Infine, il regolamento fissa i requisiti per l’approvazione delle norme vincolanti d’impresa e i contenuti obbligatori di tali norme.

Guida al nuovo regolamento

Per agevolare le aziende nella fase di adeguamento normativo relativo alla protezione dei dati, il Garante della Privacy fornisce una guida utile consultabile sul sito a questo link Protezione dei dati personali