Le prime indicazioni del Garante per l'applicazione del GDPR

Il Provvedimento del Garante Privacy del 22 febbraio scorso ha come obiettivo, in attesa del decreto legislativo di adeguamento, quello di fornire alcune indicazioni circa la futura applicazione del nuovo Regolamento 2016/679, che diventerà applicativo il prossimo 25 maggio.

Gli argomenti al centro dell’attenzione? Vigilanza sull’applicazione delle disposizioni regolamentari, interoperabilità, legittimo interesse e informativa.

In apertura del provvedimento vengono indicate tutte le facoltà del Garante per quanto riguarda il controllo della corretta applicazione del GDPR, che dovranno essere specificate dal decreto, ma che già mostrano i grandi poteri che avrà l’Autorità: di indagine, correttivi e sanzionatori, nonché autorizzativi e consultivi. Ci saranno, però, delle garanzie procedurali, che consentiranno al titolare e al responsabile del trattamento di partecipare ai procedimenti che li riguardano.

In ogni caso è evidente che il controllo ex ante da parte del Garante perde valore per garantirne decisamente di più a quello ex post.

Il nuovo schema è chiaro: comportamento proattivo di chi tratta dati personali seguito da accertamenti che prenderanno in considerazioni svariati fattori.

Si approda all’interoperabilità, concetto promosso e fortemente incentivato dal GDPR, che con il suo articolo 20 vuole garantire il diritto alla portabilità dei dati, ovvero la possibilità per gli interessati di ottenere copie dei propri dati personali per poterle trasmettere ad altri titolari.

Inevitabilmente l’interoperabilità diventa fondamentale per poter dare seguito a tale richiesta, e lo è anche per la circolazione dei dati personali e la concorrenza tra i diversi operatori; non dimentichiamoci infatti che il secondo e non meno importante obiettivo del nuovo Regolamento è proprio quello di promuovere la circolazione e lo scambio dei dati tra i Paesi membri.

L’interoperabilità è promossa, ma non imposta dal Regolamento; quest’ultimo, infatti, si limita a indicare alcuni criteri minimi che il trattamento deve possedere per facilitare la portabilità dei dati.

Criteri su cui il Garante vigilerà, affinché risulti che il trattamento prescelto sia quello più idoneo a garantire una facile circolazione dei dati personali.

Il provvedimento affronta poi il delicato tema dell’interesse legittimo del titolare, che sappiamo essere uno dei fondamenti giuridici per il trattamento dei dati personali di cui all’articolo 6 del GDPR. È disposto che sia il titolare stesso a definire la presenza di un legittimo interesse proprio o di terzi per il trattamento dei dati, che dovrà chiaramente prevalere sugli interessi e sui diritti e libertà fondamentali dell’interessato.

Non trascurabile e, infatti, sottolineato nel Provvedimento, è il fatto che, nell’eseguire tale valutazione, il titolare deve prendere in considerazione la ragionevole aspettativa dell’interessato circa un ulteriore utilizzo dei propri dati. Per effettuare il bilanciamento, che non è altro che una delle tante declinazioni del principio dell’accountability (punta di diamante del GDPR), si può fare riferimento alle Linee Guida del Gruppo di lavoro Art. 29 (WP 217) e ai profili delineati dal Garante nel Provvedimento stesso.

In ogni caso, qualora risulti che il trattamento dei dati personali possa effettivamente fondarsi sul legittimo interesse, il titolare deve necessariamente illustrare tale presupposto, nonché il bilanciamento eseguito per poterlo ritenere tale, all’interessato e lo deve fare all’interno dell’informativa.

L’importante è che l’informativa sia appropriata, ovvero accorta rispetto al contesto, completa, ma immediata e concisa. E, siccome esaustivo e sintetico non sono concetti che facilmente vanno d’accordo, si consiglia l’informativa “a strati” o “in combinazione” con icone standardizzate, per esempio.

Il Garante conclude con un annuncio: il Provvedimento non potrà applicarsi se non successivamente all’approvazione definitiva del decreto legislativo di adeguamento al GDPR, quest’ultimo, infatti, inciderà certamente sulla materia appena trattata. Ritiene dunque opportuno differire l’applicazione di tali disposizioni fino a sei mesi dall’entrata in vigore dell’attesissimo decreto, che ad oggi ancora non pare in procinto di essere emanato per quanto una prima bozza sia stata approvato a fine marzo.

Nessuna traccia, dunque, di un periodo di grazia per l’applicazione delle sanzioni: il GDPR, ribadiamo, diventerà applicativoa tutti gli effetti il 25 maggio .

Si era pensato, infatti, che il Provvedimento in esame significasse un differimento dell’applicazione delle sanzioni per un periodo semestrale e, quindi, la volontà del Garante di seguire le orme del collega francese.

Così, però, non è: il Garante ha smentito subito la notizia con un comunicato ufficiale.

Finora l’Autorità francese per la protezione dei dati (CNIL) è stata l’unica tra i paesi europei ad annunciare un temporaneo congelamento delle sanzioni.

Isabelle Falque-Pierrotin, presidente dell’Autorità, sottolineando l’enorme sforzo che sono tenute a compiere le società francesi per potersi adeguare alle disposizioni normative, ha annunciato che: « Avec le GDPR, nous avons un travail d’accompagnement extrêmement fort à faire puisque va se jouer dans les prochaines années l’attractivité numérique différenciante des pays européens ». La CNIL si prodigherà ad un lavoro di accompagnamento per gli organismi francesi che svolgono trattamento dei dati personali (evitando in un primo momento le sanzioni), e non solo perché è un percorso che richiederà tempo ed energie, ma anche perché si tratta di una vera e propria opportunità per le società francesi per divenire fortemente competitive nel campo dell’economia digitale, opportunità alla quale l’Autorità vuole dare un forte contributo.

E le imprese italiane verranno a loro volta accompagnate dalle autorità nazionali nel lavoro di adeguamento?