La normativa Ue sulla privacy è un groviera

di Antonio Ciccia Messina

Regolamento Ue sulla privacy inapplicabile, senza le specifiche necessarie. O meglio sarebbe applicabile, ma lascia le imprese nell’incertezza di essere in regola, fino a che non verranno indicate coordinate determinate. La questione sta diventando urgente, perché manca ormai un anno alla piena operatività del regolamento 2016/679 (scatta dal 25 maggio 2018) e gli adempimenti non sono pochi e alcuni sono decisamente nuovi. Molti di questi adempimenti non sono esattamente definiti e si lascia alle imprese l’onere di indicare come comportarsi, caso per caso. Non è chiaro quando si deve nominare il Responsabile della protezione dei dati (Rpd) o quando è possibile ricorrere al legittimo interesse e bypassare il consenso. Non c’è certezza neppure per altri adempimenti quali il registro dei trattamenti, la valutazione di impatto e alla consultazione preliminare. E assume connotati nuovi anche un istituto conosciuto come l’informativa. Sulle misure di sicurezza bisognerà produrre la documentazione di avere adottato misure idonee sia di ordine tecnico che di ordine organizzativo: di fatto è una riedizione del Documento programmatico sulla sicurezza, a suo tempo abrogato. E ritorna in auge anche la formazione del personale, che deve essere istruito per mantenere i trattamenti conformi alla normativa. Per fare fronte a queste novità il garante privacy ha già diffuso una guida e annunciato una campagna informativa. Ieri ha diffuso sul proprio sito il video «La protezione dei dati è un diritto di libertà» che illustra le misure stabilite dal Regolamento. Rimangono ancora molti interrogativi. Cerchiamo di elencare le domande più importanti e fornire alcune risposte.

Legittimo interesse. In base al nuovo regolamento un’impresa può trattare i dati quando ricorre un suo legittimo interesse, che deve autodichiarare nell’informativa. In questi casi non si deve chiedere il consenso all’interessato, Non c’è però una casistica tassativa dei casi in con il legittimo interesse in cui si può evitare di chiedere il consenso. Una risposta che si può dare è di considerare come coperti dal legittimo interesse, tutti i casi in cui il Garante si è pronunciato in passato per il bilanciamento di interessi (cioè per un trattamenti senza consenso). Questo è avvenuto ad esempio per il trattamento dei dati sulla morosità nei sistemi informativi creditizi, nella videosorveglianza, per i controlli indiretti sul lavoro, per la biometria. Oltre a questi si potrebbe pensar coperti dal legittimo interesse anche tutti i casi di esonero dal consenso previsti dall’art. 24 codice privacy, come ad esempio il trattamento dei cv spontaneamente inviati o la circolazione di dati infra gruppo per ordinari scopi amministrativi.

Marketing. Seppure in un considerando del Regolamento si legge che il marketing è un caso di legittimo interesse, è prudente limitarsi all’ipotesi del cosiddetto soft spam (comunicazioni a chi è già cliente per prodotti analoghi).

Nomina Rpd. Non è chiaro quando un’impresa debba nominarlo. Una risposta è che la nomina obbligatoria scatta quando si deve fare la valutazione d’impatto privacy, adempimento quest’ultimo per cui i garanti dovranno stilare una lista dei soggetti obbligati.

Valutazione impatto. Sul punto si attende un elenco dei Garanti, che le imprese chiedono sia tassativo, senza margini di dubbio.

Sanzioni. Il regolamento prevede pesanti sanzioni amministrative, quantificate solo nei massimi. Si ritiene che i minimi debbano essere stabiliti con legge con una analitica differenziazione per evitare sperequazioni. Anche per le sanzioni penali deve scendere in campo il legislatore, perchè le norme del codice privacy non saranno applicabili. Al legislatore il compito anche di chiarire che le sanzioni amministrative si applicano anche alle p.a..

Consenso p.a. Nella guida del garante si dice che le p.a. di regola non chiedono il consenso. Servirebbe chiarire se e quando un ente pubblico deve avere l’adesione dell’interessato.

Registro dei trattamenti. Non è chiaro quando non si deve compilare il registro dei trattamenti. Servirebbe chiarire che la compilazione non occorre in tutti i casi di trattamento dati solo per ordinarie finalità amministrative e contabili.
Fonte: