FTCC | Studio Legale Associato

FTCC

News

immagine art. gen. 2018 Santi

Continua la smania irrefrenabile (e ingiustificata?) del nostro legislatore a intervenire sulla materia privacy anzitempo, e al di fuori del futuro decreto legislativo che il Governo dovrà emanare in attuazione della legge delega n. 163/2017, di cui abbiamo già dato conto nelle scorse newsletter.

Nell’ultima legge di bilancio per l’anno appena iniziato ben cinque commi (dal 1020 al 1024) dell’art. 1 trattano l’argomento, introducendo alcune novità di rilievo.

In particolare, le nuove norme attribuiscono al Garante il potere di adottare, entro 2 mesi dall’entrata in vigore della legge (ossia dall’1 gennaio u.s.), un provvedimento che disciplini le modalità con cui il medesimo Garante monitorerà e vigilerà sull’applicazione del GDPR e verificherà l’idoneità delle infrastrutture, adottate dai titolari, per garantire l’interoperabilità dei formati e permettere così all’interessato di esercitare il nuovo diritto alla portabilità dei dati. Entro lo stesso termine, il Garante dovrà approntare un modello di informativa per i titolari che effettuino un trattamento fondato sull’interesse legittimo che prevede l’uso di nuove tecnologie o di strumenti automatizzati e definire linee guida o buone prassi su tale trattamento. Non sfuggirà ai più che alcuni dei compiti in questione sono affidati dall’art. 70 GDPR al Comitato europeo per la protezione dei dati (l’attuale WP art. 29), composto dai Garanti di tutti gli Stati membri dell’Unione. Molta attenzione dovrà, dunque, avere il nostro Garante, che non potrà certamente disporre fuori dal coro (o addirittura in contrasto con esso), ma esserne semmai in simbiosi.

Infine, segnaliamo un’altra novità molto criticata dai primi commentatori perché introduce una procedura in contrasto con le semplificazioni amministrative volute dal GDPR (fra cui l’abrogazione della notifica di cui all’art. 37 e della verifica preliminare ex art. 17 del Codice Privacy); le nuove disposizioni prevedono infatti che i titolari che intendano effettuare un trattamento fondato sull’interesse legittimo utilizzando nuove tecnologie o strumenti automatizzati devono darne tempestiva comunicazione al Garante inviando, prima dell’avvio di tale trattamento, l’informativa redatta secondo il modello predisposto dal Garante di cui abbiamo detto sopra. In assenza di risposta del Garante, decorsi 15 giorni lavorativi dall’invio di tale informativa i titolari potranno iniziare il trattamento. Il Garante aprirà un’istruttoria sulla base dell’informativa ricevuta e nel caso in cui ravvisi un rischio per i diritti e le libertà degli interessati disporrà la moratoria del trattamento per un periodo massimo di 30 giorni, in cui chiederà ai titolari ulteriori informazioni integrative, e qualora ritenga che il trattamento sia comunque lesivo dei diritti e libertà degli interessati, inibirà ai titolari l’utilizzo dei dati. Sempre maggiore lavoro per il Garante quindi, come visto non del tutto giustificato dal GDPR, ma forse ben remunerato, tenuto conto dei 2 milioni di euro annui che arriveranno nelle casse dell’Authority per questi nuovi compiti.

Avv. Santina Parrello


categoria:NewsPrivacy e diritti della personalità