GDPR – Alcune risposte alle domande più frequenti

I nostri articoli sul “General Data Protection Regulation” (GDPR), ossia il nuovo regolamento europeo in materia di dati personali, hanno suscitato un vivo interesse, come dimostrano le tante domande ricevute in pochi giorni sul sito e sulla pagina Facebook di Sistema Impresa Roma.

Di seguito, tenteremo di dare una risposta ad alcune di queste domande; nei prossimi giorni, poi, pubblicheremo un approfondimento legale sul tema, vista la sua importanza e la risonanza che ha avuto.

Un primo utente ci ha chiesto di sapere come cambia l’informativa sulla privacy: “al di là del linguaggio da utilizzare che deve essere più semplice e chiaro, rispetto al passato quali sono le innovazioni principali sui contenuti?”.

La nuova informativa impone al titolare di specificare i dati di contatto del responsabile della protezione dei dati (ove esistente), la base giuridica e le finalità del trattamento, gli eventuali destinatari dei dati, nonché l’eventuale intenzione del titolare di trasferire i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti intende farlo.

Sono previste anche importanti informazioni aggiuntive, come ad esempio il periodo di conservazione dei dati e il diritto di presentare un reclamo all’Autorità di controllo.

Un riflesso pratico molto importante della nuova informativa, che si può indicare a titolo di esempio per dare un’idea dell’innovatività del regolamento, riguarda le finalità del trattamento dei dati: se il soggetto che ha raccolto i dati di un utente lo ha fatto per una specifica finalità e intende utilizzare i dati per altri scopi, deve informare preventivamente l’utente stesso prima di procedere al trattamento ulteriore.

Il tema dell’informativa è strettamente legato a quello del consenso e ci porta a un secondo quesito di un lettore, che chiede: “se ho raccolto il consenso al trattamento dei dati prima del 25 maggio con la vecchia normativa, posso utilizzare i dati raccolti oppure devo procedere all’acquisizione di un nuovo consenso?”.

A questa domanda ha risposto il nostro Garante per la Privacy, il quale ha chiarito che resta valida l’acquisizione antecedente al 25 maggio solo se il consenso ha tutte le caratteristiche imposte dal nuovo regolamento: in caso contrario, è necessario procedere a una nuova acquisizione.

Ecco perché è necessario affidarsi alla consulenza di soggetti particolarmente qualificati: la verifica delle caratteristiche dei consensi raccolti prima del 25 maggio potrebbe infatti far risparmiare all’azienda i costi di una nuova “campagna” di acquisizione del consenso, oppure (nel caso di invalidità del vecchio consenso) potrebbe evitare all’impresa le pesanti sanzioni previste dal GDPR.

Un’altra domanda riguarda le aziende multi-settore: “il responsabile del trattamento dei dati – ci è stato chiesto – può delegare altri soggetti sempre interni all’azienda?”.

In realtà, il meccanismo previsto dal GDPR non è quello di una vera e propria delega: “Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento”, dispone l’art. 28, comma 2, del regolamento.

Il GDPR, pertanto, consente la nomina di sub-responsabili del trattamento da parte di un responsabile, per specifiche attività di trattamento, e non esclude l’ulteriore figura dell’“incaricato” del trattamento, prevista dal Codice della Privacy italiano.

Il regolamento, infatti, parla anche di “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”, ma sempre secondo rigidi meccanismi tesi a evitare la dispersione dei dati fra più soggetti.

Anche in questo caso, prima di riorganizzare il personale e procedere a nomine varie, è opportuno verificare che le figure individuate e i loro ruoli siano compatibili con la disciplina del GDPR.

Un’ultima domanda, infine, riguarda i diritti degli interessati, ossia delle persone che hanno fornito i dati personali: “è vero che con il GDPR un’impresa che riceve richieste di informazioni da parte degli utenti sui propri dati personali deve rispondere in un mese? E che può chiedere un contributo per la pratica?”, è stato chiesto da un utente.

Il GDPR consente all’interessato non solo di sapere se i propri dati personali sono in corso di trattamento da parte di un soggetto, ma anche di conoscere varie informazioni relative a tali dati (es.: finalità del trattamento, destinatari dei dati, categorie dei dati in questione, etc.); più in generale, il regolamento attribuisce una serie di diritti di accesso all’interessato ed è vero che, quando vengono richieste informazioni di questo tipo, il titolare dei dati deve evadere la richiesta nel giro di un mese.

Tuttavia, quando la richiesta è particolarmente complessa o quando vi è un gran numero di richieste, il titolare può prorogare questo termine di ulteriori due mesi, ma in ogni caso resta l’obbligo di dare una risposta all’interessato entro il primo mese, anche solo per comunicare il diniego o i motivi del ritardo.

Per quanto riguarda il contributo alle spese dell’istruttoria, invece, bisogna distinguere: in generale, la richiesta di informazioni va evasa a titolo gratuito, mentre la possibilità di chiedere un contributo spese “ragionevole” è prevista solo quando le “richieste dell’interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo”, oppure quando l’interessato chiede più copie dei propri dati personali.

L’entità del contributo è rimessa alla discrezione del titolare, ma dovrebbe essere limitata ai reali costi amministrativi sostenuti dall’impresa e comunque il nostro Garante, di concerto con le Autorità degli altri Paesi dell’Unione, dovrebbe emanare in futuro delle linee-guida specifiche sul punto.

 

 

Sistema Impresa Roma
Sistema Impresa Roma

Lascia un commento