Niente consenso. Ma serve il preavviso al garante
di Antonio Ciccia Messina

Trattare dati senza consenso, ma con un preavviso al garante della privacy, che può bloccare il trattamento. Ma se non arriva lo stop, allora il trattamento può essere iniziato. È come una «Dia privacy», che comunque da un po’ di sicurezza in più alle imprese.

La legge di bilancio 2018 (n. 205/2017), ai commi da 1020 a 1025, si occupa del Regolamento Ue sulla privacy n. 2016/679, che diventerà pienamente operativo il 25 maggio 2018. Lo fa oltre che in materia di portabilità dei dati, anche per modellare una norma del regolamento, che esclude in alcuni casi la necessità per le imprese di chiedere il consenso degli interessati prima di iniziare il trattamento.

Tra questi casi di esonero c’è il «legittimo interesse». Quando l’impresa ha un legittimo interesse, può trattare i dati senza consenso dell’interessato. Il problema è che nel Regolamento Ue non c’è un catalogo dei legittimi interessi e, quindi, bisogna dare un contenuto a questa previsione. È chiaro che le imprese hanno molto vantaggio a usare questo istituto, ma sono ostacolate dal fatto che c’è un quadro di incertezza.

In questo scenario entra in gioco la legge di bilancio 2018, che affida al garante della privacy il compito di adottare un provvedimento entro due mesi dalla data di entrata in vigore della legge di Bilancio (e cioè entro il 1° marzo 2018), con cui definirà linee-guida o buone prassi in materia di trattamento dei dati personali fondato sull’interesse legittimo del titolare. Le linee guida riguarderanno tutti casi di legittimo interesse. Poi c’è un’aggiunta per il trattamento basato sul legittimo interesse con uso di nuove tecnologie o di strumenti automatizzati: nel medesimo provvedimento il garante deve elaborare un modello di informativa da compilare a cura dei titolari di dati personali. Sempre per il caso di trattamenti basato sul legittimo interesse con uso di nuove tecnologie o di strumenti automatizzati, la legge di bilancio aggiunge una speciale procedura.

Il titolare di dati personali deve darne tempestiva comunicazione al garante e, prima di procedere al trattamento, il titolare dei dati invia al garante un’informativa relativa all’oggetto, alle finalità e al contesto del trattamento, utilizzando il modello di informativa, predisposto dallo stesso garante. Trascorsi 15 giorni lavorativi dall’invio dell’informativa, in assenza di risposta da parte del garante, il titolare può procedere al trattamento.

Il garante deve effettuare un’istruttoria sulla base dell’informativa ricevuta dal titolare e, se ravvisa il rischio che dal trattamento derivi una lesione dei diritti e delle libertà dei soggetti interessati, dispone la moratoria del trattamento per un periodo massimo di 30 giorni. In tale periodo, il garante potrà chiedere al titolare ulteriori informazioni e integrazioni, da rendere tempestivamente, e, qualora ritenga che dal trattamento derivi comunque una lesione dei diritti e delle libertà del soggetto interessato, dispone l’inibitoria all’utilizzo dei dati.

Il meccanismo allunga i tempi dell’inizio del trattamento, ma dà alle imprese la possibilità di non rischiare in proprio. Il regolamento europeo grava le imprese dell’onere di individuare quando non c’è bisogno del consenso dell’interessato, con questo esponendosi a gravi sanzioni pecuniarie se l’individuazione risultasse sbagliata.

La strada italiana permette alle imprese di avere la sicurezza di trattare i dati con il via libera del garante. Il problema è di verificare quanto questo correttivo italiano sia in linea con il regolamento o se, invece, non ne tradisca lo spirito. E si tratta di vedere quanto questa strada sarà in linea con gli orientamenti degli altri paesi europei.

Certo, il garante avrà la responsabilità di dire se ci vuole o meno il consenso, ma non è un’incombenza nuova, poiché già prevista alla lettera g) dell’articolo 24 del codice della privacy.

Il garante non dovrà solo occuparsi di legittimo interesse, ma anche di vigilanza: il provvedimento, previsto dalla legge di Bilancio 2018, dovrà disciplinare le modalità attraverso le quali il garante stesso monitorerà l’applicazione del regolamento europeo sulla privacy e vigilerà sulla sua applicazione.

Infine il medesimo provvedimento del garante deve disciplinare le modalità di verifica, anche attraverso l’acquisizione di informazioni dai titolari dei dati personali trattati per via automatizzata o tramite tecnologie digitali, della presenza di adeguate infrastrutture per l’interoperabilità dei formati con cui i dati sono messi a disposizione dei soggetti interessati, sia ai fini della portabilità dei dati ai sensi dell’articolo 20 del regolamento Ue sulla privacy, sia ai fini dell’adeguamento tempestivo alle disposizioni del regolamento stesso.

© Riproduzione riservata
Fonte: