La privacy europea non fa tabula rasa dei provvedimenti del Garante italiano. Il decreto legislativo 10 agosto 2018 li salva, ma solo nella parte in cui sono compatibili con il regolamento Ue 2016/679 e con il codice della privacy, riveduto, corretto e ampiamente falcidiato. Peraltro la norma descrive quanto già operativo dal 25 maggio 2018, data in cui è diventato efficace il regolamento europeo. Altrimenti detto è dal 25 maggio 2018 che bisogna studiare ogni singolo provvedimento del Garante e chiedersi se gli stessi sono o non sono compatibili con il nuovo quadro europeo. Spetta ai titolari del trattamento di fare un’analisi dei vecchi provvedimenti e scoprire quanto possono recuperare.
La questione è che allo stato non c’è un elenco dei provvedimenti compatibili e di quelli incompatibili. E tanto per complicare le cose, molto spesso all’interno di un provvedimento ci sono parti compatibili e parti incompatibili. Tra l’altro va sottolineato che l’impostazione del regolamento Ue inchioda i titolari del trattamento (alias imprese, enti pubblici, professionisti) a cucirsi addosso la regola concreta allineata a norme di principio.
Norme di principio pur sempre da standardizzare in condotte concrete nelle prassi aziendali. Da questo deriva che i titolari del trattamento devono preoccuparsi da loro stessi di fare un’analisi dei vecchi provvedimenti e scoprire quanto possono recuperare per continuare nelle loro prassi già consolidate e sperimentate. Dove c’è un responsabile della protezione dei dati, il titolare del trattamento farà bene a chiedergli informazioni e pareri (articolo 39 del regolamento Ue).
Il responsabile della protezione dei dati non ha solo compiti di sorveglianza, ma ha anche attribuzioni di illustrazione degli adempimenti e di valutazioni di corrispondenza con il regolamento Ue.
Si possono, però, dare alcune indicazioni di carattere generale, non esaustivi, a propositi del giudizio di compatibilità.
In alcuni provvedimenti il Garante individua casi di legittimo interesse al trattamento dei dati ai sensi del vecchio articolo 24, comma 1, del codice della privacy, cioè casi in cui il trattamento non richiede che il titolare raccolga il consenso dell’interessato; si ritiene che questi provvedimenti siano molto utili a individuare casi di legittimo interesse ai sensi dell’articolo 6, paragrafo 1, lett. f), del Regolamento Ue, nel rispetto delle condizioni già prescritte dal Garante.
Esempi di questo filone possono essere, per esempio, i provvedimenti sulla videosorveglianza, sul trattamento dei dati delle morosità condominiali, sulla geolocalizzazione di veicoli aziendali.
Altro filone è rappresentato dalle prescrizioni relative a misure tecniche e organizzative, che possono essere ripresi nelle valutazioni dei rischi (articolo 32 del Regolamento Ue), nelle valutazioni di impatto privacy (articolo 35), da redigere a cura del singolo titolare del trattamento. Il regolamento prevede infatti che il titolare del trattamento realizzi un corposo apparato documentale a comprova della conformità al nuovo quadro normativa.
Le imprese devono avere i documenti che dimostrano che si sono preoccupati degli obblighi e danno conto delle scelte effettuate. Anche gli articoli 5 e 24 del regolamento vanno esattamente in questa direzione, impone maggiore documentazione delle scelte: il titolare del trattamento deve essere in grado di dimostrare di avere ponderato e realizzato misure adeguate.
I provvedimenti del Garante diventano la matrice del modello organizzativo privacy aziendale.
A questo proposito si richiama il Considerando 41 del regolamento Ue, il quale afferma che «qualora il presente regolamento faccia riferimento a una base giuridica o a una misura legislativa, ciò non richiede necessariamente l’adozione di un atto legislativo da parte di un parlamento, fatte salve le prescrizioni dell’ordinamento costituzionale dello Stato membro interessato. Tuttavia, tale base giuridica o misura legislativa dovrebbe essere chiara e precisa, e la sua applicazione prevedibile, per le persone che vi sono sottoposte, in conformità della giurisprudenza della Corte di giustizia dell’Unione europea (la «Corte di giustizia») e della Corte europea dei diritti dell’uomo.»
Sono, invece, superate le parti dei provvedimenti del Garante della privacy in cui si sottolineava la necessità di realizzare adempimenti abrogati, come la notificazione al Garante (articolo 37 del Codice della privacy).
I provvedimenti, invece, devono essere integrati con i nuovi istituti, prima non esistenti, come per esempio il registro trattamento (articolo 30 regolamento).
© Riproduzione riservata
Fonte: