Legge di Bilancio 2018 in contrasto con il GDPR

GDPR e ruolo centrale del Garante. I nuovi adempimenti previsti dal regolamento per la protezione dei dati personali e le specifiche attuazioni previste nella legge di Bilancio 2018

Nella legge di Bilancio 2018 (legge 27 dicembre 2017, n. 205; G.U. n.302 del 29 dicembre 2017) vi sono specifiche previsioni, nei commi 1020 – 1025 dell’art. 1, riguardo al trattamento dei dati personali per la cui attuazione è autorizzata una spesa di 2 milioni di euro annui a decorrere dal 2018.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Un ruolo centrale viene assegnato al Garante per la protezione dei dati personali che non solo deve assicurare la tutela dei diritti fondamentali e delle libertà dei cittadini, ma adottare un provvedimento specifico entro due mesi dall’entrata in vigore della legge di bilancio tramite il quale:

  1. Disciplinare le modalità di monitoraggio e vigilanza sull’applicazione del Regolamento Europeo;
  2. Disciplinare le modalità di verifica della presenza di adeguate infrastrutture per l’interoperabilità dei formati con cui i dati sono messi a disposizione dei soggetti interessati, sia ai fini della portabilità dei dati, disciplinata dall’art. 20 del GDPR, sia ai fini del tempestivo adeguamento alle disposizioni del regolamento stesso;
  3. Predisporre un modello di informativa per titolari del trattamento di dati personali che effettuano un trattamento fondato sull’interesse legittimo mediante l’uso di nuove tecnologie o strumenti automatizzati;
  4. Definire linee-guida e buone prassi in materia di trattamento dei dati personali fondato sull’interesse legittimo del titolare.[spacer color=”8BC234″ icon=”fa-info” style=”1″]

    Data Manager mette a disposizione un White Paper a download gratuito sul GDPR.

    Un documento completo per affrontare in maniera esaustiva tutto ciò che c’è da sapere per essere in regola

    Clicca qui per scaricarlo gratuitamente

    [spacer color=”8BC234″ icon=”fa-info” style=”1″]

Lascia perplessi quanto previsto dai commi 1022 e 1023 dell’articolo 1 della legge di Bilancio, i quali sembrano inserire nuovamente quanto disciplinato dall’art. 37 e seguenti del D.Lgs.196/2003 in materia di notificazione del trattamento che il GDPR ha sostituito con il registro delle attività di trattamento, disciplinato all’articolo 30, e la DPIA – Data Protection Impact Assessment, disciplinata agli articoli 35 e 36.

Il titolare del trattamento dei dati personali (art. 4, num. 7, GDPR) ove effettui un trattamento come da punto c), deve darne tempestiva comunicazione al Garante, inviando l’informativa relativa all’oggetto, alle finalità e al contesto del trattamento. L’Autorità ha poi a disposizione 15 giorni per fornire riscontro, trascorsi i quali il titolare può procedere al trattamento dei dati. Il Garante, effettuata l’istruttoria sulla base dell’informativa, può intervenire, sospendendo il trattamento per un periodo massimo di 30 giorni per richiedere ulteriori informazioni e integrazioni. Nel caso in cui l’Autorità, al termine di questo iter, ritenga che dal trattamento derivi una lesione dei diritti e delle libertà del soggetto interessato, dispone l’inibitoria all’utilizzo dei dati raccolti.  Ai sensi del nuovo regolamento, effettivamente applicabile a partire dal prossimo 25 maggio, il titolare e il responsabile del trattamento devono invece produrre e conservare il registro delle attività di trattamento effettuate, il quale rappresenta – insieme alla valutazione di impatto privacy o DPIA – sopra richiamata, un adempimento formale, sostitutivo, nell’ordinamento italiano, proprio dell’obbligo di notificare il trattamento all’Autorità Garante.

Quanto al DPIA, esso si inserisce nel principio di accountability, quale documento incentrato sulla valutazione di impatto soprattutto in presenza di trattamenti che comportano l’utilizzo di nuove tecnologie. Solo se da tale valutazione emerge che il rischio per la protezione dei dati non risulta ragionevolmente attenuato, è opportuno consultare l’Autorità garante prima dell’inizio del trattamento (verifica preliminare).

L’art. 1, comma 1024, della legge di Bilancio 2018 prevede, infine, che il Garante per la protezione dei dati personali elabori una relazione annuale sulla propria attività ai sensi dell’art. 154, comma 1, lett. m), del Codice Privacy anche se non si capisce, visto il momento storico, per quale ragione il riferimento normativo non sia all’art. 59 del nuovo regolamento europeo, relazione da trasmettere “al parlamento nazionale, al governo e alle altre autorità designate dal diritto dello Stato membro” e a “disposizione del pubblico, della Commissione e del comitato”.


Simona Cerone consultant Colin & Partners – www.consulentelegaleinformatico.it

[amazon_link asins=’B079V3BFSX,B079WYBGJ2,8890341912′ template=’ProductCarousel’ store=’dmo0e-21′ marketplace=’IT’ link_id=’fa8bddd7-22c2-11e8-a67e-5163bed9a305′]

Leggi anche:  Cinque aspetti degli attacchi ibridi che ogni SOC dovrebbe conoscere