IT EN

In Evidenza

Autore: Giulio Monga


Protezione dei Dati Personali

Otto mesi di GDPR

Il 28 gennaio si è celebrato il Data Protection Day 2019. Un’occasione che, in Europa, è stata utile per stilare un primo bilancio sull’efficacia della nuova normativa in materia di tutela dei dati personali nel Vecchio Continente, a otto mesi dall’effettiva entrata in vigore del Regolamento 2016/679/UE (“GDPR”).

Questi primi mesi di assestamento hanno visto, secondo quanto asserito dalla Commissione Europea, la presentazione di circa 95.000 ricorsi innanzi alle Autorità di Controllo dei vari paesi dell’Unione. Uno di questi ricorsi, di recente, si è chiuso con la sanzione di 50 milioni di euro erogata dal CNIL (Commission nationale de l'informatique et des libertés – Autorità di Controllo francese) a Google LLC per violazione dei diritti degli utenti alla trasparenza delle informazioni e per l’assenza di una adeguata base giuridica per i trattamenti posti in essere dal colosso californiano che riguardano la personalizzazione di annunci pubblicitari rivolti ai propri utenti.

Degna di nota anche la decisione della Commissione Europea con la quale, il 23 gennaio 2019, l’Esecutivo comunitario ha riconosciuto il Giappone quale paese in cui vi è un adeguato livello di protezione dei dati personali.

Documenti, pareri e linee guida

Questo periodo è stato anche contraddistinto da una serie di documenti, pareri e linee guida per meglio chiarire la portata effettiva del GDPR, che sono state emanate dall’European Data Protection Board (“EDPB”), ossia il consesso che riunisce le autorità di controllo di tutti i paesi UE e che, con l’avvento del nuovo Regolamento, ha sostituito il WP29.  In particolare, l’EDPB ha emesso le seguenti linee guida:

  • EDPB Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679 - version for public consultation. Questo documento approfondisce il tema degli organismi di certificazione ai sensi degli artt. 42 e 42 GDPR.

  • EDPB Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679. Questo documento riguarda l’interpretazione dell’art. 49 GDPR, il quale prevede delle possibili deroghe per effettuare i trasferimenti di dati personali verso paesi terzi in assenza di decisioni di adeguatezza o di garanzie adeguate ai sensi dell’art. 46 GDPR.

  • EDPB Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) - version for public consultation. Questo documento, al momento in versione per la pubblica consultazione, fornisce dei chiarimenti interpretativi sull’ambito di applicazione territoriale del GDPR.

  • EDPB Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679). Questo documento riguarda le procedure di accreditamento per gli Organismi di Certificazione di cui all’art. 43 del GDPR.

  • Endorsement of GDPR WP29 Documents. Documento con cui l’EDPB, nella sua prima sessione plenaria, ha riconosciuto il valore di alcuni documenti emanati dal vecchio WP29.

L’EDPB, inoltre, ha emesso una serie di pareri relativi a documenti ricevuti dalle Autorità di Controllo degli Stati membri, nelle quale erano contenute delle proposte di elenchi di materie per cui, ai sensi dell’art. 35, par. 5, GDPR, le stesse Autorità di Controllo reputano obbligatoria la realizzazione di una Valutazione d’Impatto sulla Protezione dei Dati (“DPIA”).

Anche il Garante italiano, come detto, ha emanato una serie di documenti utili con riferimento al GDPR:

  • Guida all´applicazione del Regolamento europeo in materia di protezione dei dati personali.

  • Violazioni di dati personali (data breach), in base alle previsioni del Regolamento (UE) 2016/679.

  • Faq sul Responsabile della Protezione dei dati (RPD) in ambito privato;

  • Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico;

  • Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679.

  • Provvedimento che individua le prescrizioni contenute nelle Autorizzazioni generali nn. 1/2016, 3/2016, 6/2016, 8/2016 e 9/2016 che risultano compatibili con il Regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice.

L’ultimo dei provvedimenti citati, in particolare, risulta assai rilevante dal punto di vista interno, in quanto si tratta di un documento che, ai sensi dell’art. 21 D.Lgs. 101/2018, individua le autorizzazioni già emanate dallo stesso Garante prima dell’entrata in vigore dello stesso e che restano valide anche dopo l’avvento della nuova normativa.

04 LEGAL & QUICK CONTACT