NEWS

Paolo Marini

Avvocato in Firenze, consulente di imprese e autore di libri, commenti, note a sentenze e altri contributi, impegnato nei settori del diritto e della procedura civile, della normativa in materia di protezione dei dati personali e sulla responsabilità amministrativa degli enti e delle persone giuridiche.

Nel linguaggio degli addetti ai lavori sono denominati correntemente 'sub-responsabili', mentre l'art. 28 del Regolamento UE 2016/679 li chiama “altri responsabili”, la sostanza è comunque la stessa: si intendono per costoro quei soggetti cui si rivolge il responsabile quando intenda sub-affidare in tutto o in parte il servizio (con il connesso trattamento dei dati) del cui svolgimento ha ricevuto incarico dal titolare. Si tratta di una opportunità denegata, in Italia, dal pre-vigente art. 29 del Codice privacy, che contemplava unicamente nomine dirette da parte del titolare, nella formale indifferenza rispetto ad un fenomeno che nella realtà del mercato era ed è, invece, assai diffuso ed importante.

Vogliamo affrontare il tema dell'accountability del titolare - come impostata dal Regolamento UE 2016/679 (a partire dall'art. 24, per poi essere rinvenuta, ancora in termini generali, negli artt. 5, 25, 32) - sapendo per esperienza che, in particolare nelle PMI e nelle piccole organizzazioni, permane un problema di attenzione continuativa ed effettiva alle esigenze/misure della protezione dei dati personali.  Ecco allora emergere la necessità di un appuntamento periodico e, per così dire, 'strategico', nel quale il titolare possa applicare/esercitare consapevolezza della responsabilità, coscienza (auto)critica, aderenza a fatti/evidenze oggettive, ascolto dei più stretti collaboratori, generalità ovvero integralità dell'approccio, tensione verso il miglioramento continuo e capacità di pianificazione.  Questo appuntamento è, inevitabilmente, quello del riesame di direzione.

Qual è la corretta qualificazione soggettiva, dal punto di vista della normativa 'data protection', di un cloud provider? E' un responsabile o piuttosto un titolare del trattamento? L'argomento è stato oggetto di numerose riflessioni e dibattiti nel corso del tempo e, alla luce delle disposizioni del Regolamento UE 2016/679, merita di essere ulteriormente sviscerato e, per quanto possibile, definito.

Il presente contributo prende spunto dalla prassi di rivolgere agli istituti di credito istanze di accesso informativo/documentale indifferentemente ai sensi dell'art. 15 del Regolamento UE 2016/679 (una sorta di successore universale dell'art. 7 del Codice della privacy ante-riforma) e dell'art. 119 della legge 385 del 1 settembre 1993 (Testo Unico delle leggi in materia bancaria e creditizia).

Dal 1 gennaio 2021, come sappiamo, al termine del periodo di transizione il Regno Unito sarà da trattare a tutti gli effetti quale Paese terzo (in realtà, sul piano giuridico, lo è già dal 1 febbraio 2020), in particolare – per quel che qui rileva – con riferimento alla applicazione della normativa sulla protezione dei dati personali. Ciò significa che la comunicazione/trasmissione di dati a soggetti ivi stabiliti da parte di titolari/responsabili nell'Unione Europea si trasformerà in una operazione od un complesso di operazioni denominate come 'trasferimento', così come configurato e disciplinato dal Capo V del Regolamento UE 2016/679.

L'art. 97 è una delle disposizioni meno citate del Regolamento UE 2016/679 e tuttavia ha una sua rilevanza nella misura in cui formalizza un principio importante (ribadito dall'art. 98 per gli altri atti legislativi dell'Unione in materia di protezione dei dati), anche se scontato: il Regolamento non è le Tavole della Legge di Mosè e nel corso del tempo potrebbe essere inciso da modifiche.

Lo Schema ISDP 10003:2020 ha tradotto i 99 articoli e i 173 considerando del Gdpr in controlli operativi – Con esso non si certifica il sistema di gestione, che pure sussiste, bensì il processo, il prodotto, il servizio - Lo Schema è gratuito ed è arricchito da una check list che può essere utilizzata per una verifica del gap dell'organizzazione rispetto ai requisiti in esso ordinati.

E' sicuro che la decisione della Corte di Giustizia dell'Unione Europea nella causa C-311/18 del 16 luglio 2020 - la c.d. sentenza “Schrems II” - dovrà essere ricordata e metabolizzata per qualcosa di più che per il colpo di ghigliottina inferto al “Privacy Shield”.  C'è, in buona sintesi, un argomento/punto – certo non nuovo! - su cui deve/dovrà concentrarsi l'attenzione degli interpreti e degli operatori. Con la domanda di pronuncia pregiudiziale, il giudice del rinvio ha interrogato la CGUE sulla applicabilità del Regolamento UE 2016/679 (d'ora in poi anche solo 'Regolamento') a trasferimenti di dati personali fondati su clausole tipo di protezione contenute nella decisione 2010/87, sul livello di protezione richiesto nel quadro di un trasferimento siffatto e sugli obblighi correlativamente incombenti sulle autorità di controllo.

Al “Privacy Shield” è toccato, in sostanza, il destino del “Safe Harbor” – Nella decisione della Corte di Giustizia ha pesato, segnatamente, il primato delle esigenze di sicurezza nazionale, interesse pubblico e amministrazione della giustizia, tale da consentire ingerenze del governo nei diritti fondamentali delle persone fisiche i cui dati sono trasferiti alle imprese U.S.A. – A ciò si è aggiunta la verifica della mancanza di garanzie di indipendenza, rispetto al Dipartimento di Stato U.S.A., della figura del Mediatore dello “Scudo Privacy”, in contrasto con l’articolo 47 della Carta dei Diritti Fondamentali dell'Unione Europea.

Una tabella per mettere a confronto le cautele/caratteristiche definite per la 'app' “Immuni” dall'art. 6 (“sistema di allerta Covid-19”) del Decreto Legge n. 28 del 30 aprile 2020 con i principali requisiti definiti dall'European Data Protection Board (Comitato europeo per la protezione dei dati) nelle recenti Linee Guida n. 4/2020 (l'adozione è del 21 aprile scorso) sull'uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al Covid-19.

Prev1234Next
Pagina 3 di 4

Tavola rotonda su privacy e intelligenza artificiale nel mondo del lavoro

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy