Nel caso di violazioni dei dati personali il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista) senza indebiti ritardi e, se possibile, entro 72 ore dalla scoperta, deve notificare la violazione al Garante per la protezione dei dati personali, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.

Le fotografie di minori sono materiale delicato: non tutti hanno diritto di caricare le foto sul profilo social. Se papà e mamma divorziano, il nuovo partner di uno dei genitori non può, senza il consenso dell’altro genitore, pubblicare le foto di figli dell’ex coppia.

La nomina di autorizzato al trattamento dei dati è un adempimento di cruciale importanza per il titolare del trattamento. A tale riguardo la regola è la libertà di forme: è il titolare del trattamento che deve e può decidere attraverso quali modalità rendere riconoscibile che un certo soggetto è stato autorizzato al trattamento di dati personali. All’interno di questa libertà di forma, tuttavia, deve essere assicurato un risultato: poter ricostruire “chi fa che cosa”. Disponibile nell'area riservata del sito di Federprivacy un apposito kit completo di modelli specifici per settori.

È eccessivo scattare foto al passeggero del trasporto pubblico che non ha un biglietto valido per contestargli la sanzione amministrativa. A questo risultato si giunge attraverso un’analisi del flusso dei dati nel caso in cui non ci sia un archivio fotografico per fare il raffronto delle immagini e il rintraccio del nome. Altra questione è la raccolta di prove per contestare reati.

Lo stato avanzamento lavori, al 31 dicembre 2018, della privacy a tinte europee evidenzia, tra le cose fatte, la cernita delle disposizioni di codici deontologici e delle autorizzazioni generali compatibili con il Regolamento generale Ue n. 2016/679 sulla protezione dei dati (Rgpd); mentre sono ancora in lavorazione una serie di adempimenti e provvedimenti, tra cui le misure di garanzia in ambito sanitario oppure le semplificazioni per le piccole e medie imprese e così via.

La valutazione di impatto sulla privacy, unitamente ad altri adempimenti formali come la tenuta dei registri del trattamento, sostituisce l’obbligo generale di notifica alle autorità di controllo del trattamento dei dati personali. Il Garante per la protezione dei dati personali ha espressamente individuato le operazioni che possono presentare rischi elevati per i diritti e le libertà di cittadini, imprese e professionisti e, di conseguenza, soggette alla valutazione di impatto. Le aziende e le Pubbliche amministrazioni che effettuano trattamenti di dati possono, quindi, conoscere se sono assoggettate a tale obbligo.

Nessuna aspettativa di deroghe o proroghe per l'operatività del GDPR, ma permangono incertezze per aziende pubbliche e private su aspetti in cui il Regolamento rimanda alle normative nazionali. Ancora atteso in Italia un nuovo decreto legislativo di adeguamento alle regole UE, ma dal 25 maggio scatteranno comunque le sanzioni, mentre gli interessati potranno esercitare e far valere più estesi diritti. Sei i principali punti fermi messi a fuoco nell'ultima circolare di Federprivacy sulle questioni di diritto transitorio.