NEWS

Antonio Ciccia Messina

Nel procedimento di “reclamo privacy”, le prerogative difensive del titolare del trattamento sono bilanciate e, talvolta, messe in secondo piano rispetto all’esigenza di arrivare a una decisione sull’applicazione delle misure correttive e delle sanzioni. L’interpello preventivo dell’interessato, non previsto dal Gdpr, si inserisce nelle prime battute del flusso del procedimento di reclamo, a cui è dedicata la Circolare n.2/2019 di Federprivacy

I dati dei lavoratori non si trattano in base al loro consenso. Se si segue questa strada (sbagliata), al datore di lavoro può arrivare una sanzione molto salata. Come è successo a una grande società (Price Waterhouse Business Solution), sanzionata dal Garante della privacy greco a pagare 150 mila euro. Il provvedimento, n. 26/2019, si segnala anche per un altro motivo. Il Garante greco ha sanzionato per la violazione dell'articolo 5 del Gdpr, che è una disposizione formulata in maniera generalissima, tale da essere applicata per ogni violazione, piccola o grande, sostanziale o formale, anche quando non si accerta la violazione di una norma specifica.

L’amministratore di sistema è compatibile con la disciplina dell’accountability del Regolamento UE 2016/679 (GDPR). Ciò perché è una figura soggettiva, centro di imputazione di attività/funzioni relativi al trattamento dei dati personali, con l’obiettivo, assolutamente allineato al GDPR, di elevare le condizioni di sicurezza del trattamento medesimo.

Il governo, elettronico e analogico, delle pubbliche amministrazioni deve fare i conti con il Gdpr (regolamento Ue 2016/679) e le regole tutte sulla protezione dei dati. La posta in gioco è la liberta del cittadino, che merita l’applicazione effettive di regole a tutela della incolumità dei suoi dati.

Le strategie di difesa di fronte alla contestazione di avere violato le norme sulla privacy sono di diversa natura: si può contestare la sussistenza della possibilità stessa di sanzionare; oppure si può mettere in evidenza la ragione per la quale è sufficiente un ammonimento al posto della sanzione pecuniaria; oppure si possono mettere in evidenza le condizioni che portano ad una attenuazione dell’importo della sanzione pecuniaria.

Creazione di una funzione aziendale “prevenzione reclami” e focus sulle occasioni di ravvedimento operoso in ottica di minimizzazione del rischio “sanzioni” da un lato (per il data controller); opportunità di interpellare il titolare del trattamento prima della presentazione del reclamo, dall’altro lato (per il data subject) : sono questi alcuni spunti per la gestione pratica delle forme di tutela previste dal regolamento del Garante sui reclami. In effetti il GDPR ha cambiato le carte in tavola: ha detto addio ai ricorsi e ha emancipato i reclami.

Il Data Protection Officer, o Responsabile della Protezione dei dati (RPD) svolge un ruolo fondamentale nell’iter della valutazione di impatto sulla protezione dei dati (DPIA). L’articolo 35, paragrafo 2, RGPD prevede in modo specifico che il titolare “si consulta” con il RPD, quando svolge una DPIA.  Inoltre l’articolo 39, paragrafo 1, lettera c) affida al RPD il compito di “fornire, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35”.

La P.A. deve essere una casa di vetro, non certo per esporre il cittadino nudo, ma per garantire il controllo sul potere. Il bilanciamento tra riservatezza individuale e trasparenza dell’esercizio della amministrazione pubblica è un’operazione di per sé precaria, ma non si devono sacrificare oltre misura i diritti dei singoli. Il problema è che il sistema del bilanciamento diffuso sta originando risposte “caso per caso” senza additare orientamenti consolidati.

L’articolo 37, par. 1, del GDPR prevede che il titolare e il responsabile del trattamento designino il responsabile della protezione dei dati (c.d. DPO). Il Garante per la protezione dei dati personali spiega che l'atto di designazione è parte costitutiva dell'adempimento. Questo vale sia nel caso in cui si designi un interno, sia ovviamente nel caso di DPO esterno.

I dati di contatto di una persona giuridica non sono un dato personale. Lo dice il Considerando 14 del Regolamento UE 2016/679, che esclude l’applicazione del Gdpr ai dati di contatto degli enti plurisoggettivi (che abbiano o meno la personalità giuridica, come intesa nell’ordinamento italiano). Ma il problema, che sta creando un discreto caos, è che cosa debba intendersi per dato di contatto.

Prev12Next
Pagina 1 di 2

Paolo Balboni spiega gli scenari della privacy europea alla luce del Dgls 101/2018

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
captcha 
Privacy e Termini di Utilizzo