Una disposizione introdotta alla Camera nel Ddl. di bilancio prevede che l’Autorità vari un provvedimento ad hoc
Il testo del Ddl. di bilancio 2018, così come modificato dai lavori della Commissione Bilancio alla Camera e sul quale ieri la Camera ha votato la questione di fiducia, disciplina l’adeguamento del quadro normativo interno al Regolamento (UE) 679/2016, relativo alla protezione delle persone fisiche sotto i due profili del trattamento dei dati personali e della libera circolazione degli stessi.
Il Regolamento – che non necessita di recepimento – è entrato in vigore il 24 maggio 2016, ma la sua applicazione è stata posticipata al 25 maggio 2018 (art. 99). A decorrere dalla medesima data viene abrogata la Direttiva (CE) 95/46 contenente il regolamento generale sulla protezione dei dati, anche sulla base della quale è stato emanato il Codice della protezione dei dati personali di cui al DLgs. 196/2003 (Codice della privacy).
In merito, si segnala ancora che con l’art. 13 della L. 163/2017 (legge di delegazione europea 2016-2017), il Governo è stato delegato a provvedere all’adeguamento mediante uno o più decreti legislativi, adottati su proposta del Presidente del Consiglio dei Ministri e del Ministro della Giustizia, di concerto con i Ministri degli Affari esteri e della Cooperazione internazionale, dell’Economia e delle finanze, dello Sviluppo economico e per la Semplificazione e la Pubblica Amministrazione, in conformità ad alcuni criteri e principi.
Il Ddl. di bilancio prescrive in capo al Garante per la protezione dei dati personali l’obbligo di assicurare la tutela dei diritti fondamentali e delle libertà dei cittadini; Garante che, con proprio provvedimento, da adottare entro due mesi dalla data di entrata in vigore della legge di bilancio 2018, dovrà disciplinare le modalità di monitoraggio e vigilanza sulla applicazione del Reg. UE 679/2016.
Dovrà, inoltre, verificare, anche attraverso l’acquisizione di informazioni dai titolari dei dati personali trattati “per via automatizzata o tramite tecnologie digitali” la sussistenza di adeguate infrastrutture per l’interoperabilità dei formati con cui i dati sono messi a disposizione dei soggetti interessati, ciò sia per la loro portabilità sia per l’adeguamento.
Il Garante, poi, con il medesimo provvedimento, dovrà, in caso di trattamento dei dati personali fondato sull’interesse legittimo del titolare del trattamento, oltre a definire linee guida o buone prassi in materia, predisporre un modello di informativa, qualora sia previsto l’uso di nuove tecnologie o di strumenti automatizzati.
In questa specifica ipotesi, il titolare del trattamento deve darne “tempestiva” comunicazione al Garante, mediante invio, prima del trattamento stesso, di tale informativa in cui dovrà specificare oggetto, finalità e contesto del trattamento stesso.
Il titolare può procedere al trattamento qualora siano decorsi 15 giorni lavorativi dall’invio dell’informativa, in assenza di risposta del Garante, il quale effettua un’istruttoria sulla base dell’informativa ricevuta.
Diversamente, se il Garante ravvisi il rischio di una lesione dei diritti e delle libertà dei soggetti interessati dal trattamento, può disporre una moratoria del trattamento (per un periodo massimo di 30 giorni), con la richiesta eventualmente di ulteriori informazioni e integrazioni. Il Garante potrà disporre l’inibitoria all’utilizzo dei dati, se all’esito dell’approfondimento, ritiene che il trattamento comporti una lesione dei diritti e delle libertà degli interessati.