Primi contrasti tra Normativa Italiana e Regolamento Europeo Privacy


Hits: 40

Come può la Legge di Bilancio 2018 appena approvata essere in contrasto con il nuovo Regolamento Europeo Privacy?

C’è da dire che la coda del 2017 ha prodotto diversi riferimenti normativi alla disciplina privacy, non sempre di applicazione chiara.

Partendo dalla Legge 167/2017, entrata in vigore il 12 dicembre 2017, su cui si è molto discusso per le limitazioni introdotte in materia di ricerca scientifica. Con meno scalpore, la stessa legge ha introdotto nuove modifiche, tra cui varrebbe la pena soffermarsi, sulle nomine ai responsabili del trattamento dei dati.

Ma già il 22 dicembre 2017 è passato in Senato altro provvedimento che interviene sul telemarketing, di cui si fa notare un presumibile contrasto con il diritto della UE e con il principio di libertà del consenso individuale.

In ultimo, 27 dicembre 2017, la Legge di bilancio 2018.

Nella lettura della nuova legge di Bilancio 2018 si incontrano articoli che fanno esplicito riferimento alla normativa privacy.

Alcuni di questi, forse, inutili e ripetitivi e su cui  diventa anche superfluo scrivere, oltre quanto sia già stato scritto da altri.

Tralasciamo, quindi, gli articoli 1020 e 1021. Vale la pena concentrare l’interesse sui due successivi, tenendo presente che il tema riguarda i trattamenti svolti da Titolari sulla base di interessi legittimi.

L’articolo 1022 re-introduce l’obbligo di notificazione per i Titolari che effettuino “un trattamento fondato sull’interesse legittimo che prevede l’uso di nuove tecnologie o di strumenti automatizzati”, i quali devono “darne tempestiva comunicazione al Garante per la protezione dei dati personali.”

Il Titolare, prima di procedere al trattamento, deve inviare al Garante un’informativa relativa all’oggetto, alle finalità  e  al contesto del trattamento.

Trascorsi  quindici  giorni  lavorativi  dall’invio dell’informativa, in assenza di risposta da parte del Garante, il titolare può procedere al trattamento.

Stando all’articolo 1023, il Garante per la protezione dei dati personali dovrà effettuare un’istruttoria sulla base dell’informativa ricevuta dal Titolare. Qualora il Garante ravvisi il rischio che dal trattamento possa derivare una lesione dei diritti e delle libertà dei soggetti interessati, disporrà una moratoria del trattamento per un periodo massimo di trenta giorni, utile anche all’acquisizione di ulteriori informazioni e integrazioni.

Tuttavia, qualora permanga il giudizio della lesione dei diritti e delle libertà del soggetto interessato, il Garante dispone l’inibitoria all’utilizzo dei dati.

Di fatto, viene reintrodotto un nuovo obbligo di notificazione/autorizzazione preventiva unicamente nell’ordinamento italiano. Proprio mentre nel resto della UE, in palese contrasto, dal 25 maggio 2018 il GDPR 2016/679 elimina le notificazioni e riduce in modo drastico il ricorso alle autorizzazioni. La stessa consultazione preventiva è prevista in limitate circostanze.

Fermo restando l’apprezzamento degli sforzi nel tentativo di messa in atto della Legge 163/2017, resta la perplessità sulla modalità con cui ciò avviene.

Magari avremmo preferito interventi organici e maggiormente strutturati in grado di dare un contributo di chiarezza applicativa, magari non all’interno della Legge di Bilancio.

Sarà piena  responsabilità del DPO, ancora una volta, trovare la giusta applicazione di norme che non sembrano essere nate per perseguire le stesse finalità. Ma prima, aspettiamo il pronunciamento del Garante (che ancora non è arrivato) e del Comitato Europeo per la Protezione dei Dati.

 

Lascia un commento