Il Garante per la privacy ha elaborato una prima Guida all'applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali.

La Guida traccia un quadro generale delle principali innovazioni introdotte dalla normativa e fornisce indicazioni utili sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa che sarà pienamente efficace dal 25 maggio 2018.

L'obiettivo della Guida è duplice: da una parte offrire un primo "strumento" di ausilio alle imprese che stanno affrontando il passaggio alla nuova normativa privacy; dall'altro far crescere la consapevolezza sulle garanzie rafforzate e sui nuovi importanti diritti che il Regolamento riconosce alle persone.

Il testo della Guida è articolato in 6 sezioni tematiche: Fondamenti di liceità del trattamento; Informativa; Diritti degli interessati; Titolare, responsabile, incaricato del trattamento; Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili; Trasferimenti internazionali di dati.

Ogni sezione illustra in modo semplice e diretto cosa cambierà e cosa rimarrà immutato rispetto all'attuale disciplina del trattamento dei dati personali, aggiungendo preziose raccomandazioni pratiche per una corretta implementazione delle nuove disposizioni introdotte dal Regolamento.

Il regolamento conferma che ogni trattamento deve trovare fondamento in un'idonea base giuridica; i fondamenti di liceità del trattamento sono indicati all'art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati).

Tra le novità si segnala che nel caso di dati personali non raccolti direttamente presso l'interessato (art. 14 del regolamento), l'informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all'interessato), diversamente da quanto prevede attualmente l'art. 13, comma 4, del Codice.

Inoltre il termine per la risposta all'interessato è, per tutti i diritti (compreso il diritto di accesso), di 1 mese, estendibili fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all'interessato entro 1 mese dalla richiesta, anche in caso di diniego.

Il regolamento disciplina anche la contitolarità del trattamento (art. 26) e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all'esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente.

Infine il regolamento fissa i requisiti per l'approvazione delle norme vincolanti d'impresa e i contenuti obbligatori di tali norme. L'elenco indicato al riguardo nel paragrafo 2 dell'art. 47 non è esaustivo e, pertanto, potranno essere previsti dalle autorità competenti, a seconda dei casi, requisiti ulteriori. Ad ogni modo, l'approvazione delle norme vincolanti d'impresa dovrà avvenire esclusivamente attraverso il meccanismo di coerenza di cui agli artt. 63-65 del regolamento, ossia, è previsto in ogni caso l'intervento del Comitato europeo per la protezione dei dati.