Obbligo di notifica preventiva al Garante Privacy se il trattamento dei dati persegue un interesse legittimo

Diritto

Obbligo di notifica preventiva al Garante Privacy se il trattamento dei dati persegue un interesse legittimo

Sarà il Garante dei dati personali che, secondo l’art. 1 comma 1020 della Legge di bilancio 2018, avrà il compito di adeguare la normativa privacy interna al Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (regolamento RGDP), con l’onere di garantire la tutela dei diritti fondamentali e delle libertà dei cittadini.

A tal fine, il Garante per la protezione dei dati personali, con proprio provvedimento dovrà adottare, entro i prossimi due mesi, la disciplina che regoli:

le modalità attraverso cui il Garante stesso monitora l’applicazione del regolamento RGPD e vigila sulla sua applicazione;
le modalità di verifica, anche attraverso l’acquisizione di informazioni dai titolari dei dati personali trattati per via automatizzata o tramite tecnologie digitali, della presenza di adeguate infrastrutture per l’interoperabilità di formati con cui i dati sono messi a disposizione dei soggetti interessati, sia ai fini della portabilità dei dati - ai sensi dell’art. 20 del RGDP - che ai fini dell’adeguamento tempestivo alle disposizioni del regolamento stesso;
definire linee-guida o buone prassi in materia di trattamento dei dati personali basato sull’interesse legittimo del titolare.

Inoltre, per ottemperare a quanto stabilito dal Regolamento UE n. 679, la Legge di bilancio, all’art. 1 commi 1021 e 1022, prescrive che il Garante debba predisporre un modello di informativa che i titolari del trattamento saranno tenuti a compilare, per trattamenti fondati sull’interesse legittimo che prevedono l’uso di nuove tecnologie o di strumenti automatizzati. Il Regolamento UE stabilisce infatti che il titolare, ove effettui un trattamento che persegue un interesse legittimo che prevede l’uso di nuove tecnologie o di strumenti automatizzati, prima di procedere al trattamento suddetto, debba darne tempestiva comunicazione al Garante per la protezione dei dati personali. A tale fine, la legge di bilancio prevede che il titolare sia tenuto a compilare un modello di informativa predisposto dal Garante e ad inviarlo al Garante stesso, chiarendo l’oggetto, le finalità e il contesto del trattamento. Trascorsi quindici giorni lavorativi dall’invio dell’informativa, in assenza di risposta da parte del Garante, il titolare potrà procedere al trattamento.

A seguito della ricezione dell’informativa di cui al comma 1022 della Legge di Bilancio, il Garante per la protezione dei dati personali dovrà effettuare un’istruttoria e, ove ravvisi il rischio che dal trattamento derivi una lesione dei diritti e delle libertà dei soggetti interessati, disporrà la moratoria del trattamento per un periodo massimo di trenta giorni. In tale periodo, il Garante potrà chiedere al titolare ulteriori informazioni e integrazioni, da rendere tempestivamente, e, qualora ritenga che dal trattamento derivi comunque una lesione dei diritti e delle libertà del soggetto interessato, ordinerà l’inibitoria all’utilizzo dei dati.

Per tali adempimenti, è autorizzata la spesa di 2 milioni di euro annuali.