logo

Privacy: le novità introdotte dalla Legge europea 2017

Circolari 09.12.2017
L'art. 28 della Legge europea 2017 (legge n. 167/2017), che entrerà in vigore il prossimo 12 dicembre, è intervenuto sulle disposizioni del Codice privacy: 1) modificando la norma che disciplina la figura del responsabile del trattamento (art. 29 del Codice privacy); 2) inserendo una nuova norma sul riutilizzo dei dati per finalità di ricerca scientifica e per scopi statistici (art. 110-bis del Codice privacy). Quanto al responsabile del trattamento (che, in base alla disciplina ancora oggi vigente, è una figura facoltativa, salvi i casi in cui i provvedimenti del Garante privacy ne abbiano previsto la designazione obbligatoria), vengono qualificati in tal senso i soggetti pubblici o privati di cui il titolare si avvale per il trattamento dei dati personali (art. 29, co. 4-bis del Codice privacy). Ai fini di tale qualificazione, poi, è richiesta la prestazione da parte del soggetto di idonee garanzie del rispetto della disciplina privacy, nonché la stipula di atti giuridici in forma scritta, che specificano la finalità perseguita, la tipologia di dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento (art. 29, co. 4-bis del Codice privacy).

Sul piano operativo, tali novità sembrerebbero prevedere l’obbligo di nominare responsabili del trattamento i soggetti, si presume esterni all’organizzazione del titolare, cui lo stesso affida attività comportanti trattamento dei dati per suo conto, anticipando quanto previsto dal GDPR. Infatti, il nuovo Regolamento, con riferimento ai soggetti che trattano dati per conto del titolare (cd. outsourcer), prevede l'obbligo di nominarli responsabili del trattamento mediante contratti o altri atti giuridici, che stipuli(no) la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie degli interessati, gli obblighi e i diritti del titolare del trattamento (art. 28 del GDPR).

Sul piano organizzativo, la nomina obbligatoria sembrerebbe valere solo per il responsabile esterno: la novella legislativa, infatti, ha confermato la natura facoltativa della figura ai sensi dell’art. 28, co. 1 del Codice privacy che, per l’effetto delle citate novità, dovrebbe continuare a valere per l’organizzazione privacy interna e riguardare, fino all'entrata in operatività del GDPR, i responsabili interni. Si ricorda, infatti, che con l’entrata in operatività del nuovo Regolamento, la figura del responsabile interno dovrà considerarsi superata, ferma la facoltà del titolare di continuare ad affidare a soggetti interni, per mere finalità organizzative, specifici compiti o deleghe di potere.

Considerata l’imminente entrata in vigore delle nuove disposizioni, che dovrebbero comportare l’aggiornamento degli contratti in essere per i quali l’outsourcer non sia stato nominato responsabile del trattamento, Confindustria ha chiesto agli Uffici del Garante privacy chiarimenti in ordine alla portata e gli effetti dei nuovi obblighi, anche alla luce del fatto che gli atti giuridici di designazione dovrebbero essere adottati in conformità a schemi tipo predisposti dal Garante, ma non ancora disponibili. Appena avremo un riscontro da parte dei rappresentanti dell’Autorità, sarà nostra cura informarVi tempestivamente al riguardo.

Infine, quanto alla nuova norma sui trattamenti in ambito scientifico e statistico (art. 110-bis del Codice privacy), si consente di riutilizzare per finalità di ricerca scientifica e per scopi statistici i dati, anche di natura sensibile, ma non di tipo genetico, purchè siano adottate forme preventive di minimizzazione e di anonimizzazione. Il riutilizzo è consentito previa autorizzazione del Garante privacy, che si pronuncia entro 45 giorni dalla richiesta, decorsi inutilmente i quali, la stessa si considera respinta. 

Anche sulla portata di tale nuova previsione, Confindustria ha chiesto delucidazioni agli Uffici dell’Autorità.