Il Regolamento UE 2016/679
Il Regolamento UE 2016/679 non contiene una formale bipartizione tra titolari [2] pubblici e privati e non contiene nemmeno norme specifiche dedicate al settore privato e pubblico, ma si occupa in generale delle condizioni di liceità del trattamento (v. art. 6 e art.9, comma 2, per i dati sensibili), anche se poi, come vedremo tra breve, alcune di esse riguardano esclusivamente lo svolgimento di attività pubbliche.
Il nuovo Regolamento, quindi, non si sofferma sulla natura pubblica o privata del titolare del trattamento, ma sulla tipologia di trattamento, che scaturisce dallattività svolta dal titolare.
La differenza con il Codice Privacy
Infatti, a differenza del Codice Privacy (D.lgs n.196/2003), il nuovo regolamento europeo non contiene la suddivisione tra condizioni di liceità applicabili a soggetti privati e condizioni valide per i soggetti pubblici, come accadeva con il Capo II del Codice Privacy, dove, ad eccezione del settore sanitario, si menzionava listituto del consenso quale elemento distintivo tra titolari privati e titolari pubblici.
Così, tra le cause di liceità del trattamento comuni a qualsiasi titolare sancite dallarticolo 6 del Regolamento, rinveniamo una tipica causa di liceità propria dei soggetti pubblici, quale lesecuzione di compiti di interesse pubblico o lesercizio di pubblici poteri (art. 6, comma 1, lett. e)).
Lesecuzione di compiti di interesse pubblico o lesercizio di pubblici poteri
Sul punto, è interessante notare che esistono diverse attività, svolte da soggetti pubblici, che non sono tecnicamente qualificabili come compiti, ed è questo il caso, sottolineano i Garanti europei, dellattività di videosorveglianza di strutture pubbliche. In questi casi, premesso che non si tratta di veri e propri compiti, cè da domandarsi quale sia la condizione di liceità che consente ai soggetti pubblici di svolgere attività di videosorveglianza. Il gruppo dei Garanti Europei, già nellaprile 2014, affrontò il problema con riferimento alla Direttiva 95/46/Ce, stabilendo che tale attività risultava lecita quando rispondeva ad un interesse pubblico riconducibile ai punti e) o f) dellarticolo 7 della suindicata direttiva.[3]
A questa considerazione, oggi, si può aggiungere quanto indicato dal regolamento europeo in tema di dati sensibili, che consente lo svolgimento di attività, che non possono qualificarsi come veri e propri compiti, in tutti quei casi in cui il relativo trattamento sia necessario per motivi di interesse pubblico rilevante. (art. 9, comma 2, lett. g) Reg. UE.).
Posto che il regolamento non contiene un set di norme specifiche per il settore pubblico, per comprendere le diverse novità che investiranno anche il settore della Pubblica Amministrazione si dovrà esaminare lintero corpo normativo regolamentare. Non essendo questa la sede per una disamina dei molteplici profili di impatto privacy del nuovo regolamento sulle P.A., merita soffermarsi sullobbligo di comunicazione di eventuali violazioni dei dati personali, (non previsto nella precedente direttiva 95/46/CE): la c.d. data breach notification. Ai sensi degli articoli 33 e 34 Reg. UE, il Titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali (data breach) – senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne sia venuto a conoscenza – allAutorità nazionale di protezione dei dati.
Quali novità?
Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative.
Già da questa novità si intuisce la necessità, anche da parte dei soggetti pubblici, di dotarsi di persone competenti nella gestione dei modelli privacy, in grado di effettuare corrette valutazioni di impatto privacy e audit pertinenti. Da qui, si comprende la portata di unaltra novella di rilievo e cioè lintroduzione obbligatoria della figura del Data Protection Officer. Si tratta di una figura professionale, che, come sottolineato anche dal Gruppo dei Garanti Europei c.d Articolo 29 nel parere emanato il 13 dicembre 2016, rappresenta una figura chiave del nuovo Regolamento europeo. [4]
[1] Il Regolamento si applicherà dal 25 maggio 2018 (art. 99 Reg. UE 2016/679).
[2] Il titolare del trattamento è definito allart.4, primo paragrafo, punto 7 Reg. UE la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.
[3] Vedi pag. 27 WP 217 Opinion 06/2014 on the notion of legitimate interest of the data controller under article 7 of Directive 95/46/EC.
[4] Data Protection Officers will be at the heart of this new legal framework for many organisations, facilitating compliance with the provisions of the GDPR. WP 243 Guidlines on Data Protection Officers adopted on 13 December 2016.
Scrivi un commento
Accedi per poter inserire un commento