Data protection: novità impattanti sulle aziende

19/10/2020
di Valentina Frediani

Dal Il Caffé Digitale (The Innovation Group) 

È stata una sessione ricca di spunti ed importanti indicazioni quella tenuta dal Comitato Europeo per la Protezione dei Dati lo scorso 2 settembre. Sul tavolo dell’EDPB sono infatti finiti numerosi temi di rilevanza fondamentale nell’applicazione pratica della data protection. Sull’onda lunga della Sentenza “Schrems II” della Corte di Giustizia dell’Unione Europea – a seguito della quale è venuto meno lo “Scudo Privacy” a garanzia dei trasferimenti di dati personali verso gli Stati Uniti – e a fronte dei numerosi reclami pervenuti alle Autorità Nazionali, il Board ha deciso di dar vita ad una task force dedicata, col compito di dare risposta alle numerose incertezze venutesi a creare dopo la decisione della GUE. Con l’ormai nota sentenza C-311/18 del 16 luglio scorso, la Corte ha dichiarato l’invalidità del c.d. “Privacy Shield”, oltre ad avanzare perplessità riguardo a potenziali garanzie alternative (su tutte, le Clausole Contrattuali Standard) in tema trasferimenti di dati verso gli USA. Si sono così determinate non poche problematiche nei rapporti tra titolari del trattamento europei e i numerosi service provider d’Oltreoceano: l’inapplicabilità di garanzie al trasferimento dei dati personali si traduce, nella lettera del GDPR, in una impossibilità di effettuare il trasferimento stesso; in altri termini, senza garanzie si dovrebbe procedere all’interruzione della fornitura di servizi aventi ad oggetto tali dati. Interruzione che, nella stragrande maggioranza dei casi, vorrebbe dire cessazione di rapporti commerciali spesso vitali per il business aziendale, alla luce dei soggetti coinvolti –basti pensare a Google o Microsoft. L’auspicio è che la task force riesca a fornire risposte concrete, andando oltre a quelle puramente teoriche proposte finora dall’EDPB. Quel che per ora è un dato certo, confermato anche dal Board, è la necessità di procedere ad una revisione ed analisi “caso per caso” dei rapporti con fornitori statunitensi, al fine di poter considerare in maniera globale e consapevole le garanzie più idonee per i trasferimenti di dati personali. Il Comitato ha poi rilasciato il testo delle nuove Linee Guida sui concetti di titolare e responsabile del trattamento. Si tratta di un intervento molto atteso, considerando il decennio intercorso dalle precedenti Linee Guida in materia e l’entrata in vigore del GDPR, ormai vecchio di due anni. Il documento, in consultazione pubblica fino al 19 ottobre prossimo, fissa importanti criteri per la determinazione dei ruoli di titolari, responsabili e contitolari, fornendo utili esempi pratici e flow charts. In linea generale:

  • Il Titolare del trattamento è sempre il soggetto che determina gli elementi fondamentali del trattamento, il “perché” ed il “come”, secondo quanto suggerito dall’EDPB. Il controllo del Titolare del trattamento deve essere sempre effettivo – è il titolare, ad es., a scegliere quali categorie di dati e di interessati siano oggetto del trattamento, o la durata di questo – ma non necessariamente esteso a tutti gli aspetti del trattamento: si parla infatti di “mezzi non essenziali” – si veda ad es. il dettaglio delle misure di sicurezza – che possono essere delegati al responsabile del trattamento, senza che ciò infici la titolarità;
  • Il Responsabile del trattamento è colui che agisce “per conto” del titolare del trattamento, e soprattutto, come rimarcato più volte nelle Linee Guida, su istruzioni documentate del secondo. Rispetto al responsabile diviene fondamentale definirne il margine di discrezionalità;
  • Infine, l’EDPB prospetta un potenziale ampliamento del concetto di “contitolarità”, dal momento che tale ipotesi sarà individuabile non solo nel caso di decisione congiunta, da parte dei titolari coinvolti, circa le modalità e finalità di un singolo trattamento, ma anche nel caso di “decisioni convergenti e complementari” che questi possano prendere. In altre parole, perché si abbia contitolarità non deve sussistere necessariamente una situazione di piena eguaglianza e parallelismo tra le attività condotte dal singolo contitolare, quanto piuttosto una compartecipazione effettiva nel complesso del trattamento.

Le Linee Guida si soffermano poi su fondamentali questioni di merito, circa la corretta individuazione dei contenuti dei Data Processing Agreement tra titolari e responsabili, ai sensi dell’art. 28 GDPR, e degli Accordi di contitolarità ex art. 26 del Regolamento. La rilevanza pratica di questo intervento del Board è indubbia: i rapporti titolari-responsabili e le ipotesi di contitolarità sono variabili soprattutto contrattuali che troppo spesso vengono sottovalutati o addirittura non considerati, ma la cui individuazione è invece fondamentale per una piena conformità al GDPR, oltre che per una corretta ripartizione dei diritti ed obblighi derivanti da ciascun ruolo.

Sempre in questa sede, il Board ha poi pubblicato le Linee Guida relative al “social targeting”, ovvero l’attività dei c.d. “targeter”, fornitori di servizi che utilizzano i dati personali degli utenti dei social media per promuovere campagne marketing focalizzate su determinati contenuti. Il Comitato ha analizzato in maniera approfondita il ruolo dei soggetti coinvolti, in particolare targeter e social network, che risulterebbero contitolari dei dati personali trattati. A fronte dei rilevanti rischi per gli interessati – si pensi al fatto che i dati personali possono essere anche acquisiti dal social network valutando il comportamento dell’utente –una valutazione d’impatto ai sensi dell’art. 35 GDPR è da considerare fortemente raccomandata ai contitolari. Infine, altra puntuale indicazione fornita dall’EDPB è quella relativa alla base legale del trattamento, nello specifico il consenso dell’interessato o, previa opportuna valutazione, il legittimo interesse dei contitolari. Importanti indicazioni, dunque, in relazione a tematiche in cui risultava sempre più impellente la necessità di indicazioni organiche, come testimoniato dalle numerose pronunce in materia da parte della Corte di Giustizia Europea (su tutte, la celebre sentenza “Fashion ID” del 2019). Anche le Linee Guida sul social targeting sono in consultazione pubblica fino al termine del 19 ottobre prossimo.

Riproduzione riservata ©

ALTRE NEWS

Delitti privacy nel catalogo dei reati sulla responsabilità ex D.lgs. 231

Con l’entrata in vigore dell’articolo 9 del DL 14/08/2013 n.93, riguardante disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere,… Leggi Tutto

Regolamento europeo in materia di privacy: il traguardo sembra ormai vicino

Il 25 Gennaio 2012 è stata pubblicata la proposta di Regolamento europeo sulla protezione dei dati personali, con l’obiettivo di ridurre la frammentazione giuridica in… Leggi Tutto

La normativa privacy vigente su IoT e Machine Learning

Si stanno sempre più sviluppando soluzioni di Machine Learning applicate all’Internet of Things, in particolare per consentire attività di assistenza alle soluzioni che comportino un taglio dei… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.