Data protection: novità impattanti sulle aziende

19/10/2020
di Valentina Frediani

Dal Il Caffé Digitale (The Innovation Group) 

È stata una sessione ricca di spunti ed importanti indicazioni quella tenuta dal Comitato Europeo per la Protezione dei Dati lo scorso 2 settembre. Sul tavolo dell’EDPB sono infatti finiti numerosi temi di rilevanza fondamentale nell’applicazione pratica della data protection. Sull’onda lunga della Sentenza “Schrems II” della Corte di Giustizia dell’Unione Europea – a seguito della quale è venuto meno lo “Scudo Privacy” a garanzia dei trasferimenti di dati personali verso gli Stati Uniti – e a fronte dei numerosi reclami pervenuti alle Autorità Nazionali, il Board ha deciso di dar vita ad una task force dedicata, col compito di dare risposta alle numerose incertezze venutesi a creare dopo la decisione della GUE. Con l’ormai nota sentenza C-311/18 del 16 luglio scorso, la Corte ha dichiarato l’invalidità del c.d. “Privacy Shield”, oltre ad avanzare perplessità riguardo a potenziali garanzie alternative (su tutte, le Clausole Contrattuali Standard) in tema trasferimenti di dati verso gli USA. Si sono così determinate non poche problematiche nei rapporti tra titolari del trattamento europei e i numerosi service provider d’Oltreoceano: l’inapplicabilità di garanzie al trasferimento dei dati personali si traduce, nella lettera del GDPR, in una impossibilità di effettuare il trasferimento stesso; in altri termini, senza garanzie si dovrebbe procedere all’interruzione della fornitura di servizi aventi ad oggetto tali dati. Interruzione che, nella stragrande maggioranza dei casi, vorrebbe dire cessazione di rapporti commerciali spesso vitali per il business aziendale, alla luce dei soggetti coinvolti –basti pensare a Google o Microsoft. L’auspicio è che la task force riesca a fornire risposte concrete, andando oltre a quelle puramente teoriche proposte finora dall’EDPB. Quel che per ora è un dato certo, confermato anche dal Board, è la necessità di procedere ad una revisione ed analisi “caso per caso” dei rapporti con fornitori statunitensi, al fine di poter considerare in maniera globale e consapevole le garanzie più idonee per i trasferimenti di dati personali. Il Comitato ha poi rilasciato il testo delle nuove Linee Guida sui concetti di titolare e responsabile del trattamento. Si tratta di un intervento molto atteso, considerando il decennio intercorso dalle precedenti Linee Guida in materia e l’entrata in vigore del GDPR, ormai vecchio di due anni. Il documento, in consultazione pubblica fino al 19 ottobre prossimo, fissa importanti criteri per la determinazione dei ruoli di titolari, responsabili e contitolari, fornendo utili esempi pratici e flow charts. In linea generale:

  • Il Titolare del trattamento è sempre il soggetto che determina gli elementi fondamentali del trattamento, il “perché” ed il “come”, secondo quanto suggerito dall’EDPB. Il controllo del Titolare del trattamento deve essere sempre effettivo – è il titolare, ad es., a scegliere quali categorie di dati e di interessati siano oggetto del trattamento, o la durata di questo – ma non necessariamente esteso a tutti gli aspetti del trattamento: si parla infatti di “mezzi non essenziali” – si veda ad es. il dettaglio delle misure di sicurezza – che possono essere delegati al responsabile del trattamento, senza che ciò infici la titolarità;
  • Il Responsabile del trattamento è colui che agisce “per conto” del titolare del trattamento, e soprattutto, come rimarcato più volte nelle Linee Guida, su istruzioni documentate del secondo. Rispetto al responsabile diviene fondamentale definirne il margine di discrezionalità;
  • Infine, l’EDPB prospetta un potenziale ampliamento del concetto di “contitolarità”, dal momento che tale ipotesi sarà individuabile non solo nel caso di decisione congiunta, da parte dei titolari coinvolti, circa le modalità e finalità di un singolo trattamento, ma anche nel caso di “decisioni convergenti e complementari” che questi possano prendere. In altre parole, perché si abbia contitolarità non deve sussistere necessariamente una situazione di piena eguaglianza e parallelismo tra le attività condotte dal singolo contitolare, quanto piuttosto una compartecipazione effettiva nel complesso del trattamento.

Le Linee Guida si soffermano poi su fondamentali questioni di merito, circa la corretta individuazione dei contenuti dei Data Processing Agreement tra titolari e responsabili, ai sensi dell’art. 28 GDPR, e degli Accordi di contitolarità ex art. 26 del Regolamento. La rilevanza pratica di questo intervento del Board è indubbia: i rapporti titolari-responsabili e le ipotesi di contitolarità sono variabili soprattutto contrattuali che troppo spesso vengono sottovalutati o addirittura non considerati, ma la cui individuazione è invece fondamentale per una piena conformità al GDPR, oltre che per una corretta ripartizione dei diritti ed obblighi derivanti da ciascun ruolo.

Sempre in questa sede, il Board ha poi pubblicato le Linee Guida relative al “social targeting”, ovvero l’attività dei c.d. “targeter”, fornitori di servizi che utilizzano i dati personali degli utenti dei social media per promuovere campagne marketing focalizzate su determinati contenuti. Il Comitato ha analizzato in maniera approfondita il ruolo dei soggetti coinvolti, in particolare targeter e social network, che risulterebbero contitolari dei dati personali trattati. A fronte dei rilevanti rischi per gli interessati – si pensi al fatto che i dati personali possono essere anche acquisiti dal social network valutando il comportamento dell’utente –una valutazione d’impatto ai sensi dell’art. 35 GDPR è da considerare fortemente raccomandata ai contitolari. Infine, altra puntuale indicazione fornita dall’EDPB è quella relativa alla base legale del trattamento, nello specifico il consenso dell’interessato o, previa opportuna valutazione, il legittimo interesse dei contitolari. Importanti indicazioni, dunque, in relazione a tematiche in cui risultava sempre più impellente la necessità di indicazioni organiche, come testimoniato dalle numerose pronunce in materia da parte della Corte di Giustizia Europea (su tutte, la celebre sentenza “Fashion ID” del 2019). Anche le Linee Guida sul social targeting sono in consultazione pubblica fino al termine del 19 ottobre prossimo.

Riproduzione riservata ©

ALTRE NEWS

Reati informatici, il modulo che salva le aziende

Pubblicato su: Punto Informatico La legge 231 vige dal 2001 e molte aziende vi hanno finora aderito come un obbligo. Poche hanno compreso il valore… Leggi Tutto

Reati informatici e Governance: quale filo conduttore?

Nelle aziende aumenta la consapevolezza del ruolo strategico dei processi informatizzati. La progressiva presa di coscienza sulle implicazioni informatico – giuridiche connesse all’applicazione del modello… Leggi Tutto

Reati informatici e Governance: quale filo conduttore?

Lo scorso 5 Marzo si è tenuto a Milano il seminario Reati informatici e Governance: quale filo conduttore? organizzato da DI & P Srl in… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.