Antonio Ciccia Messina

Stop alla elusione della protezione della privacy: è questa la sintesi più appropriata delle Linee Guida del Comitato europeo per la protezione dei dati, dedicate all’analisi e illustrazione dell’articolo 3 del Regolamento generale sulla protezione dei dati n. 2016/679 (universalmente noto come GDPR), su cui Federprivacy ha emanato la Circolare 4-2019.

Rispondendo a 16 quesiti è possibile individuare chi è titolare e chi è responsabile del trattamento. È un dubbio che crea incertezze e contenzioso, anche a fronte della vaghezza dei parametri giuridico e della non esaustività delle indicazioni interpretative. Così se non c’è nessun problema nel caso in cui il soggetto è identificato titolare/responsabile da una norma o dall’Autorità di controllo, una relativa certezza (nel senso della titolarità del trattamento) c’è quando la legge affida a un determinato soggetto il compito, o imponga l'obbligo, a qualcuno, di raccogliere e trattare certi dati. La check-list nella Circolare 3/2019 di Federprivacy.

Il modello dell’accountability del Gdpr richiede un sistema di assicurazione generale della responsabilità civile. Lo stato delle cose ci fa dire che, ormai, bisogna essere pronti a discutere della necessità/opportunità di un sistema di assicurazione obbligatoria della responsabilità civile per danni derivanti dal data processing. Così come bisogna essere pronti a meccanismi di indennizzo forfettizzato e a procedure apposite di media-conciliazione delle controversie in materia di sinistri da circolazione dei dati.

La delega sindacale, per i lavoratori iscritti ad un sindacato, e la contrattazione collettiva, per i non iscritti, sono le basi giuridiche più idonee per disciplinare la comunicazione da parte dei datori di lavoro di dati personali dei dipendenti alle organizzazioni sindacali. È quanto si desume da un esame sistematico degli orientamenti del Garante per la protezione dei dati personali confrontati con le norme contenute nel GDPR - General Data Protection Regulation. Qual è la posizione della giurisprudenza sull’eventuale rifiuto del datore di lavoro di dare informazioni alle rappresentanze sindacali?

Stop alla pesca a strascico di nomine di Dpo e maggiore cura nella stesura dei contratti con chi deve effettuare il servizio. Sono questi gli effetti desumibili dalla sentenza del Tar Puglia, sezione di Lecce, n.1468/2019 pubblicata il 13 settembre 2019, che è intervenuta in materia di procedura di designazione del responsabile della protezione dei dati.

Nel procedimento di “reclamo privacy”, le prerogative difensive del titolare del trattamento sono bilanciate e, talvolta, messe in secondo piano rispetto all’esigenza di arrivare a una decisione sull’applicazione delle misure correttive e delle sanzioni. L’interpello preventivo dell’interessato, non previsto dal Gdpr, si inserisce nelle prime battute del flusso del procedimento di reclamo, a cui è dedicata la Circolare n.2/2019 di Federprivacy

I dati dei lavoratori non si trattano in base al loro consenso. Se si segue questa strada (sbagliata), al datore di lavoro può arrivare una sanzione molto salata. Come è successo a una grande società (Price Waterhouse Business Solution), sanzionata dal Garante della privacy greco a pagare 150 mila euro. Il provvedimento, n. 26/2019, si segnala anche per un altro motivo. Il Garante greco ha sanzionato per la violazione dell'articolo 5 del Gdpr, che è una disposizione formulata in maniera generalissima, tale da essere applicata per ogni violazione, piccola o grande, sostanziale o formale, anche quando non si accerta la violazione di una norma specifica.

L’amministratore di sistema è compatibile con la disciplina dell’accountability del Regolamento UE 2016/679 (GDPR). Ciò perché è una figura soggettiva, centro di imputazione di attività/funzioni relativi al trattamento dei dati personali, con l’obiettivo, assolutamente allineato al GDPR, di elevare le condizioni di sicurezza del trattamento medesimo.

Il governo, elettronico e analogico, delle pubbliche amministrazioni deve fare i conti con il Gdpr (regolamento Ue 2016/679) e le regole tutte sulla protezione dei dati. La posta in gioco è la liberta del cittadino, che merita l’applicazione effettive di regole a tutela della incolumità dei suoi dati.

Le strategie di difesa di fronte alla contestazione di avere violato le norme sulla privacy sono di diversa natura: si può contestare la sussistenza della possibilità stessa di sanzionare; oppure si può mettere in evidenza la ragione per la quale è sufficiente un ammonimento al posto della sanzione pecuniaria; oppure si possono mettere in evidenza le condizioni che portano ad una attenuazione dell’importo della sanzione pecuniaria.

Prev123Next
Pagina 1 di 3

Umberto Rapetto: più tutelati con Gdpr ma non bisogna abbassare la guardia

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
captcha 
Privacy e Termini di Utilizzo