Il 13 dicembre 2016 il Gruppo di Lavoro art. 29 ha pubblicato tre documenti contenenti indicazioni e raccomandazioni relative al nuovo Regolamento UE n. 679/2016 (Regolamento Generale sulla Protezione dei Dati, RGPD, o General Data Protection Regulation, GDPR), che diverrà definitivamente applicabile a decorrere dal 25 maggio 2018. Essi riguardano, in particolare, il diritto alla portabilità dei dati, il Responsabile per la protezione dei dati (“Data Protection Officer”) e l’”Autorità capofila” che fungerà da “sportello unico” per i trattamenti transnazionali.
Il diritto alla portabilità dei dati
Il diritto alla portabilità dei dati permette all’interessato di poter ricevere i dati personali, che ha fornito ad un Titolare del trattamento, in un formato strutturato, di uso comune e leggibile da un dispositivo automatico e di ottenere, ove possibile, la trasmissione diretta degli stessi. Al riguardo, il Gruppo di Lavoro art. 29 ha precisato che tale diritto è esercitabile a condizione che i dati si riferiscano all’interessato (ad eccezione di quelli che non lo riguardano o che hanno carattere anonimo) e siano stati dallo stesso forniti. In tale ultima ipotesi sono da ricomprendere sia i dati forniti attivamente e consapevolmente, che quelli derivanti dall’utilizzo di servizi o dei device.
Il primo aspetto introdotto dall’art. 20 del Regolamento europeo, la ricezione dei dati, completa il già esistente diritto dell’interessato a poter accedere ai propri dati. Tuttavia, il secondo aspetto non consiste solamente nella possibilità di poter ottenere un riutilizzo dei dati, ma anche nella trasmissione dei dati da un Titolare del trattamento ad un altro.
Da un punto di vista tecnico, i titolari del trattamento dovrebbero offrire diverse implementazioni del diritto alla portabilità dei dati (ad esempio, consentendo di effettuare un download dei dati specificamente richiesti e al contempo offrendo la possibilità di scegliere la trasmissione dei dati ad un altro Titolare).
Pertanto, appare evidente come tale diritto determinerà una notevole semplificazione del processo mediante il quale l’interessato può copiare, spostare o trasmettere i propri dati da un Titolare del trattamento ad un altro.
Il ruolo del responsabile per la protezione dei dati (DPO, Data Protection Officer)
La figura del Data Protection Officer (Responsabile della Protezione dei dati) assume nel Regolamento una funzione di rilevanza fondamentale, in quanto ha il compito di facilitare il rispetto, da parte delle singole organizzazioni, delle disposizioni dettate dalla nuova disciplina. D’ altro canto, l’onere di garantire il rispetto delle previsioni dettate dal nuovo Regolamento grava in capo al Titolare del trattamento, non essendo il D.P.O. direttamente Responsabile qualora si verifichino dei casi di non conformità.
Il WP29 si è soffermato innanzitutto sulle ipotesi nelle quali la nomina del D.P.O. debba avvenire obbligatoriamente, fermo restando che le singole organizzazioni potranno prevedere un Responsabile per la Protezione dei dati anche al di fuori di tali casi. Ad esempio, costituisce una buona prassi designare un D.P.O. anche qualora la singola organizzazione non sia un’”Autorità pubblica o organismo pubblico” (art. 37 co. I l.a)), ma eserciti di fatto funzioni di natura pubblicistica.
Affinché il D.P.O. possa assolvere efficacemente le proprie funzioni, è necessario che venga consultato ogniqualvolta debbano essere adottate decisioni che comportino implicazioni in tema di protezione dei dati personali. Ancora, è fondamentale che tale figura sia posta nelle condizioni di operare in modo del tutto indipendente e non si trovi, tra l’altro, in una situazione di conflitto d’interessi rispetto ad eventuali posizioni ricoperte all’interno della medesima organizzazione. Ciò comporta che il Data Protection Officer non potrà rivestire dei ruoli che gli consentano di stabilire i mezzi e le finalità di operazioni di trattamento effettuate nella stessa azienda nella quale svolge la funzione di Responsabile per la Protezione dei dati.
L’ Autorità capofila (“Lead Supervisory Authority”)
Il terzo e ultimo parere pubblicato dal Gruppo di Lavoro art. 29 fornisce indicazioni essenziali per l’individuazione dell’Autorità capofila (“Lead Supervisory Authority”) in caso di trattamento transfrontaliero, come definito dall’art. 4(23) del nuovo Regolamento.
Per trattamento transfrontaliero si intende, infatti:
a) trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un Titolare del trattamento o Responsabile del trattamento nell’Unione ove il Titolare del trattamento o il Responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure
b) trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un Titolare del trattamento o Responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro”.
Pertanto, in caso di trattamento transfrontaliero, l’Autorità capofila individuata sarà Responsabile delle attività relative al trattamento transfrontaliero dei dati e svolgerà un’azione di coordinamento con le altre Autorità interessate nel trattamento (“Supervisory Authority concerned”).
L’individuazione dell’Autorità capofila dipenderà dall’identificazione dello stabilimento principale o dello stabilimento unico del Titolare o Responsabile del trattamento transfrontaliero.
Il Regolamento, all’art. 4(16), definisce lo stabilimento principale del Titolare del trattamento quale “il luogo della sua amministrazione centrale nell’Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del Titolare del trattamento nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni”.
Diventa così essenziale per il Titolare e/o Responsabile del trattamento transfrontaliero individuare il luogo dell’amministrazione centrale o dove vengono prese le decisioni relative al trattamento, per poter individuare l’Autorità capofila a cui far riferimento. Nel caso in cui, infatti, il criterio basato sull’individuazione dell’amministrazione centrale non possa essere applicato, il Gruppo di Lavoro art. 29 ha individuato una serie di elementi utili all’individuazione dello stabilimento principale.
Infine, il WP29 ha preso in esame anche i cosiddetti “borderline cases”, cioè le situazioni in cui è estremamente complicato individuare lo stabilimento principale o il luogo in cui le decisioni relative al trattamento vengono prese. In tali casi, la società dovrà designare lo stabilimento che funge da stabilimento principale e, nel caso in cui questo non sia possibile, sarà compito delle Autorità di controllo procedere all’individuazione dello stesso.
Le Linee Guida emanate lo scorso 13 dicembre dal WP 29 rappresentano il primo tentativo di fornire dei chiarimenti in ordine ad istituti di particolare rilevanza del nuovo Regolamento e di risolvere nodi problematici quali, a titolo esemplificativo, la definizione di trattamenti “su larga scala” o l’individuazione delle ipotesi nelle quali il Data Protection Officer viene a trovarsi in una situazione di conflitto d’interessi.
Esse, tuttavia, lasciano irrisolti numerosi aspetti di grande interesse per le aziende ed è dunque altamente probabile che le Autorità Garanti dei vari Paesi UE si esprimeranno prima della definitiva applicabilità del Regolamento, anche al fine di garantire il coordinamento con le legislazioni nazionali.
