Autore: wp_6910267

L’art. 28 del GDPR è uno dei più importanti ma anche uno dei più sottovalutati. Stabilisce come deve comportarsi il responsabile del trattamento ovvero il soggetto esterno (persona fisica o giuridica) che tratta i dati personali per conto del titolare (per esempio, un call center che cura la fase di post‑vendita per i clienti di una casa automobilistica). Questo articolo, tra le altre cose, stabilisce che

• il titolare deve scegliere oculatamente il responsabile del trattamento affinché offra le garanzie adeguate a limitare i rischi per gli interessati;
• tra titolare e responsabile del trattamento deve esserci un contratto (o altro atto giuridicamente vincolante) che stabilisca puntualmente in che termini vengono protetti gli interessati.

Quindi, è necessario che i titolari rivedano i contratti esistenti alla luce delle nuove disposizioni. In alcuni casi, è necessario che i contratti verbali (validi nel nostro Paese, p.e. l’affidamento della contabilità ad un commercialista) siano formalizzati in accordi scritti.

L’ICO, il Garante per la Protezione dei Dati Personali inglese, è stato sensibile a questa esigenza pubblicando, qualche giorno fa, una check‑list che aiuta i titolari a rinnovare i contratti con i responsabili del trattamento senza perdersi clausole che possono risultare fondamentali rispetto alla protezione dei dati personali.

“Qua la mano!” Una frase d’altri tempi che potrebbe non essere più sufficiente per stipulare un contratto.

Dicembre è stato un mese molto intenso per il Garante per la Protezione dei Dati Personali; il giorno 14 di questo mese ha completato il processo di transizione dai vecchi codici deontologici alle nuove regole deontologiche, così come dettato dall’art. 20 del Dlgs. 101/2018 (il decreto di modifica del vecchio Codice privacy).

Come al solito, conviene fare un po’ di ordine. L’art. 2‑quater del nuovo Codice privacy prevede che il Garante promuova regole deontologiche per trattamenti svolti da titolari (tipicamente appartenenti ad associazioni di categoria) su un vasto numero di soggetti e che, quindi, possano condurre ad un rischio elevato. Le nuove regole deontologiche, come abbiamo più volte ribadito, devono essere poste in consultazione pubblica per 60 giorni affinché tutti possiamo contribuire a migliorarle.

Tuttavia, il vecchio Codice privacy aveva, in allegato, diversi codici deontologici. Per questi testi, il legislatore ha pensato di applicare una procedura più snella (prevista, appunto, dall’art. 20 del Dlgs. 101/2018) demandando al Garante la verifica della conformità al GDPR e la trasformazione, post‑verifica, in regole deontologiche. Questo passaggio si è concluso per cinque ambiti:

• per i trattamenti ai fini statistici e di ricerca scientifica;
• per i trattamenti a scopi storici;
• per i trattamenti effettuati nell’ambito del sistema statistico nazionale (SISTAN);
• per i trattamenti a scopi di difesa in giudizio;
• per i trattamenti a scopi giornalistici (di cui avevamo già parlato).

Altre tessere per il puzzle della protezione dei dati personali.