Normativa nazionale e GDPR: La legge di bilancio del 27 dicembre 2017 n. 205 interviene su interoperabilità dei formati, portabilità dei dati e legittimo interesse

Con un colpo di coda, nelle pieghe della legge di Bilancio del 27 dicembre 2017 (L. n. 205/2017), all’art. 1, comma 1020 ss. si trovano inserite nuove norme in materia di protezione dei dati personali che mirano a coordinare la normativa interna con quella europea, senza alcun criterio sistematico ed organico.  

Si tratta di normativa frammentata, emanata in un articolo elefantiaco che si occupa di ben altre materie e che non trova alcun coordinamento con altri interventi normativi recenti e frazionati: si veda l’art. 13 della L. 25 ottobre 2017 n. 163 (Delega al Governo in materia di protezione dei dati personali), artt. 24 e 29 /29 della L. 167 del 2017 (Legge Europea 2017) ed ora l’art. 1, commi 1020-1025, della L. Bilancio 2017 (L. n. 205/2017).

Il legislatore sta intervenendo in maniera tutt’altro che organica e sistematica, inserendo frettolose norme che mal si conciliano con il disegno organico di revisione normativa.

Si riportano di seguito le nuove norme, che fissano (solamente) alcuni aspetti volti a coordinare la normativa interna con quella di cui al GDPR, nonostante la delega già concessa al Governo per il riordino organico della materia, (con ulteriori stanziamenti economici al Garante, aggiuntivi rispetto alla somma di 1.400.000 euro già stanziati nella Legge europea):

LEGGE 27 dicembre 2017, n. 205

Bilancio di previsione dello Stato per l’anno finanziario 2018 e bilancio pluriennale per il triennio 2018-2020. 

Parte I
Sezione I
Misure quantitative per la realizzazione degli obiettivi programmatici

Art. 1

(…)

  1. ***
  2. (comma 1020)
    Al fine di adeguare l’ordinamento interno al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione  delle  persone  fisiche  con  riguardo  al trattamento dei dati personali, nonché alla libera  circolazione  di tali dati, di seguito denominato «regolamento RGPD »    , il Garante per la protezione dei dati  personali  assicura  la  tutela  dei  diritti fondamentali e delle libertà dei cittadini.
  4. ***
  5. (comma 1021)
  6. Ai fini di cui al comma 1020, il Garante per  la  protezione dei dati personali, con proprio provvedimento da adottare  entro  due mesi dalla data di entrata in vigore della presente legge:
  8. a) disciplina le modalità attraverso le quali il Garante  stesso monitora l’applicazione del  regolamento  RGPD  e  vigila  sulla  sua applicazione;
  10. b) disciplina  le  modalità  di   verifica,   anche   attraverso l’acquisizione  di  informazioni  dai  titolari  dei  dati  personali trattati per via automatizzata o tramite tecnologie  digitali,  della presenza  di  adeguate  infrastrutture  per  l’interoperabilità dei formati con cui  i  dati  sono  messi  a  disposizione  dei  soggetti interessati, sia  ai  fini  della  portabilità dei  dati  ai  sensi dell’articolo 20 del regolamento RGPD, sia ai  fini  dell’adeguamento tempestivo alle disposizioni del regolamento stesso;
  12. c) predispone un modello di informativa da compilare  a  cura  dei titolari di dati personali  che  effettuano  un  trattamento  fondato sull’interesse legittimo che prevede l’uso di nuove tecnologie  o  di strumenti automatizzati;
  14. d) definisce linee-guida o buone prassi in materia di  trattamento dei dati personali fondato sull’interesse legittimo del titolare.
    ***

(comma 1022)

  1. Il  titolare  di  dati  personali,  individuato   ai   sensi dell’articolo 4, numero 7), del regolamento  RGPD,  ove  effettui  un trattamento fondato sull’interesse legittimo  che  prevede  l’uso  di nuove tecnologie o di strumenti automatizzati, deve darne  tempestiva comunicazione al Garante per la protezione dei dati personali. A tale fine, prima di procedere al trattamento, il titolare dei  dati  invia al Garante un’informativa relativa all’oggetto, alle finalità  e  al contesto del trattamento, utilizzando il  modello  di  cui  al  comma 1021, lettera c). Trascorsi  quindici  giorni  lavorativi  dall’invio dell’informativa, in assenza di risposta da  parte  del  Garante,  il titolare può procedere al trattamento.

***

(comma 1023)
Il Garante per la protezione  dei  dati  personali  effettua un’istruttoria sulla base dell’informativa ricevuta dal  titolare  ai sensi del comma 1022 e, ove ravvisi il rischio  che  dal  trattamento derivi  una  lesione  dei  diritti  e  delle  libertà  dei  soggetti interessati, dispone la moratoria  del  trattamento  per  un  periodo massimo di trenta giorni. In tale periodo, il Garante  può  chiedere al  titolare  ulteriori  informazioni  e  integrazioni,  da   rendere tempestivamente,  e,  qualora  ritenga  che  dal  trattamento  derivi comunque una lesione  dei  diritti  e  delle  libertà  del  soggetto interessato, dispone l’inibitoria all’utilizzo dei dati.

    ***
  1. (comma 1024)
    Il Garante per la protezione dei dati  personali  dà  conto dell’attività svolta ai sensi del comma  1023  e  dei  provvedimenti conseguentemente adottati nella relazione annuale di cui all’articolo 154, comma 1, lettera m), del codice in  materia  di  protezione  dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196.

***

(comma 1025)
Ai fini dell’attuazione dei commi 1020, 1021,  1022,  1023  e 1024 è autorizzata la spesa di 2 milioni di euro annui  a  decorrere dall’anno 2018.

Tags:

Previous Article
Next Article

Leave a Reply

Corso DPO | Univ. di Bologna

L’Università di Bologna ha attivato il Corso di Alta Formazione in Data Protection e Privacy Officer, finalizzato alla formazione della figura professionale del DPO (RPD) e di altre figure professionali nel settore privacy.

Osservatorio & Gruppo di Ricerca

Presso il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Univ. di Bologna sono stati attivati l’Osservatorio Privacy e il Gruppo di Ricerca Data Protection Law, a cui possono partecipare gli Alumni del Corso