Con una nota pubblicata in data 19 dicembre 2016, il Garante per la protezione dei dati personali ha reso noto la pubblicazione da parte del Gruppo dei Garanti Europei (WP29) delle linee guida su alcuni aspetti principali del nuovo Regolamento UE 2016/679 sulla protezione dei dati personali, già in vigore ma che esplicherà i propri effetti all’interno degli Stati Membri a partire dal maggio 2018.

Le linee guida riguardano il “responsabile per la protezione dei dati” (meglio noto come “Data Protection Officer – DPO”), il diritto alla portabilità dei dati e la “autorità capofila” che dovrà svolgere il ruolo di “sportello unico” per i trattamenti transnazionali.

Le linee guida sulla figura del DPO presentano numerosi ed interessanti spunti di riflessione e analisi. Nel documento, infatti, sono illustrati tutti i requisiti oggettivi e soggettivi della nuova figura introdotta dal Regolamento nonché tutti i casi in cui è obbligatoria la nomina. Interessante è la raccomandazione del WP29 secondo cui, sebbene in alcuni casi la designazione del DPO non sia obbligatoria, i soggetti coinvolti nel trattamento dei dati personali (data controllers e data processor) siano comunque tenuti a documentare, attraverso un’analisi interna, le motivazioni che portano ad escluderne la nomina.

Il documento sulla portabilità dei dati offre un approfondimento sul nuovo diritto, riconosciuto dall’art. 20 del Regolamento UE 2016/679 (noto anche come “General Data Protection Regulation – GDPR”), secondo cui l’interessato può richiedere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano anche al fine di trasmettere tali dati a un altro titolare del trattamento. Nel documento si analizzano quali sono i requisiti, le condizioni e le modalità per l’esercizio di questo diritto da parte dell’interessato.

Infine, l’ultimo documento riguarda le modalità e i criteri di individuazione dell’autorità competente (lead supervisory authority), ai sensi dell’art. 56 del GDPR, nel caso in cui vi siano dei trattamenti di dati personali relativi a soggetti interessati appartenenti a due o più paesi europei (cd. cross-border processing o trattamenti transfrontalieri).

In attesa della pubblicazione in lingua italiana dei documenti elaborati dal WP29, il Garante italiano ha preannunciato la prossima pubblicazione di apposite schede di approfondimento volte a far meglio comprendere e utilizzare i nuovi strumenti introdotti dal Regolamento.

Gianluca Satta

Gianluca Satta

Avvocato del Foro di Cagliari, Consulente e Cultore di Diritto dell'Informatica e delle Nuove Tecnologie presso l'Università degli Studi di Cagliari
Gianluca Satta

Gianluca Satta

Avvocato del Foro di Cagliari, Consulente e Cultore di Diritto dell’Informatica e delle Nuove Tecnologie presso l’Università degli Studi di Cagliari