11 Dic Guida di ICO (l’Autorità inglese Garante per la protezione dei dati personali) al Regolamento Generale sulla Protezione dei Dati

 

Background

L’Autorità Garante Inglese per la protezione dei dati personali, l’Information Commissioner’s Office (d’ora in avanti, “ICO”), ha pubblicato una Guida al Regolamento Generale Sulla Protezione dei Dati (d’ora in avanti, “Guida”). La Guida è rivolta a coloro che hanno la responsabilità quotidiana della protezione dei dati ed è finalizzata ad illustrare le disposizioni del Regolamento UE 2016/679 (d’ora in avanti, “RGPD”), al fine di aiutare concretamente le aziende nel loro processo di adeguamento al Regolamento.

La Guida include alcuni link che indirizzano direttamente al testo del RGPD, ad altre linee guida dell’ICO nonché alle più recenti linee guida elaborate dal Gruppo di lavoro ex articolo 29 (d’ora in avanti, “WP29”).

 

Principali questioni

La Guida è divisa in diverse sezioni, che possono essere così sintetizzate:

• Cosa c’è di nuovo

 

La Guida, essendo concepita come un documento vivente, prevede questa sezione dedicata ad una panoramica delle ultime notizie riguardanti il ​​RGPD e sarà aggiornata mensilmente da ICO.

• Definizioni chiave, principi e basi legali per il trattamento

 

Queste sezioni sono dedicate all’ambito di applicazione del RGPD, e alle definizioni di dati personali e di dati sensibili, andando quindi a chiarire le disposizioni degli articoli 5, 6 e 9 (2) del RGPD.

• Consenso

 

Questa sezione offre alcuni chiarimenti sull’importanza della fase di raccolta e della gestione del consenso; nella stessa sezione ICO fornisce tre checklist di aiuto nelle fasi della richiesta, della registrazione e della gestione del consenso stesso.

• Diritti degli interessati

 

ICO dedica una sezione all’illustrazione dei diritti degli interessati previsti dal RGPD (diritto di essere informato, diritto di accesso, rettifica, cancellazione, diritto alla limitazione del trattamento, diritto alla portabilità dei dati, diritto di opposizione, diritti relativi al processo decisionale automatizzato inclusa la profilazione).

• Responsabilità e governance

 

La Guida include una sezione dedicata alle disposizioni del RGPD che promuovono la responsabilità e la governance dei titolari e dei responsabili del trattamento dei dati; in questa sezione è previsto un elenco di azioni raccomandate per dimostrare la conformità al Regolamento.

• Contratti

 

La sezione in questione è dedicata ai contratti tra titolari e responsabili del trattamento; ICO prevede due checklist contenenti alcuni requisiti minimi che dovrebbero essere inseriti nel contratto, come per esempio la responsabilità dei responsabili del trattamento.

• Documentazione

 

Questa sezione offre alcuni chiarimenti sull’obbligo di mantenere specifiche evidenze riguardanti alcuni trattamenti.

• Data protection by design and default 

 

Questa sezione descrive brevemente i principi di data protection by design e data protection by default richiamando le linee guida ICO sulla privacy by design.

• Valutazioni d’impatto

 

La Guida chiarisce che cos’è una valutazione d’impatto sulla protezione dei dati, quando è necessaria e quali informazioni deve contenere.

• Responsabili della protezione dei dati

 

L’ICO chiarisce, in questa sezione, quando dovrebbe essere nominato un responsabile della protezione dei dati, quali sono i suoi compiti e quali qualifiche deve avere, nonché quali obblighi deve rispettare il datore di lavoro nell’individuare questa figura.

• Codici di condotta e certificazioni

 

Questa sezione è dedicata ai Codici di condotta e alle certificazioni, con particolare riguardo alle loro implicazioni pratiche.

• Sicurezza

 

L’ICO fa qui riferimento alla propria guida, precedentemente pubblicata, come buon punto di partenza per le aziende dal punto di vista della security.

• Trasferimenti di dati personali verso paesi terzi

 

La guida riporta in questa sezione una panoramica dei principi relativi al trasferimento dei dati, con un’attenzione particolare a quelle che potrebbero essere considerate le relative garanzie adeguate.

• Violazioni dei dati

 

Questa sezione fa riferimento ai recenti orientamenti del WP29 sulla notifica di una violazione dei dati personali, specificando che cos’è una violazione dei dati personali e chiarendo quando la notifica all’autorità di controllo e la comunicazione agli interessati sono obbligatorie.

• Eccezioni

 

L’ICO dedica una sezione alle deroghe al RGPD che gli Stati Membri possono introdurre grazie alla previsione dell’art. 23. La sezione sintetizza le condizioni che devono sussistere affinché tali deroghe siano lecite.

• Minori

 

Quest’ultima sezione è dedicata alle disposizioni relative alla protezione dei dati personali dei minori, con particolare attenzione ai requisiti necessari delle offerte di servizi online a loro rivolte.

 

Implicazioni pratiche

La Guida, che fornisce chiarimenti su come interpretare le disposizioni di RGPD e consente di essere costantemente aggiornati sulle ultime novità riguardanti il RGPD, può essere utilizzata da coloro che hanno la responsabilità quotidiana della protezione dei dati, come supporto nel loro processo di adeguamento al Regolamento.