[b](Compiti al Garante della privacy in applicazione del Regolamento UE 2016/679)[/b]
I commi 597-bis – 597-septies disciplinano l’adeguamento dell’ordinamento nazionale al regolamento UE 2016/679, del 27 aprile 2016, che ha dettato la disciplina europea sul trattamento dei dati personali, abrogando la direttiva del 1995 che aveva determinato l’emanazione del c.d. codice della privacy (D.Lgs.. n. 196 del 2003).
In particolare:
- si ribadisce che spetta al Garante della privacy, anche in sede di attuazione del regolamento UE, assicurare la tutela dei diritti fondamentali e delle libertà dei cittadini (comma 597-bis);
- si prevede che il Garante debba, entro 2 mesi, adottare un provvedimento per disciplinare le modalità attraverso le quali l’Autorità stessa monitora e vigila sull’applicazione del Regolamento UE, verifica che i titolari dei dati personali trattati per via automatizzata o tramite tecnologie digitali siano dotati di infrastrutture adeguate, predispone un modello di informativa che i titolari di dati personali che effettuano un trattamento con uso di tecnologie digitali fondato sull’interesse legittimo (che come tale non richiede più una autorizzazione preventiva da parte del Garante) dovranno inviargli e definisce linee-guida da applicare quando il trattamento dei dati personali sia fondato sull’interesse legittimo del titolare (comma 597-ter);
- si prevede che colui che intende effettuare un trattamento dati fondato sull’interesse legittimo che prevede l’uso di nuove tecnologie o di strumenti automatizzati, debba preventivamente compilare e inviare al Garante l’informativa (redatta in base al modello previsto dal Garante stesso). Entro 15 giorni, e previa istruttoria, il Garante potrà disporre una moratoria sul trattamento dei dati (comma 597-quinquies) ove ritenga che lo stesso possa nuocere ai diritti degli interessati; in assenza di intervento del Garante, trascorsi 15 giorni dalla comunicazione, il trattamento potrà essere avviato (comma 597-quater);
- si dispone che la moratoria del trattamento possa durare massimo 30 giorni, durante i quali il Garante può chiedere al titolare ulteriori informazioni ed integrazioni. Se all’esito dell’approfondimento, il Garante ritiene che il trattamento comporti una lesione dei diritti e delle libertà degli interessati, potrà inibire l’utilizzo dei dati personali (comma 597-quinquies);
- si demanda al Garante di dar conto dell’attività svolta in sede di applicazione del Regolamento UE nella relazione annuale al Parlamento (comma 597-sexies);
- si quantifica in 2 milioni di euro, a decorrere dal 2018, gli oneri derivanti dall’applicazione delle disposizioni. La copertura finanziaria è assicurata mediante riduzione di pari importo del Fondo per far fronte alle esigenze urgenti ed indifferibili di cui all’art. 1, comma 200, della legge 23 dicembre 2014, n. 190 (comma 597-septies).
****************
1020. Al fine di adeguare l’ordinamento
interno al regolamento (UE) 2016/679 del
Parlamento europeo e del Consiglio, del
27 aprile 2016, relativo alla protezione
delle persone fisiche con riguardo al trattamento
dei dati personali, nonché alla libera
circolazione di tali dati, di seguito
denominato «regolamento RGPD», il Garante
per la protezione dei dati personali
assicura la tutela dei diritti fondamentali
e delle libertà dei cittadini.
1021. Ai fini di cui al comma 1020, il
Garante per la protezione dei dati personali,
con proprio provvedimento da adottare
entro due mesi dalla data di entrata
in vigore della presente legge:
a) disciplina le modalità attraverso le
quali il Garante stesso monitora l’applicazione
del regolamento RGPD e vigila sulla
sua applicazione;
b) disciplina le modalità di verifica,
anche attraverso l’acquisizione di informazioni
dai titolari dei dati personali trattati
per via automatizzata o tramite tecnologie
digitali, della presenza di adeguate
infrastrutture per l’interoperabilità dei
formati con cui i dati sono messi a disposizione
dei soggetti interessati, sia ai fini
della portabilità dei dati ai sensi dell’articolo
20 del regolamento RGPD, sia ai fini
dell’adeguamento tempestivo alle disposizioni
del regolamento stesso;
c) predispone un modello di informativa
da compilare a cura dei titolari di
dati personali che effettuano un trattamento
fondato sull’interesse legittimo che
prevede l’uso di nuove tecnologie o di
strumenti automatizzati;
d) definisce linee-guida o buone
prassi in materia di trattamento dei dati
personali fondato sull’interesse legittimo
del titolare.
1022. Il titolare di dati personali, individuato
ai sensi dell’articolo 4, numero 7),
del regolamento RGPD, ove effettui un
trattamento fondato sull’interesse legittimo
che prevede l’uso di nuove tecnologie
o di strumenti automatizzati, deve darne
tempestiva comunicazione al Garante per
la protezione dei dati personali. A tale
fine, prima di procedere al trattamento,
il titolare dei dati invia al Garante un’informativa
relativa all’oggetto, alle finalità
e al contesto del trattamento, utilizzando
il modello di cui al comma 1021, lettera
c). Trascorsi quindici giorni lavorativi
dall’invio dell’informativa, in assenza di
risposta da parte del Garante, il titolare
può procedere al trattamento.
1023. Il Garante per la protezione dei
dati personali effettua un’istruttoria sulla
base dell’informativa ricevuta dal titolare
ai sensi del comma 1022 e, ove ravvisi il
rischio che dal trattamento derivi una lesione
dei diritti e delle libertà dei soggetti
interessati, dispone la moratoria del trattamento
per un periodo massimo di trenta
giorni. In tale periodo, il Garante può
chiedere al titolare ulteriori informazioni
e integrazioni, da rendere tempestivamente,
e, qualora ritenga che dal trattamento
derivi comunque una lesione dei
diritti e delle libertà del soggetto interessato,
dispone l’inibitoria all’utilizzo dei
dati.
1024. Il Garante per la protezione dei
dati personali dà conto dell’attività svolta
ai sensi del comma 1023 e dei provvedimenti
conseguentemente adottati nella re
lazione annuale di cui all’articolo 154,
comma 1, lettera m), del codice in materia
di protezione dei dati personali, di cui al
decreto legislativo 30 giugno 2003, n. 196.
1025. Ai fini dell’attuazione dei commi
1020, 1021, 1022, 1023, e 1024, è autorizzata
la spesa di 2 milioni di euro annui a
decorrere dall’anno 2018.