Tutti gli esperti di protezione dati personali sono in attesa del documento di aggiornamento del regolamento sulla protezione dei dati. Vi sono infatti numerose aree che abbisognano di chiarimenti.
Il 18 e 19 febbraio, a Bruxelles, il comitato europeo per la protezione dei dati e il supervisore europeo per la protezione dei dati si sono riuniti per esaminare possibili aggiornamenti, da apportare al regolamento europeo sulla protezione dei dati. I primi anni di operatività hanno messo in evidenza alcune aree, che certamente abbisognano di un approfondimento. Eccone una sintetica rassegna.
L’articolo 9 prevede che possano essere trattate speciali categorie di dati, per finalità di archiviazione e di ricerca. Vi sono tuttavia delle possibili contraddizioni tra questa affermazione e quanto invece riportato nell’articolo 89, laddove viene invece sottolineato il fatto che gli interessati coinvolti mantengono ancora alcuni diritti su questo trattamento.
Deve ancora essere chiarito un aspetto connesso al contratto, che lega un titolare del trattamento ad un responsabile del trattamento. Ad esempio, non è chiaro quale debba essere il comportamento del responsabile del trattamento, quando egli ha segnalato al titolare che una disposizione, impartita dal titolare stesso, può essere in contrasto con le disposizioni del regolamento. È invece più chiara la posizione del responsabile della protezione dei dati personali.
Inoltre una traccia delle clausole contrattuali, perché possa essere valida, deve essere sottoposta all’approvazione del comitato europeo per la protezione dei dati, che deve emettere una opinione. Tuttavia, in altra parte del documento si afferma che anche la commissione europea deve dare il proprio benestare.
Un altro aspetto che deve essere approfondito riguarda la definizione delle regole, grazie alle quali un responsabile del trattamento, con sede in Europa, potrà trasferire dati ad un titolare, che si trovi fuori dall’Europa. Non è chiaro se questo trasferimento deve avvenire, solo a condizione che il titolare esterno alla Europa garantisca il pieno rispetto delle regole europee, oppure sia sufficiente il rispetto di regole vincolanti, ma dotate di un certo grado di elasticità.
Un’altra area bisognosa di approfondimento riguarda le modalità con cui è possibile trattare dati, a rilevanza penale, in ambito europeo. Se anche è vero che esistono delle disposizioni di legge che fanno riferimento al trattamento di questi dati per la prevenzione delle frodi o per la sicurezza di un servizio, tali disposizioni di legge non sempre esplicitamente autorizzano al trattamento di questi dati.
Infine, esaminando l’articolo 9, il testo non afferma che un esigenza contrattuale possa costituire una base legale per il trattamento di speciali categorie di dati. Separando la base legale dalla esigenza contrattuale, possono nascere numerosi problemi, che si spera verranno risolti nell’aggiornamento del regolamento, che verrà pubblicato a maggio 2020. In particolare, non è sufficientemente chiaro il fatto che dati particolari, che sono indispensabili per offrire un servizio ad un interessato, ad esempio perché deve spostarsi in carrozzella, possano essere trattati anche in assenza di una specifica autorizzazione da parte dell’interessato coinvolto.
Un’altra conseguenza di questa anomalia riguarda le difficoltà che il titolare può incontrare nel soddisfare le esigenze di portabilità dei dati. È possibile che un titolare possa trattare questi dati speciali, a fronte di un consenso specifico o di una necessità contrattuale, ma che tali dati non possano essere trasferiti a un altro titolare, senza una specifica autorizzazione da parte dell’interessato coinvolto.
Sarà nostra cura, non appena verrà pubblicato l’aggiornamento regolamento, analizzarlo insieme ai lettori, per mettere in evidenza gli aspetti chiariti e gli aspetti ancora pendenti.
Fonti: Puntosicuro.it