Privacy, l’Authority francese “in soccorso” delle aziende

Privacy in Francia: il Cnil ha predisposto una guida per una corretta attuazione dei nuovi obblighi imposti dal Gdpr. L’analisi di Gabriele Tori, Legal Consultant di P4I

La Commission nationale de l’informatique et des libertés (nel prosieguo in sigla “CNIL”), l’autorità francese per la protezione dei dati, in data 29 settembre 2017 ha rilasciato (momentaneamente solo in lingua francese) un documento contenente una guida per i responsabili del trattamento ad una corretta attuazione dei nuovi obblighi imposti dal Regolamento Generale della Protezione dei Dati (nel prosieguo “GDPR”, acronimo comunemente ricavato della denominazione inglese del documento).

La guida riassume il regime di sanzioni previste per i responsabili del trattamento ed elenca alcune delle violazioni di quanto disciplinato dal GDPR che innescheranno tali sanzioni.

Il responsabile, infatti, può incorrere in sanzione nel momento in cui agisce al di fuori dell’ambito delle istruzioni del titolare, oppure quando non asseconda lo stesso nell’adempimento dei propri obblighi. Il suo ruolo deve quindi essere di supporto al titolare, tanto che sarà sanzionata l’omissione di informazioni vers nel caso in cui un’istruzione ad esso assegnata comporti una violazione delle disposizioni del GDPR

Il testo risulta utile, inoltre, nel valutare se (e quando) risulti necessario, per il responsabile, nominare un Responsabile della Protezione dei Dati (in inglese Data Protection Officer – DPO) come previsto dall’art. 37 del Regolamento. Inoltre il responsabile è tenuto a creare un “inventario” delle operazioni di elaborazione dei dati svolte. Queste due attività assumono una forte rilevanza, tanto che verrà sanzionata la loro mancata ottemperanza.

Il GDPR prevede (all’art. 28) la nomina, da parte del responsabile, di un “altro responsabile” (il c.d. subresponsabile). Questo, esclusivamente, previa autorizzazione del titolare del trattamento, tanto che verrà sanzionato nel caso in cui il responsabile decidi affidarsi ad un subresponsabile senza previa autorizzazione del titolare del trattamento dei dati, ovvero ad un soggetto che non fornisce garanzie sufficienti.

La guida fornisce inoltre informazioni su come il responsabile dovrà aiutare quest’ultimo a condurre valutazioni d’ impatto sulla protezione dei dati (“DPIA”) e nel notificare le eventuali violazioni dei dati.

La guida contempla infine la possibilità di eleggere un’autorità di controllo capofila qualora vi sia un’attività transfrontaliera di trattamento dei dati e l’obbligo di nominare un rappresentante per i dati se il responsabile del trattamento non è stabilito all’ interno dell’UE.

L’autorità francese per la protezione dei dati personali (insieme a Inghilterra e Germania) è una delle più attive e propositive in materia. Pochi giorni fa ha infatti reso pubblica la data della terza consultazione pubblica, avente lo scopo di raccogliere eventuali domande concrete sul GDPR e sulle potenziali difficoltà di interpretazione dello stesso, oltre a fornire alcuni esempi di best practices in materia.

A 7 mesi dell’applicabilità del Regolamento europeo, non resta che attendere che anche il nostro Garante pubblichi qualche documento a supporto dell’interpretazione di tale nuova normativa.
Fonte: Corriere Comunicazioni