Avrete sicuramente già visto questa notizia. ve la segnalo nel caso vi fosse sfuggita. Segnaliamo l’emendamento 88-bis.24 sul trattamento dei dati personali e digitale con il quale si demanda al Garante Privacy di adottare, entro due mesi dalla data di entrata in vigore della legge di bilancio, un provvedimento al fine di: - Disciplinare le modalità attraverso cui monitorare e vigilare sull’applicazione del Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali; - Disciplinare le modalità di verifica della presenza di adeguate infrastrutture per l’interoperabilità dei formati con cui i dati vengono messi a disposizione dei soggetti interessati; - Predisporre un modello di informativa da compilare a cura dei titolari di dati personali che effettuino un trattamento fondato sull’interesse legittimo che preveda l’uso di nuove tecnologie o di strumenti automatizzati; - Definire linee guida o buone prassi in tema di trattamento dei dati personali fondato sull’interesse legittimo del titolare.
Come fonte ho trovato il documento allegato, alle pagg 22-23 i temi di nostro interesse. da una prima lettura noterei quanto segue: 597-ter: - comma a) "modalità attraverso cui monitorare e vigilare" direi che non ci sarebbe stato bisogno di alcuna delega, il garante ha esattamente questo compito...
- comma b) "adeguate infrastrutture per l’interoperabilità dei formati" rimanda a verifiche sul tema della portabilità;
- commi c) e d) "modello di informativa" e "linee guida o buone prassi" sul legittimo interesse sembrano indicare l'intenzione di fare chiarezza su questo tema altrimenti abbastanza nebuloso; attenzione: si parla di "informativa" ma non dovete pensare a quella rivolta agli interessati; si tratta invece di una specie di notifica da inviare al garante (vedi oltre)
597-quater e quinquies- si definisce un meccanismo di comunicazione al garante per ogni trattamento basato sul legittimo interesse "che preveda l’uso di nuove tecnologie o di strumenti automatizzati" con possibilità per il garante di imporre moratoria, chiedere ulteriori info e (nel caso di lesione dei diritti e delle libertà dell'interessato) inibire il trattamento (NB vale il silenzio assenso).
Ma ???!!! così si scardina lo spirito del GDPR, basato sulla responsabilizzazione del titolare, che per trattamenti che rischiano di ledere diritti e libertà effettua una DPIA, e solo nel caso non riesca a mitigare i rischi si rivolge al garante con la consultazione prevista dall'art.36. qui invece sembra si voglia tornare al vecchio meccanismo della notificazione o richiesta di autorizzazione...
| 