Codice della privacy: la legge europea modifica l'art. 29 sulla nomina del responsabile e introduce l'art. 110-bis sul riuso dei dati.

La Legge europea 167/2017, che entrerà in vigore il 12 dicembre 2017, modifica l’articolo 29 del Codice Privacy in materia di responsabile del trattamento, riprendendo l'art. 28 del nuovo Regolamento privacy europeo 679/2016 (“GDPR”) che, come è ormai noto, sarà applicabile dal 25 maggio 2018.

Formalizzazione dei rapporti tra titolare e responsabile

Le modifiche introdotte interessano in particolare il trattamento dei dati nell’ambito di rapporti in outsourcing: in queste ipotesi committente e fornitore esterno di servizi dovranno formalizzare i rispettivi ruoli e responsabilità. Committente e fornitore potranno essere contitolari del trattamento, ed in tal caso decideranno insieme finalità e modalità del trattamento o, in caso contrario, se il fornitore tratta i dati “per conto” del committente, essi saranno rispettivamente titolare e responsabile del trattamento.

Quello che stabilisce a riguardo la legge europea, riprendendo il contenuto del Regolamento, è che i due soggetti devono redigere un atto giuridico – tendenzialmente un contratto – in cui sono chiariti i rapporti tra loro intercorrenti. Il Garante Privacy metterà a disposizione modelli di tale contratto.

Le integrazioni al Codice privacy

Nello specifico, la legge europea 2017 aggiunge all’articolo 29 del Codice privacy (“Responsabile del trattamento”) due commi:

- 4-bis. “Fermo restando quanto previsto ai commi 1, 2, 3 e 4, il titolare può avvalersi, per il trattamento di dati, anche sensibili, di soggetti pubblici o privati che, in qualità di responsabili del trattamento, forniscano le garanzie di cui al comma 2. I titolari stipulano con i predetti responsabili atti giuridici in forma scritta, che specificano la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento; i predetti atti sono adottati in conformità a schemi tipo predisposti dal Garante”

- 5. “Il responsabile effettua il trattamento attenendosi alle condizioni stabilite ai sensi del comma 4-bis e alle istruzioni impartite dal titolare, il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2, delle proprie istruzioni e di quanto stabilito negli atti di cui al comma 4-bis”.

La Legge europea inserisce inoltre nel Codice privacy l’art. 110 bis il quale prevede che:

a) è rimesso al Garante il potere di autorizzare, sia in ambiti scientifici che di ricerca statistica, il “riutilizzo” dei dati, anche sensibili dei cittadini italiani, prevedendo come sole forme di tutela degli interessati l’ adozione di misure preventive di minimizzazione e di anonimizzazione dei dati;

b) sono escluse forme di riutilizzazione dei dati genetici senza neppure prevedere che gli interessati possano consentirlo.

Per quanto riguarda il riuso (finora in via generale vietato) di dati a fini di ricerca e statistici la norma appare estremamente generica e permissiva. Al contrario, essa è nettamente restrittiva per quanto riguarda il “riutilizzo” dei dati genetici.