Le novità                                   tari dei dati personali, l’intenzione del titolare del
                                                              trattamento (eventualmente anche per il tramite dei
                  Nell’ambito  della  rassegna  sulle  principali  novità  responsabili esterni) di trasferire dati personali a un
                  introdotte dal GDPR e che saranno di seguito me-  paese terzo o a un’organizzazione internazionale,
                  glio descritte, la prima è direttamente collegata al  l’indicazione del periodo di conservazione dei dati
                  sistema delle fonti sopra accennato e attiene alla  personali oppure dei criteri utilizzati per determinar-
                  liceità del trattamento: il consenso legittimamente  lo, la specifica dei nuovi diritti degli interessati.
                  prestato in vigenza della Direttiva abrogata resta va-
                  lido anche sotto il Regolamento, pertanto, il consen-  Il nuovo organigramma privacy
                  so non deve esser nuovamente ottenuto dal titolare  Senza dubbio innovativo è l’approccio adottato dal
                  del trattamento.                            GDPR in relazione all’assetto organizzativo interno al
                  Questa circostanza va letta alla luce dell’art. 6 GDPR  titolare del trattamento rispetto a quanto delineato
                  che individua come basi giuridiche del trattamento:  dal Codice Privacy, in quanto le figure del responsa-
                  il consenso, la legge, il contratto, l’esecuzione di un  bile interno e dell’incaricato non sono più contem-
                  interesse pubblico, la salvaguardia di un interesse  plate: il GDPR, oltre al titolare e al DPO, disciplina
         Il nuovo regolamento europeo sulla privacy
                  vitale dell’interessato e l’interesse legittimo del  solo ed esclusivamente la figura del responsabile
                  titolare. Pertanto, il consenso non è più (insieme  esterno del trattamento (art. 28 GDPR).
                  all’esistenza di una legge) l’unica base giuridica che  Deve considerarsi tale il soggetto che tratta dati per
                  autorizza il trattamento dei dati.          conto del titolare e questo è sicuramente uno degli
                                                              ambiti che, al fine della conformità al GDPR, richiede
                  Le sanzioni                                 uno sforzo maggiore dal punto di vista organizzativo.
                  Tra le principali innovazioni introdotte dal GDPR il  Infatti, il titolare dovrà:

                  quadro sanzionatorio rappresenta, per molti, quella  • svolgere la mappatura di tutti i fornitori ester-
                  di maggior impatto, in particolare, nella parte in cui   ni che trattano dati personali per suo conto; ve-
                  prevede che le sanzioni amministrative pecuniarie   rificare le previsioni contrattuali vigenti con det-
                  possono raggiungere i 20 milioni di euro o, se supe-  ti fornitori;

                  riore, il 4% del fatturato mondiale. Con riferimento,  • formalizzare, mediante integrazione del contrat-
                  invece, alle sanzioni di carattere penale, all’interno   to esistente, la nomina a responsabile esterno
                  del Considerando 149 è previsto che gli Stati membri   del trattamento;
                  possono prevederle ove le ritengano utili come ulte-    • fornire ai responsabili esterni le istruzioni neces-
                  riore strumento di enforcement. Su questo è oppor-  sarie all’esecuzione del trattamento;

                  tuno attendere le decisioni che saranno adottate con  • dare istruzioni specifiche in merito alle misure
                  il decreto legislativo in corso di adozione.   di sicurezza da adottare; in considerazione del-
                                                                 le sanzioni che prevede il GDPR questo aspet-
                  La nuova informativa all’interessato           to è molto importante soprattutto nei trattamen-
                  Meno innovativi rispetto alla previgente disciplina   ti effettuati medianti fornitori di piattaforme in-
                  ma sicuramente fonte di numerose modifiche, gli   formatiche;
                  artt. 13 e 14 GDPR ridefiniscono il contenuto delle  • richiedere ai responsabili esterni di tenere il regi-

        3/2018    informative relative al trattamento dei dati personali      stro per quei trattamenti svolti per proprio conto;
                  che devono tassativamente contenere determinati  • prevedere la possibilità di effettuare verifiche
                  elementi e che devono, quindi, esser aggiornate dai
                  titolari del trattamento. I nuovi contenuti “aggiunti-  specifiche presso il fornitore/responsabile ester-
                                                                 no.
                  vi” delle informative sono, a titolo esemplificativo,  Appare dunque evidente che questo tipo di attività
                  i dati di contatto del responsabile della protezione  impatta direttamente anche il processo di valuta-
                  dei dati (i.e. il DPO) eventualmente nominato, even-  zione dei fornitori che, quando svolgono attività che
                  tuali destinatari e le eventuali categorie di destina-  includono il trattamento di dati per conto del titola-



               46