GDPR : ALCUNI ASPETTI CRITICI DELLA NORMATIVA
Il GDPR (Regolamento (UE) 2016/679) , che introduce una normativa comunitaria uniforme in tema di trattamento dei dati, si rivela essere poco chiaro in alcuni aspetti della disciplina.
In particolare, non sono stati regolati con dovuta attenzione determinati rapporti giuridici fra alcune figure chiave nella disciplina della “privacy”, come il titolare ed il responsabile del trattamento.
Infatti, sarebbe stato opportuno, per esempio, introdurre una disposizione specifica riguardante la nomina del responsabile del trattamento, in cui si sarebbe dovuto far riferimento anche alle varie forme di conferimento dell’incarico .
In alcune “norme” e “considerando” (disposizioni che si trovano nel preambolo del regolamento) del GDPR viene precisato tuttavia che il conferimento dell’incarico di tale figura possa avvenire attraverso un atto di nomina o mediante un contratto.
In pratica, un’azienda, quale titolare del trattamento dei dati, dovrebbe nominare un responsabile, ma leggendo il GDPR non è facile comprendere con quali modalità debba essere conferito tale incarico.
Il legislatore europeo, per semplificare tale compito, avrebbe dovuto indicare le ipotesi in cui si dovesse procedere con un atto di nomina e quelle in cui fosse invece necessario ricorrere a un contratto.
Sfortunatamente, almeno in questo caso, il GDPR manca di sistematicità e chiarezza, dato che, come si è precedentemente segnalato, le questioni inerenti alla nomina del responsabile del trattamento dovevano essere trattate solamente in un unico articolo e con una formulazione delle disposizione meno astratta .
Inoltre, anche per quando riguarda la nomina di altri responsabili del trattamento dei dati che si dovessero aggiungere al primo responsabile nominato (denominabili anche come subresponsabili), il GDPR doveva a mio avviso prevedere una norma distinta dedicata a questo tema .
Le aziende, che dovessero nominare un subresponsabile, si troveranno ad utilizzare ampliamente una nuova forma contrattuale, ossia il contratto di esecuzione di specifiche attività di trattamento dei dati.
Si deve comunque mettere in evidenza che riguardo a tale tipologia contrattuale sono state fornite al momento solamente poche indicazioni.
Il fatto che alcune disposizioni del GDPR siano state concepite genericamente, non può però sorprendere.
Il Legislatore europeo ha preferito non approfondire alcune tematiche, avendo optato invece di trattarle successivamente attraverso una regolamentazione specifica.
Infatti, il GDPR, come suggerisce il nome (General Data Protection Regulation), può essere definito come una normativa di carattere generale che introduce una serie di principi che potranno essere applicati in qualsiasi procedura di trattamento dei dati.
Attualmente, il Legislatore Europeo, con la proposta di riforma d
ella “direttiva e-privacy” (COM/2017/010 final), ha già dato inizio alla seconda fase di regolamentazione della disciplina inerente al trattamento dei dati, ossia quella in cui vengano trattate specifiche questioni o settori commerciali.
La proposta di regolamento, definito anche “ regolamento eprivacy”, ha ad oggetto il trattamento dei dati personali nelle “comunicazioni commerciali elettroniche” ed è attualmente circa a metà del suo percorso di approvazione legislativa.
Concretamente, nella suindicata proposta di regolamento si definiscono le “comunicazioni di commercializzazione diretta“ come “qualsiasi forma di pubblicità, scritta od orale, inviata a uno o più utenti identificati o identificabili di servizi di comunicazione elettronica, anche mediante sistemi automatici di chiamata e comunicazione”.
Tale proposta di regolamentazione è stata strutturata sulla base dei principi generali introdotti nel GDPR e rivoluzionerà significativamente le modalità di impiego di questo strumento commerciale molto utilizzato soprattutto nel settore del commercio elettronico.
È importante sottolineare che una volta che entrerà in vigore questa normativa, le aziende, che inviano normalmente email promozionali ai propri clienti od a soggetti con cui non hanno ancora avuto alcun rapporto commerciale (soggetti il cui indirizzo di posta elettronica è stato per esempio inserito in una mailing list), per poter continuare a far uso delle comunicazioni commerciali elettroniche, dovranno far esprime il consenso relativo all’invio di email con tali finalità alle persone interessate.