GDPR in the Italian budget Law just approved

By | Monday January 15th, 2018

In art 1 of Italian budget law 2018 , there are 6 para. from 1020 to 1025, in which there are important news that impact on the application of the GDPR.

In my opinion, remarkable attention should be given to the provisions under paragraphs 1021 letters c) and d), 1022 and 1023. In fact, in these 3 paragraphs it is described a way in which the Italian Autority, through the mechanism of a silent assent, can inhibit or not the Owner to carry out a data processing based on its legitimate interest involving the use of new technologies or automated tools .

On this point the 6 paragraphs mentioned are reported below and at least the doubt is raised in relation to the compliance of procedure described in 1021-1023 with the GDPR and the inspiring criteria of the same.

LEGGE DI BILANCIO 2018
(Legge 27 dicembre 2017, n. 205, G.U. n.302 del 29-12-2017 – Suppl. Ordinario n. 62) 

Parte I – Misure quantitative per la realizzazione degli obiettivi programmatici

Art 1 comma:

1020. Al fine di adeguare l’ordinamento interno al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche’ alla libera circolazione di tali dati, di seguito denominato « regolamento RGPD », il Garante per la protezione dei dati personali assicura la tutela dei diritti fondamentali e delle liberta’ dei cittadini.

1021. Ai fini di cui al comma 1020, il Garante per la protezione dei dati personali, con proprio provvedimento da adottare entro due mesi dalla data di entrata in vigore della presente legge:

a) disciplina le modalita’ attraverso le quali il Garante stesso monitora l’applicazione del regolamento RGPD e vigila sulla sua applicazione;

b) disciplina le modalita’ di verifica, anche attraverso l’acquisizione di informazioni dai titolari dei dati personali trattati per via automatizzata o tramite tecnologie digitali, della presenza di adeguate infrastrutture per l’interoperabilita’ dei formati con cui i dati sono messi a disposizione dei soggetti interessati, sia ai fini della portabilita’ dei dati ai sensi dell’articolo 20 del regolamento RGPD, sia ai fini dell’adeguamento tempestivo alle disposizioni del regolamento stesso;

c) predispone un modello di informativa da compilare a cura dei titolari di dati personali che effettuano un trattamento fondato sull’interesse legittimo che prevede l’uso di nuove tecnologie o di strumenti automatizzati;

d) definisce linee-guida o buone prassi in materia di trattamento dei dati personali fondato sull’interesse legittimo del titolare.

1022. Il titolare di dati personali, individuato ai sensi dell’articolo 4, numero 7), del regolamento RGPD, ove effettui un trattamento fondato sull’interesse legittimo che prevede l’uso di nuove tecnologie o di strumenti automatizzati, deve darne tempestiva comunicazione al Garante per la protezione dei dati personali. A tale fine, prima di procedere al trattamento, il titolare dei dati invia al Garante un’informativa relativa all’oggetto, alle finalita’ e al contesto del trattamento, utilizzando il modello di cui al comma 1021, lettera c). Trascorsi quindici giorni lavorativi dall’invio dell’informativa, in assenza di risposta da parte del Garante, il titolare puo’ procedere al trattamento.

1023. Il Garante per la protezione dei dati personali effettua un’istruttoria sulla base dell’informativa ricevuta dal titolare ai sensi del comma 1022 e, ove ravvisi il rischio che dal trattamento derivi una lesione dei diritti e delle liberta’ dei soggetti interessati, dispone la moratoria del trattamento per un periodo massimo di trenta giorni. In tale periodo, il Garante puo’ chiedere al titolare ulteriori informazioni e integrazioni, da rendere tempestivamente, e, qualora ritenga che dal trattamento derivi comunque una lesione dei diritti e delle liberta’ del soggetto interessato, dispone l’inibitoria all’utilizzo dei dati.

1024. Il Garante per la protezione dei dati personali da’ conto dell’attivita’ svolta ai sensi del comma 1023 e dei provvedimenti conseguentemente adottati nella relazione annuale di cui all’articolo 154, comma 1, lettera m), del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196.

1025. Ai fini dell’attuazione dei commi 1020, 1021, 1022, 1023 e 1024 e’ autorizzata la spesa di 2 milioni di euro annui a decorrere dall’anno 2018.

 Avv. Laura Marretta

Category: Legal framework Tags: , , , , , ,

About laura.marretta

Avv. Laura Marretta Dopo aver conseguito la Maturità Classica presso l’Istituto Marcelline di Milano e la Laurea in Giurisprudenza presso l’Univeristà Cattolica del Sacro Cuore diventa Avvocato del Foro di Milano ed è Partner dello Studio Legale Internazionale Romolotti Marretta dal 2006. Svolge la propria attività professionale con particolare riferimento ai settori della Privacy e Data Security, Tutela del Segreto Industriale, Diritto della Moda, Energy, e Sistemi di Organizzazione Aziendale (normative UNI CEI ed ISO) nonché in ambito di Certificazioni e Marcatura CE. Svolge il ruolo di DPO presso enti associativi di rilevanza nazionale nonché per conto di società del settore industriale e dei servizi. E’ relatrice presso corsi e convegni sul territorio nazionale, con specifico riferimento ai settori della privacy e della video security. Collabora in pubblicazioni nazionali ed internazionali (www.romolottimarretta.com/pubblicazioni.html) tra le quali numerose edizioni annuali di Doing Business edito dalla World Bank Maturità Classica at Istituto Marcelline of Milan, Graduated in Law at Univeristà Cattolica del Sacro Cuore, Attorney at Law of the Milan Bar, is a Partner of Romolotti Marretta International Law Firm since 2006. Her professional activity is focused on Privacy and Data Security, Trade Secret Protection, Fashion Law, Energy Law, Enterprise Organization (UNI CEI and ISO standards), Certification and CE mark. She is DPO in associations at national level and companies of the industrial and services areas. Speaker at seminars and conferences with specific reference to privacy and videosecurity law, she is a contributor in national and international publications, included several editions of Doing Business edited by World Bank (www.romolottimarretta.com/lang2/publications.html)

2 thoughts on “GDPR in the Italian budget Law just approved

  1. paolo calvi

    Dunque si definisce un meccanismo di comunicazione al garante per ogni trattamento basato sul legittimo interesse “che preveda l’uso di nuove tecnologie o di strumenti automatizzati” (cioè sempre) con possibilità per il garante di imporre moratoria, chiedere ulteriori info e (nel caso di lesione dei diritti e delle libertà dell’interessato) inibire il trattamento .
    Ma ???!!! così si scardina lo spirito del GDPR, basato sulla responsabilizzazione del titolare, che per trattamenti che rischiano di ledere diritti e libertà effettua casomai una DPIA, e solo nel caso non riesca a mitigare i rischi si rivolge al garante con la consultazione prevista dall’art.36. qui invece sembra si voglia tornare al vecchio meccanismo della notificazione o richiesta di autorizzazione…
    inoltre: “modalità attraverso cui monitorare e vigilare” direi che non ci sarebbe stato bisogno di alcuna delega, il garante ha esattamente questo compito…
    “modello di informativa” attenzione: si parla di “informativa” ma non dovete pensare a quella rivolta agli interessati; si tratta invece di una specie di notifica da inviare al garante; tanto per fare un po’ di confusione…

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.